Utiliser les agents d'identité Cato pour la sensibilisation des utilisateurs

Cet article explique comment activer l'agent d'identité Cato pour la sensibilisation des utilisateurs et fournir la capacité d'identifier les utilisateurs derrière un site. L'agent d'identité est pris en charge pour les clients Windows, macOS et Linux.

Vue d'ensemble

Connaître l'identité de l'utilisateur est un élément clé de l'architecture Zero Trust Network (ZTNA) - il est essentiel d'identifier l'utilisateur à tout moment, de contrôler l'accès de l'utilisateur et de surveiller son activité. L'agent d'identité pour la sensibilisation des utilisateurs identifie les utilisateurs derrière un Socket ou en mode bureau. Il utilise le cadre du client Cato pour obtenir les informations de l'utilisateur et rapporte régulièrement cette identité au PoP (environ toutes les 30 secondes). Tout changement d'adresse IP est immédiatement détecté et signalé.

Le client est installé sur l'appareil et fonctionne en arrière-plan (sans établir de tunnel), et il fournit le Cloud Cato avec l'identité de l'utilisateur.

Sensibilisation de l'Utilisateur avec non licence ZTNA

À partir des versions suivantes, Cato a élargi la Sensibilisation de l'Utilisateur sans exiger de licence ZTNA. Les utilisateurs peuvent s'authentifier avec le Client Cato au bureau, ce qui crée un token Cato utilisé pour identifier plus précisément les utilisateurs pour les politiques et l'attribution dans DEM et couvre tous les IdP.

Client Cato pour Windows v5.18 et versions ultérieures
Client Cato pour macOS v5.11 et plus tard

Prérequis

Les prérequis et exigences du Client pour l'Agent d'identité dépendent de l'IdP configuré pour votre Compte et de la Version du Client que vous utilisez.

Prérequis pour la Sensibilisation de l'Utilisateur sans licence ZTNA

	Client Windows v5.18 et supérieur	macOS v5.11 et supérieur	Clients Linux
N'importe quel IdP pris en charge	Pris en charge avec authentification initiale unique	Pris en charge avec authentification initiale unique	Non pris en charge

Prérequis pour Linux et les versions plus anciennes de Windows et macOS (Sensibilisation de l'Utilisateur non pris en charge)

	Client Windows v5.10 à v5.17	Client macOS v5.6 à v5.10	Client Linux v5.2 et supérieur
Entra ID avec LDAP Entra ID avec SCIM Microsoft Intune	Support	Support*	Support*
Autres IdP (ex. Okta) et utilisateurs créés manuellement	Support*	Support*	Support*

Client Windows v5.10 à v5.17

Client macOS v5.6 à v5.10

Client Linux v5.2 et supérieur

Entra ID avec LDAP

Entra ID avec SCIM

Microsoft Intune

Support

Support*

Autres IdP (ex. Okta) et utilisateurs créés manuellement

Support*

* Nécessite une licence SDP pour chaque utilisateur et une authentification initiale unique au Client.
Pour plus d'informations sur la manière d'attribuer une licence SDP, voir Attribuer des licences ZTNA aux utilisateurs.

Vue d'ensemble de l'implémentation de l'Agent d'identité de Cato pour la solution de Sensibilisation de l'Utilisateur

Il s'agit d'un aperçu de haut niveau du processus pour mettre en œuvre l'agent d'identité pour la sensibilisation des utilisateurs dans votre compte :

Sur l'écran Accès > Services d'annuaire, provisionner les utilisateurs pour votre compte.
Une fois le provisionnement des utilisateurs et des groupes d'utilisateurs terminé, créez des règles et des politiques qui les incluent.
1. Installez le Client sur les appareils pour les utilisateurs concernés. Une fois que l'utilisateur se connecte à l'appareil, le Client commence à signaler l'identité au Cloud Cato toutes les 30 secondes.
Pour les Clients Linux, attribuez des licences SDP aux utilisateurs et groupes d'utilisateurs. Pour plus d'informations sur la manière d'attribuer des licences SDP, voir Attribuer des licences ZTNA aux utilisateurs.

Application des politiques basées sur l'Identité d'utilisateur

Les utilisateurs ou groupes d'utilisateurs peuvent être ajoutés aux politiques. Après que Cato a identifié l'identité d'un utilisateur, toutes les politiques qui sont configurées pour l'utilisateur sont appliquées à la fois derrière un site et à distance.

Note : Lors de l'utilisation de l'Agent d'identité, les utilisateurs derrière un site ne sont pas correspondants dans les règles WAN lorsqu'ils sont définis comme la Destination.

Activation de l'Agent d'identité pour la Sensibilisation de l'Utilisateur

Activez votre compte pour identifier les utilisateurs prévus avec l'agent d'identité de Cato.

Pour activer l'agent d'identité :

Dans le menu de navigation, sélectionnez Accès > Sensibilisation de l'Utilisateur.
Sélectionnez la section Agent d'identité.
Activez l'agent d'identité pour votre compte.

L'interrupteur est vert lorsqu'il est activé.
Cliquez sur Nouveau.

Limitations Connues

Pour les appareils qui utilisent macOS :
- Sur macOS Ventura (version 13), après la mise à niveau du Client vers la nouvelle version, il est nécessaire de redémarrer l'appareil une seule fois.
- Si vous supprimez un utilisateur du Client, son identité n'est pas signalée
Lorsque les utilisateurs sont authentifiés auprès du client, l'identité est immédiatement acquise, et l'horodatage du rapport de l'agent d'identité dans le client n'est pas pertinent.
Pour les IdP autres que Entra ID :
- Si vous supprimez un utilisateur du Client, son identité n'est pas rapportée
La sensibilisation des utilisateurs n'identifie pas les utilisateurs désactivés