Cet article explique comment configurer le comportement d'authentification et les exigences de l'authentification multifactorielle (MFA) pour les utilisateurs SDP dans votre compte.
La politique d'authentification définit comment les utilisateurs s'authentifient à votre compte : MFA, Connexion unique (SSO), ou nom d'utilisateur et mot de passe. De plus, vous pouvez choisir l'expérience d'authentification de l'utilisateur final en utilisant le navigateur intégré ou le navigateur par défaut du système d'exploitation externe.
Pour les appareils Windows et macOS, vous pouvez configurer si les utilisateurs s'authentifient en utilisant le navigateur intégré ou un navigateur externe. Le paramètre par défaut est d'utiliser le navigateur intégré qui offre la meilleure expérience utilisateur. L'authentification MFA et SSO est complétée dans le Client, puis connecte sans encombre l'appareil au Cloud Cato.
Parfois, la configuration réseau d'un compte ne prend pas en charge le navigateur intégré. Dans ces cas, vous pouvez configurer votre compte pour utiliser le navigateur par défaut du système d'exploitation externe pour l'appareil. L'utilisateur final commence la connexion dans le Client, puis les utilisateurs s'authentifient au Cloud Cato avec le navigateur du système d'exploitation.
Pour configurer l'authentification du navigateur du Client pour le compte :
-
Dans le menu de navigation, cliquez sur Accès > Authentification de l'utilisateur.
-
Cliquez sur l'onglet Paramètres supplémentaires.
-
Dans Authentification du navigateur, sélectionnez l'une de ces options :
-
Navigateur intégré - Les utilisateurs SDP s'authentifient à votre compte dans le Client
-
Navigateur externe - Les utilisateurs SDP s'authentifient à votre compte avec le navigateur du système d'exploitation
-
-
Cliquez sur Enregistrer.
Voici les meilleures pratiques à suivre lors du choix de votre méthode d'authentification du navigateur :
-
Le navigateur intégré est recommandé, sauf lorsque l'accès conditionnel nécessite un plugin de navigateur qui est uniquement pris en charge par un navigateur externe.
-
Utilisez le navigateur intégré lorsque l'Always-On est activé pour assurer un bon fonctionnement. Tous les domaines et adresses IP nécessaires pour l'authentification SSO ne sont pas autorisés lorsque vous utilisez un navigateur externe.
-
Le navigateur intégré doit être utilisé dans un environnement ADFS, sinon le SSO ne peut pas être utilisé pour l'authentification.
-
Le navigateur intégré prévient un problème avec l'authentification SSO avec le navigateur externe et l'application de l'HSTS. Pour plus d'informations, consultez L'authentification SSO échoue lors de l'utilisation d'un navigateur externe | Erreur localhost.
-
Utilisez le navigateur externe pour l'authentification lorsque vous utilisez l'application Okta Verify sur macOS ou Windows.
Utilisez l'écran Authentification de l'utilisateur pour définir la politique d'authentification pour les utilisateurs de votre compte qui se connectent avec le Client Cato. Pour les comptes qui activent le SSO, ceci est la politique d'authentification par défaut.
Voici les options d'authentification :
-
SSO - Les utilisateurs s'authentifient avec SSO en utilisant le fournisseur d'identité (IdP) configuré pour votre compte
-
MFA - Les utilisateurs doivent s'authentifier en utilisant un code qu'ils reçoivent par SMS ou une application d'authentification (selon RFC-6238 pour la MFA)
-
Nom d'utilisateur et mot de passe - Les utilisateurs s'authentifient avec le nom d'utilisateur et le mot de passe pour le Client (pas besoin de MFA)
Vous pouvez également choisir de remplacer la politique MFA pour des utilisateurs individuels, voir ci-dessous Remplacement des paramètres d'authentification pour des utilisateurs spécifiques.
Si vous utilisez les services d'annuaire et que vous devez modifier le numéro de téléphone mobile d'un utilisateur pour l'authentification avancée, vous devez modifier le numéro de téléphone uniquement dans l'IdP.
