विंडोज क्रेडेंशियल्स के साथ स्वचालित रूप से उपयोगकर्ताओं को प्रमाणित करें

यह लेख समझाता है कि क्लाइंट सॉफ्टवेयर को कैसे कॉन्फ़िगर करें ताकि यह उपयोगकर्ता के Windows क्रेडेंशियल्स का उपयोग करके प्रमाणीकरण कर सके।

अवलोकन

दूरस्थ पहुँच के लिए, आपके सुरक्षा नीतियों को लागू करने के लिए यह आवश्यक होता है कि उपयोगकर्ता सफलतापूर्वक क्लाइंट से प्रमाणीकरण करें। सुनिश्चित करना कि प्रमाणीकरण निर्बाध हो, आपके नेटवर्क की सुरक्षा बढ़ाता है और एक साधारण उपयोगकर्ता अनुभव बनाता है। उन उपयोगकर्ताओं के लिए जो SSO के साथ प्रमाणित करते हैं, आप क्लाइंट को उनके विंडोज क्रेडेंशियल्स का उपयोग करके प्रमाणित करने के लिए कॉन्फ़िगर कर सकते हैं। यह उपयोगकर्ताओं को उनके डिवाइस पर एक बार साइन इन करने देता है, क्लाइंट से कनेक्ट करते समय क्रेडेंशियल्स को फिर से दर्ज करने की आवश्यकता नहीं होती है। प्रमाणीकरण स्वतः हो सकता है या उपयोगकर्ता द्वारा प्रारंभ किया जा सकता है। इस प्रक्रिया में, ए प्राथमिक ताज़ा करें टोकन (PRT) जारी किया जाता है, जिसे Cato क्लाइंट उपयोगकर्ता को प्रमाणित करने के लिए प्राप्त करता है। SSO सत्र समाप्त होने के बाद और PRT टोकन मान्य होने पर, क्लाइंट विंडोज क्रेडेंशियल्स का उपयोग करते हुए निर्बाध रूप से पुनः प्रमाणित करता है, लॉगिन और पुनः प्रमाणितिकरण प्रवाह को बनाए रखता है।

यदि आप इस फीचर को विंडोज रजिस्ट्री कुंजी के साथ प्रारंभिक स्थापना के बाद क्लाइंट को स्वचालित रूप से लॉन्च करने और बूट पर कनेक्ट करें के लिए कॉन्फ़िगर करते हैं, तो क्लाइंट हमेशा लॉन्च होता है, प्रमाणीकरण करता है, और बिना उपयोगकर्ता की किसी क्रिया के कनेक्ट होता है।

नोट

नोट: रजिस्ट्री प्रविष्टियां संवेदनशील हो सकती हैं और उन्हें ठीक वैसे ही दर्ज किया जाना चाहिए जैसा इस लेख में प्रदर्शित है।

यूज़ केस - क्लाइंट प्रमाणीकरण को सरल बनाना

कंपनी ABC अपने उपयोगकर्ताओं के लिए सरल उपयोगकर्ता अनुभव चाहती है ताकि वे यथासंभव कम क्लिकों में Cato से कनेक्ट कर सकें। इसके लिए वे चाहते हैं कि क्लाइंट प्रमाणीकरण प्रक्रिया स्वचालित हो। इसका अर्थ है कि Cato से कनेक्ट करने के लिए, उपयोगकर्ताओं को केवल क्लाइंट खोलना है और कनेक्ट पर क्लिक करना होता है।

प्रशासक Cato SSO सेटिंग्स को कॉन्फ़िगर करता है ताकि उपयोगकर्ता के Windows क्रेडेंशियल्स का उपयोग करके स्वचालित प्रमाणीकरण हो सके।

हर बार जब उपयोगकर्ता अपने उपकरण में लॉग इन करते हैं, यहाँ तक कि यदि SSO टोकन समाप्त हो गया है, तो भी क्लाइंट नेटवर्क से कनेक्ट करने में सक्षम होता है बिना उपयोगकर्ता के अतिरिक्त प्रमाणीकरण की आवश्यकता के।

