مشكلة

عند تنفيذ الوصول الشرطي لـ Azure لتطبيق بوابة Cato لتقييد الدخول الموحد (SSO)، يُظهر عميل Cato رسالة خطأ "لا يمكنك الوصول إلى هذا الآن" بسبب سياسات الوصول الشرطي التي لا تفي بالمتطلبات المكوّنة.

بيئة العمل

• تكوين Azure SSO كطريقة المصادقة في CMA.
• تطبيق الوصول الشرطي لـ Azure لتقييد عناوين IP المصدر (الموقع) أو تطبيق بوابة Cato.
• كلا المتصفحات المدمجة أو الخارجية.

استكشاف الأخطاء وإصلاحها

يمكن اتباع هذه الخطوات لاستكشاف مشكلات SSO المتعلقة بوصول Azure الشرطي:

1. فهم تدفقات العملية للمصادقة الأولية لمصادقة SSO:
   • عند اتصال عميل Cato الأولي، تحدث مصادقة SSO مباشرة بين العميل وIdP خارج النفق. سترى Azure عنوان IP الخاص بمزود خدمة الإنترنت للعميل في طلب المصادقة.
   • في الحالات التي يتم فيها تمكين Always-On للمستخدم أو عند حدوث إعادة مصادقة SSO بعد انتهاء صلاحية رمز IdP، تحدث مصادقة SSO بين العميل وIdP داخل النفق عبر PoP. سترى Azure عنوان IP الخاص بـ Cato PoP في طلب المصادقة.
2. الوصول إلى سجلات تسجيل الدخول لـ Azure ضمن الوصول الشرطي لتحليل أحداث الفشل. ستتضمن السجلات عنوان IP المصدر الخاص بالعميل لكل محاولة مصادقة. استخدام خيار 'عرض التفاصيل' ضمن علامة تبويب الوصول الشرطي للحصول على رؤى أعمق حول الفشل.
   
3. التحقق من تكوين سياسة الوصول الشرطي، بما في ذلك تطبيق بوابة Cato ونطاق IP الخاص بـ Cato PoP كعناصر مستثناة. قد ترغب في التحقق من أن السياسة مكوّنة بشكل صحيح وأنها تسمح بعناوين IP المصدر الصحيحة وتطبيق المصادقة SSO بنجاح.
4. من الممكن أن يكون تطبيق بوابة Cato غير مُكتشف بشكل صحيح بواسطة سياسة الوصول الشرطي بسبب قيود الأذونات مع Microsoft Azure. إذا كان هذا هو الحال، فسترى مصادقة ناجحة تليها فشل كما هو موضح أدناه.

حل

إذا تضمنت سياسة الوصول الشرطي الموقع (عنوان IP المصدر للمستخدم)، حدد عنوان IP أو نطاق IP بناءً على تكوين Always-On للمستخدم:

• المستخدمون الذين تم تعطيل دائمًا (حسب الطلب) سيستخدمون عنوان IP الخاص بمزود خدمة الإنترنت للعميل أثناء المصادقة وعنوان IP الخاص بـ PoP لإعادة المصادقة (ينتهي صلاحية رمز IdP بينما النفق نشط).
• المستخدمون الذين تم تمكين دائمًا سيستخدمون عنوان IP الخاص بمزود خدمة الإنترنت للعميل فقط أثناء المصادقة الأولية (بعد تثبيت Cato) و عنوان IP الخاص بـ PoP لطلبات المصادقة اللاحقة وطلبات إعادة المصادقة (ينتهي صلاحية رمز IdP بينما النفق نشط).
• بالنسبة لمستخدمي دائمًا، يمكن أيضًا إجبار المصادقة الأولية (بعد تثبيت Cato) على استخدام نفق Cato عن طريق تمكين مفتاح التسجيل InitialAlwaysOn كما هو موضح في تثبيت عملاء Windows ودائمًا.

إذا تضمنت سياسة الوصول الشرطي سياسة حظر شامل باستثناء تطبيق بوابة Cato، انتقل إلى صفحة الدخول الموحد في CMA واضغط على Microsoft Credentials، ستطالب بالإدخال الإداري للقيام بالموافقة مع Azure مرة أخرى.