Configuración de la Política de Autenticación para los Clientes de Cato

Este artículo explica cómo configurar el comportamiento de autenticación y los requisitos de Autenticación Multifactor (MFA) para los usuarios SDP en su cuenta.

Visión General de la Política de Autenticación del Cliente SDP

La política de autenticación define cómo los usuarios se autentican en su cuenta: MFA, Inicio de Sesión Único (SSO), o nombre de usuario y contraseña. Además, puede elegir la experiencia de autenticación del usuario final usando el navegador dentro del Cliente o el navegador predeterminado del sistema operativo externo.

Configuración de la Autenticación del Navegador para la Cuenta (Windows y macOS)

Para dispositivos Windows y macOS, puede configurar cómo los usuarios se autentican utilizando el navegador embebido o un navegador externo. La configuración predeterminada es usar el navegador embebido, que proporciona la mejor experiencia al usuario final. La autenticación MFA y SSO se completa dentro del Cliente y luego conecta el dispositivo a la Nube de Cato sin problemas.

A veces, la configuración de red de una cuenta no es compatible con el navegador embebido. En estos casos, puede configurar su cuenta para usar el navegador predeterminado externo del sistema operativo para el dispositivo. El usuario final comienza la conexión en el Cliente, y luego los usuarios se autentican en la Nube de Cato con el navegador del sistema operativo.

Para configurar la autenticación del navegador del Cliente para la cuenta:

  1. Desde el menú de navegación, haz clic en Acceso > Autenticación de Usuarios.

  2. Haga clic en la pestaña Configuración Adicional.

  3. En Autenticación del Navegador, selecciona una de estas opciones:

    • Navegador incorporado - Los usuarios SDP se autentican en su cuenta dentro del Cliente

    • Navegador Externo - Los usuarios SDP se autentican en su cuenta con el navegador del sistema operativo

  4. Haz clic en Guardar.

Prácticas recomendadas para la Autenticación del Navegador

Las siguientes son prácticas recomendadas para seguir al elegir su método de Autenticación del Navegador:

  • Se recomienda el Navegador Incorporado, excepto cuando el acceso condicional requiera un complemento de navegador que solo sea compatible con un navegador externo.

  • Use el Navegador Incorporado cuando el Siempre Encendido esté habilitado para asegurar un correcto funcionamiento. No todos los dominios e IPs necesarios para la autenticación SSO están permitidos cuando se utiliza un navegador externo.

  • El navegador embebido debe ser usado en un entorno ADFS, o SSO no puede ser utilizado para la autenticación.

  • El navegador embebido previene un problema con la autenticación SSO con el navegador externo y la aplicación de HSTS. Para más información, vea Fallas de Autenticación SSO al Usar el Navegador Externo | Error de localhost.

  • Use el navegador externo para la autenticación al usar la aplicación Okta Verify en macOS o Windows.

Configuración de la Política de Autenticación para Todos los Usuarios

Use la pantalla de Autenticación de Usuario para definir la política de autenticación para los usuarios de su cuenta que se conectan con el Cliente de Cato. Para cuentas que habilitan SSO, esta es la política de autenticación predeterminada.

Estas son las opciones de autenticación:

  • SSO - Los usuarios se autentican con SSO usando el Proveedor de Identidad (IdP) configurado para su cuenta

  • MFA - Los usuarios deben autenticarse usando un código que reciben por SMS o una aplicación de autenticación (de acuerdo con RFC-6238 para MFA)

  • Nombre de Usuario y Contraseña - Los usuarios se autentican con el nombre de usuario y la contraseña para el Cliente (sin requisitos de MFA)

También puede elegir omitir la política de MFA para usuarios individuales, vea a continuación Omitir Configuraciones de Autenticación para Usuarios Específicos.

Si está utilizando Servicios de Directorio y necesita modificar un número de teléfono móvil de usuario para autenticación avanzada, debe modificar el número de teléfono solo en el IdP.

