فهم تدفق اتصال Cato Client

تشرح هذه المقالة تدفق اتصال Windows Client إلى Cato PoP.

نظرة عامة

قبل أن يتصل Client بـ Cato PoP، يجري عدة فحوصات بناءً على تكوين سياسات Client الخاصة بك. يضمن هذا أن يتم السماح فقط للمستخدمين والأجهزة الذين يلبون متطلبات الأمان الخاصة بك بالاتصال بالشبكة. توفر مخططات التدفق التالية تفاصيل ترتيب هذه الفحوصات وسلوك Client إذا فشلت أي فحص أو لم يكن مفعلاً.

تدفق اتصال عميل Windows

تظهر مخططات التدفق التالية كيف يتصل Windows Client بـ Cato PoP، إذا كان تمكين Pre Login أو تعطيله.

تدفق الاتصال - تفعيل ما قبل تسجيل الدخول

Pre Login provides access to allowed destinations, before a user is authenticated. على سبيل المثال، بمجرد أن يمكن للجهاز الاتصال بالإنترنت، يمكنه الوصول إلى حساب AD الخاص بك، بحيث يمكن حفظ بيانات اعتماد المستخدم على الجهاز. يتم حظر كل وصول آخر إلى الإنترنت.

ملاحظة

ملاحظة: قد يكون أي نطاق مرتبط بأي من موفري الهوية المدعومين قابلاً للوصول في حالة غير مصدق عليها عند استخدام المتصفح الخارجي مع دوماً-فعال مفعلاً. على سبيل المثال، سيتمكن المستخدمون من الوصول إلى google.com لضمان تمكنهم من التحقق من الهوية إذا كان Google هو موفر الهوية الخاص بهم.

Frame_1000002917.jpg

تدفق الاتصال - تعطيل ما قبل تسجيل الدخول

إذا تم تعطيل Pre Login، يكون تدفق اتصال Client كما يلي:

Frame_1000002918.jpg

ملاحظات

  1. In the Pre Login State, the device is pre-configured with the Cato Client, a trusted certificate, and the Windows registry is configured with the account name. المستخدم غير مصدق عليه، ومع ذلك يمكن لـ Client أن يتصل بـ PoP للتحقق من الشهادة. إذا كانت الشهادة صالحة، فإنها تنشئ ثقة كافية للسماح لـ Client بالوصول إلى الوجهات المسموح بها عبر PoP، حتى لو لم يتم التحقق من هوية المستخدم.

  2. Always-On ensures the Client is always connected to the PoP and all traffic is inspected by Cato's security engines. يحاول Client تلقائيًا التحقق من الهوية والاتصال باستخدام بيانات اعتماد آخر مستخدم اتصل بـ Client. يتحقق Client مما إذا كان دوماً-فعال ممكنًا بعد إقلاع الجهاز (إذا كانت بيانات اعتماد المستخدم محفوظة على الجهاز) وبعد تسجيل دخول المستخدم إلى الجهاز. بمجرد التحقق من هوية المستخدم واتصال Client، لا يمكن فصل Client.

  3. With Connect on Boot enabled, during the device boot phase, the Client automatically tries to authenticate and connect with the credentials of the last user to connect with the Client. بمجرد أن يتصل Client، يمكن للمستخدم فصل Client. يتحقق Client مما إذا كان الاتصال عند الإقلاع ممكنًا بعد إقلاع الجهاز (فقط إذا كانت بيانات اعتماد المستخدم محفوظة على الجهاز) وبعد تسجيل دخول المستخدم إلى الجهاز.

  4. The Client Connectivity Policy defines which device checks to run on the device before it connects to the network. لضمان أن الأجهزة التي تلتزم بمتطلبات الأمان الخاصة بك فقط يمكنها الاتصال. يمكنك أيضًا تكوين مستخدم للوصول الآمن إلى الإنترنت فقط، أو الوصول الآمن إلى الإنترنت والشبكة الخاصة (WAN).

  5. تشمل هذه الفحوصات:

    • Device Checks that define the minimum requirements a device must meet to be able to connect to your network. يجري Client الفحوصات للتحقق من وضع الأمان للجهاز.

    • الموقع الجغرافي للجهاز

    • نظام تشغيل الجهاز

    • حالة التحقق من هوية المستخدم

  6. Users can authenticate with SSO, MFA or with a username and password. بمجرد التحقق، يتم إنشاء رمز Cato بواسطة PoP للتأكد من أن المستخدم قد تم التحقق من هويته، حتى يتمكن العميل من الحفاظ على الاتصال بـ Cato Cloud. يمكنك تكوين مدة صلاحية رمز التحقق من هوية Cato. The Client can automatically authenticate with Windows credentials, making this step seamless to the user.

فهم أذونات العميل

لدى Client الأذونات التالية على الجهاز:

Windows

  • خدمة Cato Client SDP (CatoNetworksVPNService): حساب النظام المحلي

  • عمليات واجهة المستخدم لـ Client: مستخدم قياسي

macOS

  • الخادم لـ Cato Client (com.catonetworks.mac.CatoClient.helper): مستخدم الجذر

  • تمديد النظام: مستخدم الجذر (بأذونات أقل من الخادم)

  • عامل المستخدم: مستخدم قياسي

هل كان هذا المقال مفيداً؟

11 من 11 وجدوا هذا مفيداً

لا توجد تعليقات