Comprendre le flux de connexion du client Cato

Cet article explique le flux de connexion du Client Windows au PoP Cato.

Vue d'ensemble

Avant que le Client ne se connecte au PoP Cato, il effectue diverses vérifications basées sur la configuration de vos politiques de client. Cela garantit que seuls les utilisateurs et les appareils qui répondent à vos exigences de sécurité peuvent se connecter au réseau. Les diagrammes de flux suivants détaillent l'ordre de ces vérifications ainsi que le comportement du Client si une vérification échoue ou n'est pas activée.

Flux de connexion du client Windows

Les diagrammes de flux suivants montrent comment le Client Windows se connecte au PoP Cato, si Pre Login est activé ou désactivé.

Flux de connexion - Pré-connexion activée

Pré-connexion fournit l'accès aux destinations autorisées, avant qu'un utilisateur ne soit authentifié. Par exemple, dès qu'un appareil peut se connecter à Internet, il peut accéder à votre AD afin que les informations d'identification de l'utilisateur puissent être enregistrées sur l'appareil. Tout autre accès à Internet est bloqué.

Note

Note : N'importe quel domaine associé à n'importe lequel des IdP pris en charge peut être accessible dans un état non authentifié lors de l'utilisation du Navigateur Externe avec Toujours activé. Par exemple, les utilisateurs pourront accéder à google.com pour s'assurer qu'ils peuvent s'authentifier si Google est leur IdP.

Frame_1000002917.jpg

Flux de connexion - Pré-connexion désactivée

Si Pre Login est désactivé, voici le flux de connexion du Client :

Frame_1000002918.jpg

Notes

  1. Dans l'état Pré-connexion, l'appareil est pré-configuré avec le Client Cato, un certificat de confiance, et le registre Windows est configuré avec le nom du compte. L'utilisateur n'est pas authentifié, cependant le Client peut se connecter au PoP pour valider le certificat. Si le certificat est valide, cela établit suffisamment de confiance pour permettre au Client d'accéder aux destinations autorisées via le PoP, même si l'utilisateur n'est pas authentifié.
  2. Toujours actif garantit que le Client est toujours connecté au PoP et que tout le trafic est inspecté par les moteurs de sécurité de Cato. Le Client essaie automatiquement de s'authentifier et de se connecter avec les identifiants du dernier utilisateur qui s'est connecté au Client. Le Client vérifie si Toujours actif est activé après le démarrage du dispositif (si les identifiants de l'utilisateur sont enregistrés sur l'appareil) et après que l'utilisateur se connecte à l'appareil. Une fois l'utilisateur authentifié et le Client connecté, celui-ci ne peut pas être déconnecté.
  3. Avec Connexion au démarrage activée, lors de la phase de démarrage du dispositif, le Client essaie automatiquement de s'authentifier et de se connecter avec les identifiants du dernier utilisateur qui s'est connecté. Une fois que le Client est connecté, l'utilisateur peut déconnecter le Client. Le Client vérifie si Connexion au démarrage est activée après le démarrage du dispositif (seulement si les identifiants de l'utilisateur sont enregistrés sur l'appareil) et après que l'utilisateur se connecte à l'appareil.
  4. La Politique de Connectivité Client définit quelles vérifications d'appareil effectuer avant que celui-ci ne se connecte au réseau. Cela garantit que seuls les dispositifs conformes à vos exigences de sécurité peuvent se connecter. Vous pouvez aussi configurer un utilisateur pour avoir seulement un accès Internet sécurisé ou un accès sécurisé à Internet et un réseau privé (WAN).

  5. Ces vérifications incluent :

    • Vérifications d'Appareil qui définissent les exigences minimales qu'un dispositif doit remplir pour pouvoir se connecter à votre réseau. Le Client effectue des vérifications pour valider la posture de sécurité de l'appareil.
    • La géolocalisation de l'appareil
    • Le système d'exploitation de l'appareil
    • Le statut d'authentification de l'utilisateur
  6. Les utilisateurs peuvent s'authentifier avec SSO, MFA ou avec un nom d'utilisateur et un mot de passe. Une fois authentifié, un token Cato est généré par le PoP pour vérifier que l'utilisateur a été authentifié afin que le Client puisse maintenir une connexion avec le Cato Cloud. Vous pouvez configurer la durée de validité du token d'authentification Cato. Le Client peut authentifier automatiquement avec les identifiants Windows, rendant cette étape transparente pour l'utilisateur.

Comprendre les autorisations du client

Le Client a les permissions suivantes sur un appareil :

Windows

  • Service Client SDP Cato (CatoNetworksVPNService) : Compte du Système Local
  • Processus UI du Client : Utilisateur Standard

macOS

  • Service démon Client Cato (com.catonetworks.mac.CatoClient.helper) : Utilisateur Root
  • Extension système : Utilisateur Root (avec moins de permissions que le démon)
  • Agent utilisateur : Utilisateur Standard

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 11 sur 12

0 commentaire