Autenticación SSO para Usuarios con Cato

Este artículo explica cómo el Cliente de Cato permite a los usuarios autenticarse con Single Sign On (SSO) y conectarse a la red.

Visión general

Configurar SSO para su cuenta simplifica la autenticación y mejora la experiencia del usuario. Con SSO, tres componentes trabajan juntos para verificar la identidad del usuario para que puedan conectarse a la red. Primero, el usuario se identifica con sus credenciales de SSO. En segundo lugar, su IdP actúa como el sistema de autenticación para validar las credenciales del usuario. En tercer lugar, Cato se integra con su IdP para permitir que el usuario inicie sesión en el Cliente y se conecte a la red.

El proceso de autenticación SSO depende de generar y validar tokens únicos que se comparten entre su IdP y Cato.

Nota

Nota: Cato soporta OIDC para inicio de sesión único (SSO) solamente. La autenticación basada en SAML actualmente no es compatible.

Comprensión de los tokens SSO utilizados para la autenticación SSO

Para la autenticación SSO, el Cliente utiliza dos tokens SSO encriptados para validar que el usuario está autenticado y se le permite conectarse a la red.

  • Token IdP: Este es generado por su IdP después de que un usuario se autentica con sus credenciales de SSO.

  • Token Cato: Este token es generado por el PoP después de que el Cliente recibe una respuesta de validación exitosa del IdP. Este token es utilizado por Cato para verificar que el usuario ha sido autenticado para que el Cliente pueda mantener una conexión con el Cato Cloud. El token de Cato se almacena en un dispositivo y la duración de la validez se establece en la Aplicación de Gestión de Cato.

    Después de que el token de Cato expira, el PoP verifica si el token IdP es válido. Si el Cliente recibe una respuesta de validación exitosa del IdP, el PoP genera un nuevo token de Cato, y el Cliente permanece conectado al Cato Cloud. Si tanto el token de Cato como el token IdP han expirado, el Cliente se desconecta del Cato Cloud. El Cliente solo se reconecta cuando recibe un nuevo token IdP después de que el usuario se vuelve a autenticar.

Puede configurar cómo expira el Token de Cato:

  • Duración: Selecciona el período de tiempo durante el cual el Token de Cato es válido. Durante este período de tiempo, el token permanece válido si un usuario desconecta el Cliente.

  • Siempre Preguntar: El Token de Cato expira después de que un usuario desconecta el Cliente. Puede seleccionar el período de tiempo durante el cual el Token de Cato es válido si el usuario no se desconecta.

La tabla a continuación explica el estado de conexión del Cliente cuando expira cada token:

Estado del Token IdP

Estado del Token de Cato

Estado de la Conexión

Válido

Válido

Cliente está conectado

Expirado

Válido

Cliente está conectado hasta que el token de Cato expire

Válido

Expirado

  1. El Cliente verifica con el IdP si el Token IdP es válido. Si su validez del Token está configurada para:

    • Duración: esta verificación se realiza automáticamente

    • Siempre Preguntar: esta verificación es iniciada por el usuario

  2. IdP envía una respuesta de validación exitosa

  3. Cliente envía una respuesta de validación exitosa al PoP

  4. PoP genera un nuevo token de Cato y lo envía al Cliente

  5. Cliente permanece conectado

Expirado

Expirado

  1. El Cliente verifica con el IdP si el Token IdP es válido. Dependiendo de su configuración de SSO, esta verificación puede realizarse automáticamente o la inicia el usuario

  2. IdP envía una respuesta de validación fallida

  3. Cliente se desconecta

Ejemplos de Flujos de Procesos SSO para la Autenticación Inicial

Esta sección proporciona ejemplos de usuarios utilizando SSO para autenticarse en el Cliente y conectarse a la red.

Autenticación Inicial

Este flujo de proceso explica qué sucede cuando un usuario se autentica en el Cliente por primera vez.

  1. En el Cliente, el usuario hace clic en Agregar usuario.

    1. El PoP genera una pantalla para que el usuario ingrese su dirección de correo electrónico

    2. El PoP asocia la dirección de correo electrónico con una cuenta de Cato. El Cliente muestra las opciones de autenticación configuradas para la cuenta.

  2. El usuario hace clic en la opción SSO, y el Cliente muestra un navegador (ya sea en el Cliente o un navegador externo) para que el usuario pueda ingresar el inicio de sesión IdP y las credenciales MFA.

    • El IdP valida las credenciales del usuario

  3. Si las credenciales son válidas, el IdP envía una respuesta de éxito con el token IdP al PoP.

  4. El PoP confirma la validez del token directamente con el IdP.

  5. Si el token es válido, el PoP genera el token de Cato y lo envía al Cliente.

    1. El Cliente almacena el token de Cato en el dispositivo

    2. El usuario está autenticado, y el Cliente se conecta a la red

Autenticación con Always-On Habilitado

Este flujo de proceso explica qué sucede con un usuario con Always-On habilitado se autentica en el Cliente.

Este proceso ocurre después de la autenticación inicial descrita anteriormente.

  1. El dispositivo se enciende y arranca.

  2. El Cliente verifica si el token de Cato en el dispositivo es válido. Esta verificación puede ser automática o iniciada por el usuario, dependiendo de su configuración de validez del Token.

    1. Si el token de Cato es válido, el Cliente se conecta

    2. Si el token de Cato ha expirado, el Cliente verifica si el token IdP es válido

      1. Si el token IdP es válido, el Cliente envía una respuesta de validación exitosa al PoP. El PoP crea un nuevo token de Cato, y el Cliente se conecta

      2. Si el token IdP ha expirado, el Cliente no se conecta. El Cliente muestra las opciones de autenticación configuradas para la cuenta. El Cliente solo se conecta después de que el usuario se ha re-autenticado.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 7 de 7

0 comentarios