Nota

Nota: La Autenticación Multifactor (MFA) y el Inicio de Sesión Único (SSO) NO son compatibles para usuarios que se provisionan con un código de registro.

Trabajando con Configuraciones de Validez del Token

La opción de Validez del Token > Duración depende de si el dispositivo que ejecuta el cliente Cato es "de confianza" como sigue:

  • Si el usuario habilitó la confianza para el dispositivo que ejecuta el Cliente de Cato (seleccionando la opción No preguntarme de nuevo en este dispositivo/computadora en el Cliente al conectarse a la Nube de Cato), entonces no se requiere MFA si la duración aún es válida y la geolocalización no ha cambiado a un país diferente

  • Si el usuario no habilitó la confianza para el dispositivo que ejecuta el cliente de Cato (limpiando la opción No preguntarme de nuevo en este dispositivo/computadora en el cliente al conectarse a la Nube de Cato), la configuración de duración no tiene efecto y siempre se requiere MFA en este dispositivo

Nota

Nota: Desde el Cliente de Windows v5.12, el navegador integrado del Cliente puede actualizar el token del IdP. Los usuarios no son solicitados para reautenticarse cuando el token del IdP expira.

ClientAccess_Authentication.png

Para configurar la política de MFA para usuarios remotos:

  1. Desde el menú de navegación, haz clic en Acceso > Autenticación de Usuarios.

  2. En la lista desplegable Método, seleccione MFA.

  3. Configure el General seleccionando el Método de Autenticación para la política:

    • Cualquiera - Cada usuario selecciona el método de autenticación para sí mismo

    • Autenticador - Los usuarios deben usar una aplicación de autenticación (como Google Authenticator)

    • SMS - Los usuarios reciben un mensaje de texto SMS con un código de autenticación

  4. En la sección de validez del token, seleccione el comportamiento para el token MFA en el Cliente:

    • Siempre Solicitar - Se requiere MFA cada vez que el usuario se conecta.

      Los usuarios que han iniciado sesión deben reautenticarse cuando se alcanza la duración que usted define en Días o Horas (desde la última vez que iniciaron sesión).

    • Duración - Los usuarios no requieren MFA por la duración que usted define en Días o Horas.

  5. Haz clic en Guardar.

Omitiendo Configuraciones de Autenticación para Usuarios Específicos

Puede personalizar diferentes configuraciones de autenticación para usuarios específicos y anular la política de autenticación global. Edite un usuario y luego use la pantalla de Autenticación para personalizar el método de autenticación para ese usuario.

Para anular las configuraciones de autenticación globales para un usuario específico:

  1. Desde el menú de navegación, haz clic en Acceso > Usuarios.

  2. Seleccione el usuario, y desde el menú de navegación seleccione Configuración de Usuario > Autenticación.

  3. Seleccione Anular configuraciones de autenticación de la cuenta.

    Override_Authentication_Settings.png

  4. Seleccione el Método de autenticación para el usuario.

  5. Configure las configuraciones de autenticación para este usuario.

  6. Haz clic en Guardar.

Restablecimiento de MFA para un Usuario

Puede restablecer la configuración de MFA para los usuarios cuando sea necesario, como cuando se instala el Cliente en un nuevo dispositivo.

Para restablecer las configuraciones de MFA para un usuario:

  1. Desde el menú de navegación, haz clic en Acceso > Usuarios.

  2. En la lista Usuario, seleccione la casilla junto al nombre del usuario.

  3. Desde el menú desplegable Acciones, seleccione Restablecer MFA.

  4. En la ventana de confirmación, haga clic en OK.

  5. El usuario recibe un e-mail con un enlace al Portal de Usuario de Cato. Después de iniciar sesión en el portal, el usuario necesitará activar la configuración de MFA para el dispositivo.

Recursos Relacionados

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 5

0 comentarios