Cet article explique comment configurer le comportement d'authentification et les exigences d'authentification multifacteurs (MFA) pour les utilisateurs SDP de votre compte.
La politique d'authentification définit comment les utilisateurs s'authentifient à votre compte : MFA, Authentification Unique (SSO) ou nom d'utilisateur et mot de passe. De plus, vous pouvez choisir l'expérience d'authentification de l'utilisateur final en utilisant le navigateur intégré au client ou le navigateur par défaut du système d'exploitation externe.
Pour les appareils Windows et macOS, vous pouvez configurer si les utilisateurs s'authentifient en utilisant le navigateur intégré ou un navigateur externe. Le paramètre par défaut est d'utiliser le navigateur intégré qui offre la meilleure expérience utilisateur. L'authentification MFA et SSO est complétée à l'intérieur du Client, puis connecte sans interruption l'appareil au Cato Cloud.
Parfois, la configuration réseau d'un compte ne prend pas en charge le navigateur intégré. Dans ce cas, vous pouvez configurer votre compte pour utiliser le navigateur par défaut du système d'exploitation externe pour l'appareil. L'utilisateur final démarre la connexion dans le Client, puis s'authentifie au Cato Cloud avec le navigateur du système d'exploitation.
Pour configurer l'authentification par le navigateur du Client pour le compte :
-
Dans le menu de navigation, cliquez sur Accès > Authentification des utilisateurs.
-
Cliquez sur l'onglet Paramètres supplémentaires.
-
Dans Authentification par le navigateur, sélectionnez l'une de ces options :
-
Navigateur intégré - Les utilisateurs SDP s'authentifient à votre compte au sein du Client
-
Navigateur externe - Les utilisateurs SDP s'authentifient à votre compte avec le navigateur du système d'exploitation
-
-
Cliquez sur Sauvegarder.
Voici les meilleures pratiques à suivre lors du choix de votre méthode d'authentification par navigateur :
-
Le Navigateur Intégré est recommandé sauf lorsque l'accès conditionnel nécessite un plugin de navigateur qui est uniquement pris en charge par un navigateur externe.
-
Utilisation du Navigateur Intégré lorsque la fonction Toujours Activé est activée pour assurer un bon fonctionnement. Tous les domaines et adresses IP nécessaires pour l'authentification SSO ne sont pas autorisés lorsqu'un navigateur externe est utilisé.
-
Le navigateur intégré doit être utilisé dans un environnement ADFS, sinon SSO ne peut pas être utilisé pour l'authentification.
-
Le navigateur intégré empêche un problème avec l'authentification SSO avec le navigateur externe et l'application de HSTS. Pour plus d'informations, consultez L'authentification SSO échoue lors de l'utilisation du navigateur externe | Erreur localhost.
-
Utilisez le navigateur externe pour l'authentification lors de l'utilisation de l'application Okta Verify sur macOS ou Windows.
Utilisez l'écran Authentification des Utilisateurs pour définir la politique d'authentification pour les utilisateurs de votre compte qui se connectent avec le Client Cato. Pour les comptes qui activent le SSO, ceci est la politique d'authentification par défaut.
Voici les options d'authentification :
-
SSO - Les utilisateurs s'authentifient avec SSO en utilisant le fournisseur d'identité (IdP) configuré pour votre compte
-
MFA - Les utilisateurs doivent s'authentifier en utilisant un code qu'ils reçoivent par SMS ou une application d'authentification (conformément à RFC-6238 pour MFA)
-
Nom d'utilisateur et mot de passe - Les utilisateurs s'authentifient avec le nom d'utilisateur et le mot de passe pour le Client (Aucune exigence MFA)
Vous pouvez également choisir de remplacer la politique MFA pour des utilisateurs individuels, voir ci-dessous Dépassement des Paramètres d'Authentification pour des utilisateurs spécifiques.
Si vous utilisez les services d'annuaire et devez modifier le numéro de téléphone mobile d'un utilisateur pour une authentification avancée, vous devez modifier le numéro de téléphone uniquement dans l'IdP.
