Cet article discute du comportement de la session d'authentification Single Sign-On (SSO) concernant le jeton IdP et le jeton Cato avec le Client Windows.
Les utilisateurs finaux sont authentifiés au Client Cato sur la base du jeton d'authentification Cato. La durée de ce jeton est configurée dans l'Application de Gestion Cato. La durée du jeton d'authentification IdP est basée sur les paramètres de l'IdP. Le temps de départ de ces jetons n'est pas synchronisé, donc même s'ils ont la même durée, ils expirent généralement à des moments différents. Lorsque les deux jetons sont expirés, l'utilisateur doit se ré-authentifier à l'IdP. Pour plus d'informations sur l'expiration de la session utilisateur SDP, voir Comprendre l'expiration de la session pour les utilisateurs SDP.
Cet article explique le comportement du Client lorsque le jeton Cato a expiré, mais que le jeton IdP est toujours valide. Ce comportement est différent selon la version du Client.
Remarque
Remarques :
-
Pour toutes les versions du Client, tant que le jeton Cato est valide, l'utilisateur est authentifié (même si le jeton IdP a expiré).
-
Pour les comptes qui définissent le paramètre Validité du jeton sur Toujours inviter au lieu de Durée, l'utilisateur SDP doit s'authentifier à l'IdP chaque fois qu'il se connecte avec le Client. Le jeton IdP est ignoré.
Pour plus d'informations sur les sessions d'authentification SSO, voir Configurer le SSO et le sous-domaine pour le compte.
Cette section décrit comment le Client se ré-authentifie automatiquement lorsque le jeton Cato expire et que le jeton IdP est toujours valide pour le Client Windows v5.0 et supérieur.
10 minutes avant l'expiration du jeton Cato, le Client tente de se ré-authentifier automatiquement avec l'IdP sans impact ni messages pour l'utilisateur final. Lorsque le jeton IdP est valide, le Client se ré-authentifie automatiquement et Cato génère un nouveau jeton SSO basé sur les paramètres de durée du jeton pour le compte.
Vous configurez la durée de validité du jeton Cato dans l'Application de Gestion Cato (Accès > Single Sign-On). Pour plus d'informations sur l'expérience utilisateur et les jetons expirants, voir Comprendre l'expiration de la session pour les utilisateurs SDP.
Si les deux jetons ont expiré, l'utilisateur final s'authentifie à l'IdP et ensuite un nouveau jeton Cato est généré.
Ceci est un exemple du comportement de la session pour le Client Windows v5.0 et supérieur.
-
L'utilisateur s'authentifie au Client en entrant les identifiants IdP (nom d'utilisateur et mot de passe). L'IdP génère un jeton SSO pour l'utilisateur.
-
Un jeton Cato est généré avec une durée de 10 jours (basé sur les paramètres de Single Sign-On dans l'Application de Gestion Cato).
-
10 jours plus tard - 10 minutes avant l'expiration du jeton Cato, le Client tente de se ré-authentifier silencieusement avec le jeton IdP.
-
Si le jeton IdP est valide, le Client se ré-authentifie automatiquement sans impact pour l'utilisateur (la session n'est pas interrompue). Le jeton Cato est valide pour encore 10 jours.
-
Si le jeton IdP a expiré, il est demandé à l'utilisateur de s'authentifier à l'IdP, et ensuite le jeton Cato est valide pour encore 10 jours (la session n'est pas interrompue).
Si l'utilisateur ne se ré-authentifie pas à l'IdP, alors la session expire après les 10 minutes restantes.
-
Comportement du message de ré-authentification SSO du Client pour le Client Windows v5.0 (et supérieur)
Lorsque la session de l'utilisateur va bientôt expirer, le Client affiche un message aux utilisateurs pour leur permettre de se ré-authentifier facilement. Le but de ce message est de fournir la meilleure expérience utilisateur, donc le comportement du message dépend des paramètres du jeton IdP et Cato.
Le tableau suivant explique l'expérience de ré-authentification pour les utilisateurs SDP basée sur les différents paramètres de durée du jeton Cato et IdP.
Cette section décrit comment l'utilisateur final se ré-authentifie lorsque le jeton Cato expire et que le jeton IdP est toujours valide pour le Client Windows v4.7 et antérieur. Le Client se déconnecte automatiquement, et l'utilisateur final clique sur Connecter, puis le Client se ré-authentifie automatiquement en utilisant le jeton IdP valide. Vous configurez la durée de validité du jeton Cato dans l'Application de Gestion Cato (Accès > Single Sign-On).
-
L'utilisateur s'authentifie au Client en entrant les identifiants IdP (nom d'utilisateur et mot de passe). L'IdP génère un jeton SSO pour l'utilisateur.
-
Un jeton Cato est généré avec une durée de 10 jours (basé sur les paramètres de Single Sign-On dans l'Application de Gestion Cato).
-
Après 10 jours, le jeton Cato expire et le Client se déconnecte automatiquement.
-
Si le jeton IdP est valide, dans le Client . L'utilisateur clique sur Connecter et est ré-authentifié, le jeton Cato est valide pour encore 10 jours.
-
Si le jeton IdP a expiré, il est demandé à l'utilisateur de s'authentifier à l'IdP, et ensuite le jeton Cato est valide pour encore 10 jours (la session n'est pas interrompue).
-
0 commentaire
Vous devez vous connecter pour laisser un commentaire.