Problème

Lors de la mise en œuvre de l'accès conditionnel Azure pour l'application portail Cato afin de restreindre la connexion unique (SSO), le client Cato affiche le message d'erreur "Vous ne pouvez pas accéder à ceci pour le moment" car la politique d'accès conditionnel ne respecte pas les exigences configurées.

Environnement

• SSO Azure est configuré comme méthode d'authentification dans CMA.
• L'accès conditionnel Azure s'applique pour restreindre les adresses IP sources (emplacement) ou l'application portail Cato.
• Les deux navigateurs intégrés ou externes.

Dépannage

Ces étapes peuvent être suivies pour résoudre les problèmes de SSO liés à l'accès conditionnel Azure :

1. Comprendre les flux de processus SSO pour l'authentification initiale pour l'authentification SSO :
   • Lors de la connexion initiale du Client Cato, l'authentification SSO se fait directement entre le Client et l'IdP hors du tunnel. Azure verra l'adresse IP de l'ISP du Client dans la demande d'authentification.
   • Dans les cas où Always-On est activé pour l'utilisateur ou lorsque la réauthentification SSO a lieu après l'expiration du jeton IdP, l'authentification SSO entre le Client et l'IdP se déroule à l'intérieur du tunnel via le PoP. Azure verra l'adresse IP du PoP de Cato dans la demande d'authentification.
2. Accédez aux journaux de connexion Azure sous Accès conditionnel pour analyser les événements d'échec. Les journaux incluront l'adresse IP source du client pour chaque tentative d'authentification. Utilisez l'option 'montrer les détails' sous l'onglet Accès conditionnel pour obtenir plus d'informations sur l'échec.
   
3. Vérifiez la configuration de la politique d'accès conditionnel, y compris l'application portail Cato et la plage d'IP du PoP de Cato comme éléments exclus. Vous pouvez vouloir vérifier que la politique est correctement configurée et qu'elle autorise les bonnes adresses IP source et l'application pour que l'authentification SSO réussisse.
4. Il est possible que l'application portail Cato ne soit pas détectée correctement par la politique d'accès conditionnel en raison de restrictions de permission avec Microsoft Azure. Si c'est le cas, vous verrez une authentification réussie suivie d'un échec comme indiqué ci-dessous.

Solution

Si la politique d'accès conditionnel inclut l'emplacement (adresse IP source de l'utilisateur), définissez l'adresse IP ou la plage d'IP en fonction de la configuration Always-On de l'utilisateur :

• Les utilisateurs avec Always-On désactivé (à la demande) utiliseront l'adresse IP de l'ISP du client pendant l'authentification et l'adresse IP du PoP pour la réauthentification (le jeton IdP expire alors que le tunnel est actif).
• Les utilisateurs avec Always-On activé utiliseront l'adresse IP de l'ISP du client uniquement lors de l'authentification initiale (après l'installation de Cato) et l'adresse IP du PoP pour les demandes d'authentification ultérieures et les demandes de réauthentification (le jeton IdP expire alors que le tunnel est actif).
• Pour les utilisateurs avec Always-On, l'authentification initiale (après l'installation de Cato) peut également être forcée à utiliser le tunnel Cato en activant la clé de registre InitialAlwaysOn comme expliqué dans Installation des clients Windows et Always-On.

Si la politique d'accès conditionnel inclut une politique de blocage total excluant l'application portail Cato, allez à la page Single Sign-On dans le CMA et cliquez sur Microsoft Credentials, ce qui incitera à entrer les identifiants d'administrateur pour effectuer le consentement avec Azure à nouveau.