Note
Note: L'authentification multifacteur (MFA) et le Single-Sign On (SSO) NE sont PAS pris en charge pour les utilisateurs provisionnés avec un code d'enregistrement.
Travailler avec les Paramètres de Validité des Jetons
L'option Validité du Jeton > Durée dépend de si l'appareil exécutant le client Cato est "de confiance" comme suit :
-
Si l'utilisateur a activé la confiance pour l'appareil exécutant le Client Cato (en sélectionnant l'option Ne plus demander sur cet appareil/ordinateur sur le Client lors de la connexion au Cato Cloud), alors la MFA n'est pas requise si la durée est encore valide et la géolocalisation n'a pas changé de pays
-
Si l'utilisateur n'a pas activé la confiance pour l'appareil exécutant le client Cato (en décochant l'option Ne plus demander sur cet appareil/ordinateur sur le client lors de la connexion au Cato Cloud), le paramètre de durée n'a aucun effet et la MFA est toujours requise sur cet appareil
Note
Note : À partir du Client Windows v5.12, le navigateur intégré du Client peut actualiser le jeton IdP. Les utilisateurs ne sont pas invités à s'authentifier à nouveau lorsque le jeton IdP expire.
Pour configurer la politique MFA pour les utilisateurs distants :
-
Depuis le menu de navigation, cliquez sur Accès > Authentification Utilisateur.
-
Dans la liste déroulante Méthode, sélectionnez MFA.
-
Configurez la section Général et sélectionnez le Méthode d'Authentification pour la politique :
-
N'importe lequel - Chaque utilisateur sélectionne la méthode d'authentification pour lui-même
-
Authenfificateur - Les utilisateurs doivent utiliser une application d’authentification (telle que Google Authenticator)
-
SMS - Un SMS est envoyé aux utilisateurs avec un code d'authentification
-
-
Dans la section Validité du jeton, sélectionnez le comportement pour le jeton MFA dans le Client :
-
Toujours demander - La MFA est requise chaque fois que l'utilisateur se connecte.
Les utilisateurs connectés doivent se réauthentifier lorsque la durée que vous définissez en Jours ou Heures (à partir de leur dernière connexion) est atteinte.
-
Durée - Les utilisateurs n'ont pas besoin de MFA pour la durée que vous définissez en Jours ou Heures.
-
-
Cliquez sur Sauvegarder.
Vous pouvez personnaliser différents paramètres d'authentification pour des utilisateurs spécifiques et remplacer la politique d'authentification globale. Modifiez un utilisateur, puis utilisez l'écran Authentification pour personnaliser la méthode d'authentification pour cet utilisateur.
Pour remplacer les paramètres d'authentification globaux pour un utilisateur spécifique :
-
Dans le menu de navigation, cliquez sur Accès > Utilisateurs.
-
Sélectionnez l'utilisateur, et dans le menu de navigation sélectionnez Paramètres Utilisateur > Authentification.
-
Sélectionnez Remplacer les paramètres d'authentification du compte.
-
Sélectionnez la Méthode d'authentification pour l'utilisateur.
-
Configurez les paramètres d'authentification pour cet utilisateur.
-
Cliquez sur Sauvegarder.
Vous pouvez réinitialiser le paramètre MFA pour les utilisateurs lorsque cela est nécessaire, par exemple lors de l'installation du Client sur un nouvel appareil.
Pour réinitialiser les paramètres MFA pour un utilisateur :
-
Depuis le menu de navigation, cliquez sur Accès > Utilisateurs.
-
Dans la liste Utilisateur, cochez la case à côté du nom de l'utilisateur.
-
Dans le menu déroulant Actions, sélectionnez Réinitialiser MFA.
-
Dans la fenêtre de confirmation, cliquez sur OK.
-
L'utilisateur reçoit un e-mail avec un lien vers le portail utilisateur de Cato. Après s'être connecté au portail, l'utilisateur devra activer les paramètres MFA pour l'appareil.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.