Authentification SSO pour utilisateurs avec Cato

Cet article explique comment le Client Cato permet aux utilisateurs de s'authentifier avec le Single Sign-On (SSO) et de se connecter au réseau.

Vue d'ensemble

Configurer le SSO pour votre compte simplifie l'authentification et améliore l'expérience de l'utilisateur. Avec le SSO, trois composants collaborent pour vérifier l'identité de l'utilisateur afin qu'il puisse se connecter au réseau. Tout d'abord, l'utilisateur s'identifie avec ses identifiants SSO. Ensuite, votre IdP agit comme le système d'authentification pour valider les identifiants de l'utilisateur. Enfin, Cato s'intègre à votre IdP pour permettre à l'utilisateur de se connecter au Client et au réseau.

Le processus d'authentification SSO dépend de la génération et de la validation de jetons uniques partagés entre votre IdP et Cato.

Note

Note : Cato supporte OIDC pour SSO uniquement. L'authentification basée sur SAML n'est actuellement pas prise en charge.

Comprendre les jetons SSO utilisés pour l'authentification SSO

Pour l'authentification SSO, le Client s'appuie sur deux jetons SSO cryptés pour valider que l'utilisateur est authentifié et autorisé à se connecter au réseau.

  • Jeton IdP : Celui-ci est généré par votre IdP après qu'un utilisateur s'authentifie avec ses identifiants SSO.

  • Jeton Cato : Ce jeton est généré par le PoP après que le Client reçoit une réponse de validation réussie de l'IdP. Ce jeton est utilisé par Cato pour vérifier que l'utilisateur a été authentifié afin que le Client puisse maintenir une connexion au Cato Cloud. Le jeton Cato est stocké sur un appareil et la durée de validité est définie dans l'Application de Gestion de Cato.

    Après l'expiration du jeton Cato, le PoP vérifie si le jeton IdP est valide. Si le Client reçoit une réponse de validation réussie de l'IdP, le PoP génère un nouveau jeton Cato, et le Client reste connecté au Cato Cloud. Si à la fois le jeton Cato et le jeton IdP ont expiré, le Client se déconnecte du Cato Cloud. Le Client ne se reconnecte que lorsqu'il reçoit un nouveau jeton IdP après que l'utilisateur se réauthentifie.

Vous pouvez configurer comment le Jeton Cato expire :

  • Durée : Vous sélectionnez la période pendant laquelle le Jeton Cato est valide. Pendant cette période, le jeton reste valide si un utilisateur déconnecte le Client.

  • Toujours demander : Le Jeton Cato expire après qu'un utilisateur déconnecte le Client. Vous pouvez sélectionner la période pendant laquelle le Jeton Cato est valide si l'utilisateur ne se déconnecte pas.

Le tableau ci-dessous explique l'état de la connexion du Client lorsque chaque jeton expire :

État du Jeton IdP

État du Jeton Cato

État de la Connexion

Valide

Valide

Le Client est connecté

Expiré

Valide

Le Client est connecté jusqu'à ce que le jeton Cato expire

Valide

Expiré

  1. Le Client vérifie avec l'IdP si le Jeton IdP est valide. Si la validité de votre Jeton est réglée sur :

    • Durée : ce contrôle est effectué automatiquement

    • Toujours demander : ce contrôle est initié par l'utilisateur

  2. IdP envoie une réponse de validation réussie

  3. Le Client envoie une réponse de validation réussie au PoP

  4. Le PoP génère un nouveau jeton Cato et l'envoie au Client

  5. Le Client reste connecté

Expiré

Expiré

  1. Le Client vérifie avec l'IdP si le Jeton IdP est valide. Selon votre configuration SSO, ce contrôle peut être effectué automatiquement ou est initié par l'utilisateur

  2. IdP envoie une réponse de validation échouée

  3. Le Client se déconnecte

Exemples de flux de processus SSO pour l'authentification initiale

Cette section fournit des exemples d'utilisateurs utilisant le SSO pour s'authentifier au Client et se connecter au réseau.

Authentification initiale

Ce flux de processus explique ce qui se passe lorsqu'un utilisateur s'authentifie pour la première fois au Client.

  1. Dans le Client, l'utilisateur clique sur Ajouter utilisateur.

    1. Le PoP génère un écran pour que l'utilisateur saisisse son adresse e-mail

    2. Le PoP associe l'adresse e-mail à un compte Cato. Le Client affiche les options d'authentification configurées pour le compte.

  2. L'utilisateur clique sur l'option SSO, et le Client affiche un navigateur (dans le Client ou un navigateur externe) pour que l'utilisateur puisse entrer ses identifiants de connexion et MFA de l'IdP.

    • L'IdP valide les identifiants de l'utilisateur

  3. Si les identifiants sont valides, l'IdP envoie une réponse réussie avec le jeton IdP au PoP.

  4. Le PoP confirme la validité du jeton directement avec l'IdP.

  5. Si le jeton est valide, le PoP génère le jeton Cato et l'envoie au Client.

    1. Le Client stocke le jeton Cato sur l'appareil

    2. L'utilisateur est authentifié, et le Client se connecte au réseau

Authentification avec Always-On activé

Ce flux de processus explique ce qui se passe lorsqu'un utilisateur avec Always-On activé s'authentifie au Client.

Ce processus a lieu après l'authentification initiale décrite ci-dessus.

  1. L'appareil est allumé et démarre.

  2. Le Client vérifie si le jeton Cato sur l'appareil est valide. Ce contrôle peut être automatique ou initié par l'utilisateur, selon votre configuration de validité du Jeton.

    1. Si le jeton Cato est valide, le Client se connecte

    2. Si le jeton Cato a expiré, le Client vérifie si le jeton IdP est valide

      1. Si le jeton IdP est valide, le Client envoie une réponse de validation réussie au PoP. Le PoP crée un nouveau jeton Cato, et le Client se connecte

      2. Si le jeton IdP a expiré, le Client ne se connecte pas. Le Client affiche les options d'authentification configurées pour le compte. Le Client ne se connecte qu'après que l'utilisateur s'est réauthentifié.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 7 sur 7

0 commentaire