Remarque
Note : L'authentification multifactorielle (MFA) et la connexion unique (SSO) ne sont PAS prises en charge pour les utilisateurs qui sont provisionnés avec un code de registre.
Travailler avec les paramètres de validité du jeton
L'option Validité du jeton > Durée dépend de si l'appareil exécutant le client Cato est "de confiance" comme suit :
-
Si l'utilisateur a activé la confiance pour l'appareil exécutant le Client Cato (en sélectionnant l'option Ne plus demander sur cet appareil/ordinateur dans le Client lors de la connexion au Cloud Cato), alors le MFA n'est pas requis si la durée est encore valide et que la géolocalisation n'a pas changé de pays
-
Si l'utilisateur n'a pas activé la confiance pour l'appareil exécutant le client Cato (en décochant l'option Ne plus demander sur cet appareil/ordinateur sur le client lors de la connexion au Cloud Cato), le paramètre de durée n'a aucun effet et le MFA est toujours requis sur cet appareil
Remarque
Remarque : À partir de Windows Client v5.12, le navigateur intégré du Client est capable de rafraîchir le jeton IdP. Les utilisateurs ne sont pas invités à se réauthentifier lorsque le jeton IdP expire.
Pour configurer la politique MFA pour les utilisateurs distants :
-
Dans le menu de navigation, cliquez sur Accès > Authentification de l'utilisateur.
-
Dans la liste déroulante Méthode, sélectionnez MFA.
-
Configurez le Général en sélectionnant le Méthode d'authentification pour la politique :
-
Tout - Chaque utilisateur sélectionne la méthode d'authentification pour lui-même
-
Authentificateur - Les utilisateurs doivent utiliser une application d'authentification (telle que Google Authenticator)
-
SMS - Les utilisateurs reçoivent un message texte SMS avec un code d'authentification
-
-
Dans la section Validité du jeton, sélectionnez le comportement pour le jeton MFA dans le Client :
-
Toujours inviter - MFA est requis chaque fois que l'utilisateur se connecte.
Les utilisateurs connectés doivent se réauthentifier lorsque la durée que vous définissez en Jours ou Heures (depuis leur dernière connexion) est atteinte.
-
Durée - Les utilisateurs ne nécessitent pas MFA pour la durée que vous définissez en Jours ou Heures.
-
-
Cliquez sur Enregistrer.
Vous pouvez personnaliser différents paramètres d'authentification pour des utilisateurs spécifiques et remplacer la politique d'authentification globale. Modifiez un utilisateur, puis utilisez l'écran Authentification pour personnaliser la méthode d'authentification pour cet utilisateur.
Pour remplacer les paramètres d'authentification globaux pour un utilisateur spécifique :
-
Dans le menu de navigation, cliquez sur Accès > Utilisateurs.
-
Sélectionnez l'utilisateur, et dans le menu de navigation sélectionnez Paramètres de l'utilisateur > Authentification.
-
Sélectionnez Remplacer les paramètres d'authentification du compte.
-
Sélectionnez la Méthode d'authentification pour l'utilisateur.
-
Configurez les paramètres d'authentification pour cet utilisateur.
-
Cliquez sur Enregistrer.
Vous pouvez réinitialiser le paramètre MFA pour les utilisateurs lorsque cela est nécessaire, comme lors de l'installation du Client sur un nouvel appareil.
Pour réinitialiser les paramètres MFA pour un utilisateur :
-
Dans le menu de navigation, cliquez sur Accès > Utilisateurs.
-
Dans la liste Utilisateur, cochez la case à côté du nom de l'utilisateur.
-
Depuis le menu déroulant Actions, sélectionnez Réinitialiser MFA.
-
Dans la fenêtre de confirmation, cliquez sur OK.
-
L'utilisateur reçoit un e-mail avec un lien vers le portail utilisateur de Cato. Après s'être connecté au portail, l'utilisateur devra activer les paramètres MFA pour l'appareil.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.