Este artículo analiza el comportamiento de la sesión de autenticación de Single Sign-On (SSO) en relación con el token IdP y el token Cato con el Cliente de Windows.
Los usuarios finales se autentican en el Cliente Cato basándose en el token de autenticación de Cato. La duración de este token se configura en la Cato Management Application. La duración del token de autenticación del IdP se basa en la configuración del IdP. El tiempo de inicio de estos tokens no está sincronizado, por lo que, incluso si están configurados para la misma duración, usualmente expiran en momentos diferentes. Cuando ambos tokens han expirado, el usuario debe re-autenticarse en el IdP. Para más información sobre la expiración de la sesión del usuario SDP, consulta Entendiendo la Sesión Expirante para Usuarios SDP.
Este artículo explica el comportamiento del Cliente cuando el token Cato ha expirado, pero el token IdP sigue siendo válido. Este comportamiento es diferente dependiendo de la versión del Cliente.
Nota
Notas:
-
Para todas las versiones del Cliente, mientras el token Cato sea válido, el usuario está autenticado (incluso si el token IdP ha expirado).
-
Para cuentas que configuran la opción Token validity en Always Prompt en lugar de Duración, el usuario SDP debe autenticarse en el IdP cada vez que se conecte con el Cliente. El token IdP es ignorado.
Para más información sobre sesiones de autenticación SSO, consulta Configurando SSO y el Subdominio para la Cuenta.
Esta sección describe cómo el Cliente se re-autentica automáticamente cuando el token Cato expira y el token IdP sigue siendo válido para el Cliente de Windows v5.0 y superior.
10 minutos antes de que expire el token Cato, el Cliente intenta re-autenticarse automáticamente con el IdP sin impacto ni mensajes para el usuario final. Cuando el token IdP es válido, el Cliente se re-autentica automáticamente y Cato genera un nuevo token SSO basado en la configuración de duración del token para la cuenta.
Configuras la cantidad de tiempo que el token Cato es válido en la Cato Management Application (Access > Single Sign-On). Para más información sobre la experiencia del usuario y tokens que expiran, consulta Entendiendo la Sesión Expirante para Usuarios SDP.
Si ambos tokens han expirado, el usuario final se autentica en el IdP y luego se genera un nuevo token Cato.
Este es un ejemplo del comportamiento de la sesión para el Cliente de Windows v5.0 y superior.
-
El usuario se autentica en el Cliente ingresando las credenciales del IdP (nombre de usuario y contraseña). El IdP genera un token SSO para el usuario.
-
Se genera un token Cato con una duración de 10 días (basado en la configuración de Single Sign-On en la Cato Management Application).
-
10 días después - 10 minutos antes de que expire el token Cato, el Cliente intenta re-autenticarse silenciosamente con el token IdP.
-
Si el token IdP es válido, el Cliente se re-autentica automáticamente sin impacto para el usuario (la sesión no se interrumpe). El token Cato es válido durante otros 10 días.
-
Si el token IdP ha expirado, se le pide al usuario que se autentique en el IdP, y luego el token Cato es válido durante otros 10 días (la sesión no se interrumpe).
Si el usuario no se re-autentica en el IdP, la sesión expira después de que finalicen los 10 minutos restantes.
-
Comportamiento del mensaje de re-autenticación SSO del Cliente para el Cliente de Windows v5.0 (y superior)
Cuando la sesión del usuario está por expirar pronto, el Cliente muestra un mensaje a los usuarios para permitirles re-autenticarse fácilmente. El objetivo de este mensaje es proporcionar la mejor experiencia del usuario, por lo que el comportamiento del mensaje depende de la configuración del token IdP y Cato.
La siguiente tabla explica la experiencia de re-autenticación para usuarios SDP basada en la diferente configuración de la duración del token Cato e IdP.
Esta sección describe cómo el usuario final se re-autentica cuando el token Cato expira y el token IdP sigue siendo válido para el Cliente de Windows v4.7 y anteriores. El Cliente se desconecta automáticamente, y el usuario final hace clic en Connect, luego el Cliente se re-autentica automáticamente usando el token IdP válido. Configuras la cantidad de tiempo que el token Cato es válido en la Cato Management Application (Access > Single Sign-On).
-
El usuario se autentica en el Cliente ingresando las credenciales del IdP (nombre de usuario y contraseña). El IdP genera un token SSO para el usuario.
-
Se genera un token Cato con una duración de 10 días (basado en la configuración de Single Sign-On en la Cato Management Application).
-
Después de 10 días, el token Cato expira y el Cliente se desconecta automáticamente.
-
Si el token IdP es válido, en el Cliente . El usuario hace clic en Connect y se re-autentica, el token Cato es válido durante otros 10 días.
-
Si el token IdP ha expirado, se le pide al usuario que se autentique en el IdP, y luego el token Cato es válido durante otros 10 días (la sesión no se interrumpe).
-
0 comentarios
Inicie sesión para dejar un comentario.