Azure শর্তাধীন অ্যাক্সেস ক্যাটো SSO প্রমাণীকরণ অনুমোদন করতে ব্যর্থ

সমস্যা

Cato পোর্টাল অ্যাপ্লিকেশনের জন্য Azure শর্তাধীন অ্যাক্সেস প্রয়োগ করার সময় একক সাইন-অন (SSO) সীমাবদ্ধ করতে, ক্যাটো ক্লায়েন্ট প্রদর্শন করে ত্রুটি বার্তা "আপনি এখনই এই অ্যাক্সেস করতে পারবেন না" কারণ শর্তাধীন অ্যাক্সেস নীতি কনফিগারকৃত প্রয়োজনীয়তা পূরণ করে না।

পরিবেশ

  • CMA-তে প্রমাণীকরণ পদ্ধতি হিসেবে Azure SSO কনফিগার করা হয়েছে।
  • Azure শর্তাধীন অ্যাক্সেস উৎস IP ঠিকানা (অবস্থান) বা Cato পোর্টাল অ্যাপ্লিকেশন সীমাবদ্ধ করতে প্রযোজ্য।
  • উভয়ই এম্বেডেড বা বাহ্যিক ব্রাউজার।

সমস্যা সমাধান

এসএসও সমস্যাগুলি সমাধান করতে এই পদক্ষেপগুলি অনুসরণ করা যেতে পারে যা Azure শর্তাধীন অ্যাক্সেসের সাথে সম্পর্কিত:

  1. SSO প্রমাণীকরণের জন্য প্রাথমিক প্রমাণীকরণের জন্য SSO প্রক্রিয়া প্রবাহ বুঝুন:
    • প্রাথমিক ক্যাটো ক্লায়েন্ট সংযোগের সময়, প্রমাণীকরণ SSO সরাসরি ক্লায়েন্ট এবং IdP এর মধ্যে টানেলের বাইরে ঘটে। Azure প্রমাণীকরণ অনুরোধে ক্লায়েন্টের ISP IP ঠিকানা দেখতে পাবে।
    • যে ক্ষেত্রে সর্বদা-চালু ব্যবহারকারীর জন্য সক্রিয় আছে বা যখন IdP টোকেন মেয়াদোত্তীর্ণ হওয়ার পরে SSO পুনঃপ্রমাণীকরণ ঘটে, ক্লায়েন্ট এবং IdP এর মধ্যে SSO প্রমাণীকরণ টানেলের ভিতরে PoP এর মাধ্যমে ঘটে। Azure প্রমাণীকরণ অনুরোধে ক্যাটো PoP IP ঠিকানা দেখতে পাবে।
  2. ব্যর্থতার ঘটনা বিশ্লেষণ করার জন্য শর্তাধীন অ্যাক্সেসের অধীনে Azure সাইন-ইন লগগুলি অ্যাক্সেস করুন। প্রত্যেক প্রমাণীকরণের প্রচেষ্টার জন্য লগগুলিতে ক্লায়েন্টের উৎস IP ঠিকানাটি অন্তর্ভুক্ত থাকবে। ব্যর্থতার উপর আরও অন্তর্দৃষ্টির জন্য শর্তাধীন অ্যাক্সেস ট্যাবে 'বিস্তারিত দেখান' বিকল্প ব্যবহার করুন।
  3. শর্তাধীন অ্যাক্সেস নীতির কনফিগারেশনটি যাচাই করুন, যেখানে ক্যাটো পোর্টাল অ্যাপ্লিকেশন এবং বাদ দেওয়া আইটেম হিসেবে ক্যাটো PoP IP পরিসীমা অন্তর্ভুক্ত আছে। আপনি চান যেন নীতি সঠিকভাবে কনফিগারকৃত হয় এবং সফল SSO প্রমাণীকরণের জন্য সঠিক উৎস IP ঠিকানা এবং অ্যাপ্লিকেশন সেটিকে অনুমোদন করে।
  4. Microsoft Azure এর অনুমতি সীমাবদ্ধতার কারণে ক্যাটো পোর্টাল অ্যাপ্লিকেশনটি শর্তাধীন অ্যাক্সেস নীতি দ্বারা সঠিকভাবে শনাক্ত করা যাচ্ছে না। যদি এটি হয়, তাহলে আপনি নিচে প্রদর্শিত এক সফল প্রমাণীকরণের পরে একটি ব্যর্থতা দেখতে পাবেন।

সমাধান

যদি শর্তাধীন অ্যাক্সেস নীতিতে অবস্থান (ব্যবহারকারীর উৎস IP ঠিকানা) অন্তর্ভুক্ত থাকে, তবে ব্যবহারকারীর সর্বদা চালু কনফিগারেশনের ভিত্তিতে IP ঠিকানা বা IP পরিসীমা নির্ধারণ করুন:

  • যে ব্যবহারকারীর জন্য সর্বদা-চালু নিষ্ক্রিয় (অন-ডিমান্ড) প্রমাণীকরণের সময় ক্লায়েন্টের ISP IP ঠিকানা ব্যবহার করবে এবং টোকেন মেয়াদোত্তীর্ণ হলে পুনঃপ্রমাণীকরণে PoP এর IP ঠিকানা ব্যবহার করবে (টানেল চলাকালে IdP টোকেন মেয়াদোত্তীর্ণ হয়)।
  • যে ব্যবহারকারীর জন্য সর্বদা-চালু সক্রিয় করবে মৌলিক প্রমাণীকরণের সময় (ক্যাটো ইনস্টলের পরে) শুধুমাত্র ক্লায়েন্টের ISP IP ঠিকানা এবং পরবর্তী প্রমাণীকরণ অনুরোধ এবং পুনঃপ্রমাণীকরণ অনুরোধের সময় (টানেল চলাকালে IdP টোকেন মেয়াদোত্তীর্ণ হয়) PoP এর IP ঠিকানা ব্যবহার করবে।
  • "সর্বদা-চালু" ব্যবহারকারীদের জন্য, প্রাথমিক প্রমাণীকরণ (Cato ইনস্টল করার পরে) রেজিস্ট্রি কী InitialAlwaysOn সক্রিয় করে Cato টানেল ব্যবহার করার জন্য জোর করা যাবে, যেমনটি উইন্ডোজ ক্লায়েন্ট ইনস্টল এবং সর্বদা-চালু এ বর্ণনা করা হয়েছে।.

যদি Conditional Access নীতিতে Cato Portal অ্যাপ্লিকেশন বাদ দেওয়া ব্লক-সব নীতি অন্তর্ভুক্ত থাকে, তাহলে CMA তে একক সাইন-ইন পৃষ্ঠায় যান এবং মাইক্রোসফট পরিচয়পত্র, ক্লিক করুন, যা পুনরায় Azure এর সাথে সম্মতি করতে অ্যাডমিনিস্ট্রেটরের ক্রেডেনশিয়াল এর জন্য প্রম্পট করবে।

Was this article helpful?

0 out of 0 found this helpful

0 comments