فهم تدفق اتصال Cato Client

تشرح هذه المقالة تدفق اتصال Windows Client إلى Cato PoP.

نظرة عامة

قبل أن يتصل Client بـ Cato PoP، يجري عدة فحوصات بناءً على تكوين سياسات Client الخاصة بك. يضمن هذا أن يتم السماح فقط للمستخدمين والأجهزة الذين يلبون متطلبات الأمان الخاصة بك بالاتصال بالشبكة. توفر مخططات التدفق التالية تفاصيل ترتيب هذه الفحوصات وسلوك Client إذا فشلت أي فحص أو لم يكن مفعلاً.

تدفق اتصال عميل Windows

تظهر مخططات التدفق التالية كيف يتصل Windows Client بـ Cato PoP، إذا كان تمكين Pre Login أو تعطيله.

تدفق الاتصال - تفعيل ما قبل تسجيل الدخول

Pre Login يسمح بالوصول إلى الوجهات المسموح بها قبل أن يتم التحقق من هوية المستخدم. على سبيل المثال، بمجرد أن يمكن للجهاز الاتصال بالإنترنت، يمكنه الوصول إلى حساب AD الخاص بك، بحيث يمكن حفظ بيانات اعتماد المستخدم على الجهاز. يتم حظر كل وصول آخر إلى الإنترنت.

ملاحظة

ملاحظة: قد يكون أي نطاق مرتبط بأي من موفري الهوية المدعومين قابلاً للوصول في حالة غير مصدق عليها عند استخدام المتصفح الخارجي مع دوماً-فعال مفعلاً. على سبيل المثال، سيتمكن المستخدمون من الوصول إلى google.com لضمان تمكنهم من التحقق من الهوية إذا كان Google هو موفر الهوية الخاص بهم.

Frame_1000002917.jpg

تدفق الاتصال - تعطيل ما قبل تسجيل الدخول

إذا تم تعطيل Pre Login، يكون تدفق اتصال Client كما يلي:

Frame_1000002918.jpg

ملاحظات

  1. في وضع Pre Login، يتم إعداد الجهاز مسبقًا مع العميل كاتو والشهادة الموثوقة ويتم تكوين سجل Windows مع اسم الحساب. المستخدم غير مصادق عليه، لكن العميل يمكنه الاتصال بالنقطة PoP للتحقق من الشهادة. إذا كانت الشهادة صالحة، فهذا ينشئ ثقة كافية للسماح للعميل بالوصول إلى الوجهات المسموح بها عبر PoP، حتى وإن كان المستخدم غير مصادق عليه.
  2. دوماً-فعال يضمن أن يكون العميل دائمًا متصلًا بـ PoP ويتم فحص جميع حركة المرور بواسطة محركات الأمان من كاتو. يحاول العميل تلقائيًا مصادقة نفسه والاتصال باستخدام بيانات الاعتماد لآخر مستخدم اتصل بالعميل. يتحقق العميل مما إذا كان دوماً-فعال قد تم تمكينه بعد إقلاع الجهاز (إذا كانت بيانات اعتماد المستخدم محفوظة على الجهاز) وبعد تسجيل دخول المستخدم إلى الجهاز. بمجرد أن يتم التحقق من المستخدم والاتصال بالعميل، لا يمكن قطع اتصال العميل.
  3. مع الاتصال عند الإقلاع ممكّنًا، خلال مرحلة إقلاع الجهاز، يحاول العميل تلقائيًا التحقق من الهوية والاتصال باستخدام بيانات الاعتماد لآخر مستخدم اتصل بالعميل. بمجرد أن يتصل العميل، يمكن للمستخدم فصل الاتصال. يتحقق العميل مما إذا كان الاتصال عند الإقلاع ممكّنًا بعد إقلاع الجهاز (فقط إذا كانت بيانات اعتماد المستخدم محفوظة على الجهاز) وبعد دخول المستخدم إلى الجهاز.
  4. السياسة الاتصال للعميل تحدد الفحوصات التي يجب تنفيذها على الجهاز قبل أن يتصل بالشبكة. هذا يضمن أن الأجهزة التي تلتزم بمتطلبات الأمان الخاصة بك فقط يمكنها الاتصال. يمكنك أيضًا إعداد مستخدم ليحصل فقط على وصول آمن للإنترنت أو وصول آمن للإنترنت وشبكة خاصة (WAN).

  5. تشمل هذه الفحوصات:

    • فحوصات الجهاز التي تحدد الحد الأدنى من المتطلبات التي يجب أن يلتزم بها الجهاز ليتمكن من الاتصال بشبكتك. يجري Client الفحوصات للتحقق من وضع الأمان للجهاز.
    • الموقع الجغرافي للجهاز
    • نظام تشغيل الجهاز
    • حالة التحقق من هوية المستخدم
  6. يمكن للمستخدمين المصادقة باستخدام SSO أو MFA أو باسم مستخدم وكلمة مرور. بمجرد المصادقة على المستخدم، يتم إنشاء رمز كاتو بواسطة PoP للتحقق من أن المستخدم مُصادق عليه بحيث يمكن للعميل الحفاظ على الاتصال بسحابة كاتو. يمكنك تكوين مدة صلاحية رمز المصادقة لكاتو. يمكن للعميل اعتماد نفسه تلقائيا باستخدام بيانات اعتماد Windows، مما يجعل هذه الخطوة سلسة للمستخدم.

فهم أذونات العميل

لدى Client الأذونات التالية على الجهاز:

Windows

  • خدمة Cato Client SDP (CatoNetworksVPNService): حساب النظام المحلي
  • عمليات واجهة المستخدم لـ Client: مستخدم قياسي

macOS

  • الخادم لـ Cato Client (com.catonetworks.mac.CatoClient.helper): مستخدم الجذر
  • تمديد النظام: مستخدم الجذر (بأذونات أقل من الخادم)
  • عامل المستخدم: مستخدم قياسي

هل كان هذا المقال مفيداً؟

11 من 12 وجدوا هذا مفيداً

لا توجد تعليقات