Problema

Al implementar el Acceso Condicional de Azure para la aplicación del Portal de Cato para restringir el Inicio de Sesión Único (SSO), el Cliente de Cato muestra el mensaje de error "No puedes acceder a esto ahora" debido a que la política de Acceso Condicional no cumple con los requisitos configurados.

Entorno

• Azure SSO está configurado como el método de autenticación en CMA.
• El Acceso Condicional de Azure se aplica para restringir direcciones IP de origen (ubicación) o la aplicación del Portal de Cato.
• Ambos navegadores embebidos o externos.

Solución de problemas

Estos pasos pueden seguirse para solucionar problemas de SSO relacionados con el Acceso Condicional de Azure:

1. Comprender los Flujos de Procesos de SSO para Autenticación Inicial para la autenticación SSO:
   • Durante la conexión inicial del Cliente de Cato, la autenticación SSO ocurre directamente entre el Cliente y el IdP fuera del túnel. Azure verá la dirección IP del ISP del Cliente en la solicitud de autenticación.
   • En casos donde Always-On esté habilitado para el usuario o cuando ocurra la re-autenticación SSO después de que el token del IdP expire, la autenticación SSO entre el Cliente y el IdP ocurre dentro del túnel a través del PoP. Azure verá la dirección IP del PoP de Cato en la solicitud de autenticación.
2. Acceder a los registros de inicio de sesión de Azure bajo Acceso Condicional para analizar eventos de fallos. Los registros incluirán la dirección IP de origen del cliente para cada intento de autenticación. Usar la opción 'mostrar detalles' bajo la pestaña de Acceso Condicional para obtener más información sobre el fallo.
   
3. Verificar la configuración de la Política de Acceso Condicional, incluyendo la aplicación del Portal de Cato y el rango de IP del PoP de Cato como elementos excluidos. Puede que quiera verificar que la Política esté correctamente configurada y que permita las direcciones IP de origen correctas y la aplicación para que la autenticación SSO sea exitosa.
4. Es posible que la aplicación del Portal de Cato no se detecte correctamente por la política de Acceso Condicional debido a restricciones de permisos con Microsoft Azure. Si ese es el caso, verá una autenticación exitosa seguida de un fallo como se muestra a continuación.

Solución

Si la Política de Acceso Condicional incluye ubicación (dirección IP de origen del usuario), defina la dirección IP o el rango de IP basado en la configuración Always-On del usuario:

• Usuarios con Always-On deshabilitado (a demanda) usarán la dirección IP del ISP del cliente durante la autenticación y la dirección IP del PoP para la re-autenticación (el token del IdP expira mientras el túnel está activo).
• Usuarios con Always-On habilitado usarán la dirección IP del ISP del cliente solo durante la autenticación inicial (después de la instalación de Cato) y la dirección IP del PoP para solicitudes de autenticación subsecuentes y solicitudes de re-autenticación (el token del IdP expira mientras el túnel está activo).
• Para los usuarios con Always-On, la autenticación inicial (después de la instalación de Cato) también se puede forzar a usar el túnel de Cato habilitando la clave de registro InitialAlwaysOn como se explica en Instalación de Clientes de Windows y Always-On.

Si la Política de Acceso Condicional incluye una política de bloqueo total excluyendo la aplicación del Portal de Cato, vaya a la página de Inicio de Sesión Único en CMA y haga clic en Credenciales de Microsoft, lo que solicitará credenciales de administrador para otorgar consentimiento con Azure nuevamente.