Cet article explique comment configurer le Client pour qu'il s'appuie sur les identifiants Windows de l'utilisateur pour authentifier.
Pour l'accès à distance, la mise en œuvre de vos politiques de sécurité nécessite que les utilisateurs s'authentifient avec succès sur le Client. Assurer une authentification transparente augmente la sécurité de votre réseau et crée une expérience utilisateur simple. Pour les utilisateurs qui s'authentifient avec SSO, vous pouvez configurer le Client pour utiliser leurs identifiants Windows pour l'authentification. Cela permet aux utilisateurs de se connecter une fois à leur appareil, sans avoir à ressaisir les identifiants lors de la connexion au Client. L'authentification peut se produire automatiquement ou être initiée par l'utilisateur. Dans ce Processus, un Token de Rafraîchir Primaire (PRT) est émis, que le Client Cato récupère pour Authentifier l'Utilisateur. Après l'expiration de la session SSO et la validité du jeton PRT, le Client se réauthentifie silencieusement en utilisant les identifiants Windows, maintenant un flux de connexion et de réauthentification transparent.
Si vous configurez cette fonctionnalité avec la clé de registre Windows pour lancer automatiquement le Client après l'installation initiale et Connexion au démarrage, le Client se lance, s'authentifie et se connecte toujours sans que l'Utilisateur effectue d'Action.
Remarque
Note : Les entrées de registre peuvent être sensibles à la casse et doivent être saisies exactement comme elles apparaissent dans cet article.
L'entreprise ABC souhaite une expérience utilisateur simple pour que leurs utilisateurs puissent se connecter à Cato avec le moins de clics possible. Pour ce faire, ils veulent rendre le processus d'authentification du Client automatique. Cela signifie que pour se connecter à Cato, les utilisateurs ont seulement besoin d'ouvrir le Client et de cliquer sur Connecter.
L'Admin configure les paramètres SSO de Cato pour utiliser automatiquement les identifiants Windows de l'utilisateur pour s'authentifier.
Chaque fois que les utilisateurs se connectent à leur appareil, même si le jeton SSO a expiré, le Client peut se connecter au réseau sans nécessiter d'authentification supplémentaire de l'utilisateur.
L'entreprise ABC veut s'assurer que leurs utilisateurs sont connectés au Client aussi souvent que possible. Pour ce faire, ils veulent rendre le processus de connexion au Client automatique afin que les nouveaux utilisateurs et les utilisateurs existants n'aient pas à se souvenir de cliquer manuellement sur le bouton Connecter dans le Client.
L'Admin configure ces paramètres :
- Pour que le Client se lance immédiatement pour les nouveaux Utilisateurs la première fois qu'ils démarrent l'appareil, ils définissent une clé de registre Windows sur l'appareil.
- Pour que le Client se connecte à chaque fois que l'appareil démarre, ils activent Connexion au démarrage.
- Pour supprimer l'exigence d'authentification manuelle de l'utilisateur, ils activent l'Authentification Client Automatique pour utiliser les identifiants Windows de l'Utilisateur pour Authentifier.
Chaque fois que les utilisateurs se connectent à leur appareil, le Client se lance, s'authentifie et se connecte sans aucune action de l'utilisateur.
Remarque
Note : Si Azure ne peut pas fournir le jeton d'authentification pour l'utilisateur, alors l'utilisateur final suit le flux d'authentification standard en saisissant les identifiants Azure dans le Client.
-
L'authentification avec les identifiants Windows est prise en charge :
- Sur Client Windows v5.8 et supérieur.
- Sur les Appareils exécutant Windows 10 ou supérieur.
- Sur les Appareils joints à Azure AD (AD Hybride rejoint est pris en charge à partir du Client v5.11 et plus).
- Avec Azure configuré comme Fournisseur SSO pour votre Compte et les Utilisateurs autorisés à se connecter avec SSO.
- Le mappage OID et SID est configuré (pour plus d'informations, consultez la Documentation Microsoft.)
- Le Client peut récupérer le Token PRT. Si le Token PRT ne peut pas être récupéré, l'Utilisateur peut avoir besoin d'Authentifier manuellement ou de ré-Authentifier sur Windows. Pour plus d'informations sur la résolution des Problèmes de Token PRT, consultez la Documentation Microsoft.
Cette fonctionnalité est activée dans votre configuration SSO Azure. Une fois activée, vous pouvez choisir l'expérience utilisateur.
Pour Authentifier avec les identifiants Windows :
- Dans le menu de Navigation, cliquez sur Accès > Authentification Unique.
- Dans la section Utilisateurs du client SDP, sélectionnez Se connecter avec les identifiants Windows.
-
Dans le menu déroulant, configurez l'expérience utilisateur :
- Automatiquement : Le Client utilise automatiquement les identifiants Windows pour Authentifier.
- Sélection de l'utilisateur : L'Utilisateur doit confirmer l'Authentification avec leurs identifiants Windows, cependant n'a pas besoin de les entrer à nouveau ou peut choisir de s'Authentiquer en tant qu'Utilisateur différent.
-
Cliquez sur Enregistrer.
Les utilisateurs s'authentifient désormais à Cato avec leurs identifiants Windows. Les nouveaux utilisateurs s'authentifient automatiquement avec leurs identifiants Windows. Les utilisateurs configurés s'authentifient automatiquement la prochaine fois que la session SSO expire.
Remarque
Note : Si plusieurs utilisateurs sont configurés sur un appareil, seul l'utilisateur configuré dans le Client peut s'authentifier avec ses identifiants Windows.
Vous pouvez configurer l'authentification avec les identifiants Windows avec d'autres fonctionnalités pour créer une expérience utilisateur transparente. Cela signifie que le Client se lance, s'authentifie et se connecte sans aucune action de l'utilisateur.
Après avoir configuré les clés de registre Windows, redémarrez l'appareil.
Définissez le nom de votre compte Cato tel qu'il apparaît dans l'application CMA en utilisant la clé de registre Windows SubdomainForSeamlessAuth. Vous pouvez identifier le sous-domaine de votre compte sur la page Accès > Single Sign-On. Après que le Client ait effectué avec succès l'authentification initiale vers le Cato Cloud, le registre est mis à jour automatiquement
Définir la clé de registre Windows LaunchAuthPageOnStartup pour lancer automatiquement le Client après l'installation initiale. Cette fonctionnalité est pour les nouveaux utilisateurs la première fois qu'ils se connectent à leur appareil.
Vous pouvez choisir d'activer Connexion au démarrage dans l'Application de gestion Cato pour l'ensemble du Compte, afin que les Clients se connectent toujours chaque fois que l'appareil démarre. Cette fonctionnalité est configurée pour les utilisateurs afin d'imposer la connexion du Client sans aucune action de l'utilisateur.
Pour les comptes qui souhaitent seulement activer la connexion au démarrage pour des utilisateurs spécifiques, vous pouvez définir la clé de registre ConnectOnBoot sur les appareils pour les utilisateurs requis.
Si l'utilisateur doit accomplir des étapes supplémentaires d'authentification, par exemple, MFA, la clé de registre SeamlessAuthAllowUI est requise pour permettre aux utilisateurs de s'authentifier manuellement.
Utilisation de Toujours demander la validité du jeton et l'authentification avec les identifiants Windows
Si votre configuration de validité du jeton SSO est définie sur Toujours demander et que vous activez l'Authentification avec les identifiants Windows, le Client s'authentifie silencieusement avec les identifiants Windows de l'Utilisateur sans aucun message.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.