Configuración de la política de autenticación para clientes Cato

Este artículo discute cómo configurar el comportamiento de autenticación y los requisitos de Autenticación Multifactor (MFA) para usuarios SDP en su cuenta.

Visión general de la política de autenticación de clientes SDP

La política de autenticación define cómo los usuarios se autentican en su cuenta: MFA, inicio de sesión único (SSO) o nombre de usuario y contraseña. Además, puede elegir la experiencia de autenticación del usuario final usando el navegador integrado en el cliente o el navegador predeterminado externo del sistema operativo.

Configurando la autenticación del navegador para la cuenta (Windows y macOS)

Para dispositivos Windows y macOS, puede configurar si los usuarios se autentican usando el navegador integrado o un navegador externo. La configuración predeterminada es usar el navegador integrado que proporciona la mejor experiencia para el usuario final. La autenticación MFA y SSO se completa dentro del cliente y luego conecta sin problemas el dispositivo a la Nube de Cato.

A veces, la configuración de la red de una cuenta no admite el navegador integrado. En estos casos, puede configurar su cuenta para usar el navegador predeterminado externo del sistema operativo para el dispositivo. El usuario final inicia la conexión en el cliente, y luego los usuarios se autentican en la Nube de Cato con el navegador del sistema operativo.

Para configurar la autenticación del navegador del cliente para la cuenta:

  1. En el menú de navegación, haga clic en Acceso > Autenticación de usuario.

  2. Haga clic en la pestaña Configuraciones adicionales.

  3. En Autenticación del navegador, seleccione una de estas opciones:

    • Navegador integrado - Los usuarios SDP se autentican en su cuenta dentro del cliente

    • Navegador externo - Los usuarios SDP se autentican en su cuenta con el navegador del sistema operativo

  4. Haga clic en Guardar.

Mejores prácticas para la autenticación del navegador

Las siguientes son las mejores prácticas a seguir al elegir su método de autenticación del navegador:

  • Se recomienda el navegador integrado excepto cuando el acceso condicional requiere un complemento de navegador que solo es compatible con un navegador externo.

  • Usar el navegador integrado cuando Always-On está habilitado para asegurar el funcionamiento adecuado. No todos los dominios e IPs necesarios para la autenticación SSO están permitidos cuando se usa un navegador externo.

  • Debe usarse el navegador integrado en un entorno ADFS, o el SSO no se puede usar para autenticación.

  • El navegador integrado previene un problema con la autenticación SSO con el navegador externo y la aplicación de HSTS. Para más información, vea Fallo de autenticación SSO al usar navegador externo | Error localhost.

  • Usar el navegador externo para autenticación al usar la aplicación Okta Verify, ya sea en macOS o Windows.

Configuración de la política de autenticación para todos los usuarios

Use la pantalla de Autenticación de usuario para definir la política de autenticación para usuarios en su cuenta que se conectan con el cliente Cato. Para cuentas que habilitan SSO, esta es la política de autenticación predeterminada.

Estas son las opciones de autenticación:

  • SSO - Los usuarios se autentican con SSO usando el Proveedor de Identidad (IdP) configurado para su cuenta

  • MFA - Los usuarios deben autenticarse usando un código que reciben de un SMS o de una aplicación de autenticación (de acuerdo con el RFC-6238 para MFA)

  • Nombre de usuario y contraseña - Los usuarios se autentican con el nombre de usuario y la contraseña para el cliente (sin requisitos de MFA)

También puede optar por anular la política de MFA para usuarios individuales, consulte a continuación Anulación de configuraciones de autenticación para usuarios específicos.

Si está usando servicios de directorio y necesita modificar el número de teléfono móvil de un usuario para autenticación avanzada, debe modificar el número de teléfono solo en el IdP.

Nota

Nota: La Autenticación Multifactor (MFA) y el inicio de sesión único (SSO) NO son compatibles para usuarios que son aprovisionados con un código de registro.

Trabajando con configuraciones de validez de tokens

La opción Validez del token > Duración depende de si el dispositivo que ejecuta el cliente de Cato es "confiable" de la siguiente manera:

  • Si el usuario habilitó la confianza para el dispositivo que ejecuta el cliente Cato (seleccionando la opción No preguntarme de nuevo en este dispositivo/computadora en el cliente al conectarse a la Nube de Cato), entonces no se requiere MFA si la duración aún es válida y la geolocalización no ha cambiado a un país diferente

  • Si el usuario no habilitó la confianza para el dispositivo que ejecuta el cliente Cato (desmarcando la opción No preguntarme de nuevo en este dispositivo/computadora en el cliente al conectarse a la Nube de Cato), la configuración de duración no tiene efecto y siempre se requiere MFA en este dispositivo

Nota

Nota: Desde el cliente de Windows v5.12, el navegador integrado del cliente es capaz de refrescar el token del IdP. A los usuarios no se les solicita volver a autenticarse cuando el token del IdP expira.

ClientAccess_Authentication.png

Para configurar la política de MFA para usuarios remotos:

  1. En el menú de navegación, haga clic en Acceso > Autenticación de usuario.

  2. En la lista desplegable Método, seleccione MFA.

  3. Configure el General seleccione el Método de autenticación para la política:

    • Cualquiera - Cada usuario selecciona el método de autenticación por sí mismo

    • Autenticador - Los usuarios deben usar una aplicación de autenticación (como Google Authenticator)

    • SMS - Se envía a los usuarios un mensaje de texto SMS con un código de autenticación

  4. En la sección Validez del token, seleccione el comportamiento para el token de MFA en el cliente:

    • Siempre preguntar - Se requiere MFA siempre que el usuario se conecte.

      Los usuarios que han iniciado sesión deben volver a autenticarse cuando se alcanza la duración que usted define en Días o Horas (desde que ingresaron por última vez).

    • Duración - Los usuarios no requieren MFA durante el tiempo que usted defina en Días o Horas.

  5. Haga clic en Guardar.

Anulación de configuraciones de autenticación para usuarios específicos

Puede personalizar diferentes configuraciones de autenticación para usuarios específicos y anular la política de autenticación global. Edite un usuario y luego use la pantalla de Autenticación para personalizar el método de autenticación para ese usuario.

Para anular las configuraciones de autenticación global para un usuario específico:

  1. En el menú de navegación, haga clic en Acceso > Usuarios.

  2. Seleccione el usuario y en el menú de navegación seleccione Configuración de usuario > Autenticación.

  3. Seleccione Anular configuraciones de autenticación de cuenta.

    Override_Authentication_Settings.png

  4. Seleccione el Método de autenticación para el usuario.

  5. Configure las configuraciones de autenticación para este usuario.

  6. Haga clic en Guardar.

Restablecimiento de MFA para un usuario

Puede restablecer la configuración de MFA para los usuarios cuando sea necesario, como al instalar el cliente en un nuevo dispositivo.

Para restablecer la configuración de MFA para un usuario:

  1. En el menú de navegación, haga clic en Acceso > Usuarios.

  2. En la lista de Usuario, seleccione la casilla junto al nombre del usuario.

  3. En el menú desplegable Acciones, seleccione Restablecer MFA.

  4. En la ventana de confirmación, haga clic en OK.

  5. El usuario recibe un correo electrónico con un enlace al Portal de usuarios de Cato. Después de iniciar sesión en el portal, el usuario necesitará activar las configuraciones de MFA para el dispositivo.

Recursos relacionados

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 5

0 comentarios