यूज़ केस - सहज क्लाइंट प्रमाणीकरण और कनेक्शन

कंपनी ABC यह सुनिश्चित करना चाहती है कि उनके उपयोगकर्ता क्लाइंट के साथ जितनी बार संभव हो सके जुड़े रहें। इसके लिए वे चाहते हैं कि क्लाइंट कनेक्शन प्रक्रिया स्वचालित हो ताकि नए और मौजूदा उपयोगकर्ता क्लाइंट में कनेक्ट बटन को मैन्युअल रूप से क्लिक करना भूलना ना पड़े।

प्रशासक इन सेटिंग्स को कॉन्फ़िगर करता है:

ताकि उपयोगकर्ता द्वारा उपकरण पहली बार शुरू करने पर नए उपयोगकर्ताओं के लिए क्लाइंट तुरंत शुरू हो सके, वे उपकरण पर विंडोज रजिस्ट्री कुंजी को परिभाषित करते हैं।
ताकि उपकरण हर बार बूट होने पर क्लाइंट कनेक्ट करे, वे बूट पर कनेक्ट करें को सक्रिय करते हैं।
मैन्युअल उपयोगकर्ता प्रमाणीकरण की आवश्यकता को हटाने के लिए, वे स्वचालित क्लाइंट प्रमाणीकरण को सक्षम करते हैं ताकि उपयोगकर्ता के विंडोज क्रेडेंशियल्स का उपयोग कर सकें।

हर बार जब उपयोगकर्ता अपने उपकरण में लॉग इन करते हैं, क्लाइंट लॉन्च करता है, प्रमाणीकरण करता है और उपयोगकर्ता से किसी भी कार्रवाई के बिना कनेक्ट करता है।

नोट

नोट: यदि Azure उपयोगकर्ता के लिए प्रमाणीकरण टोकन प्रदान नहीं कर सकता है, तो अंतिम उपयोगकर्ता क्लाइंट में Azure क्रेडेंशियल्स दर्ज करके मानक प्रमाणीकरण प्रवाह का पालन करता है।

न्यूनतम जरूरत

विंडोज़ क्रेडेंशियल्स के साथ प्रमाणीकरण समर्थित है:
- विंडोज क्लाइंट v5.8 और उच्चतर पर
- विंडोज 10 या उच्चतर पर चल रहे उपकरणों पर
- Azure AD जुड़े उपकरणों पर (हाइब्रिड AD जुड़ा हुआ समर्थन क्लाइंट v5.11 और उससे ऊपर से समर्थित)
- Azure आपके खाते के लिए SSO प्रदाता के रूप में कॉन्फ़िगर किया गया है और उपयोगकर्ताओं को SSO के साथ लॉग इन करने की अनुमति प्राप्त है।
- OID और SID मैपिंग को कॉन्फिगर किया गया है (अधिक जानकारी के लिए, Microsoft दस्तावेज़ देखें)।
- क्लाइंट PRT टोकन प्राप्त कर सकता है। यदि PRT टोकन प्राप्त नहीं किया जा सकता है, तो उपयोगकर्ता को विंडोज में मैन्युअल रूप से प्रमाणित या पुनः प्रमाणीकरण करने की आवश्यकता हो सकती है। PRT टोकन समस्याओं के निदान के लिए, Microsoft दस्तावेज़ देखें।

ज्ञात सीमाएँ

Azure AD जो उपयोगकर्ता इंटरैक्शन (जैसे MFA) की आवश्यकता है, क्लाइंट v5.11 से समर्थित है (यह क्लाइंट v5.11 के नीचे समर्थित नहीं है)।
रजिस्ट्री कुंजी InitialAlwaysOn इस फीचर के लिए समर्थित नहीं है।

विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण कॉन्फ़िगर करना

यह सुविधा आपके Azure SSO कॉन्फ़िगरेशन के भीतर सक्षम है। एक बार जब आप इसे सक्षम कर देते हैं, तो आप उपयोगकर्ता अनुभव चुन सकते हैं।

विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण करें:

नेविगेशन मेनू से, पहुँच > एकल साइन-ऑन पर क्लिक करें।
SDP क्लाइंट उपयोगकर्ता अनुभाग से, विंडोज क्रेडेंशियल्स के साथ साइन इन करें चुनें।
ड्रॉपडाउन मेनू से उपयोगकर्ता अनुभव को कॉन्फ़िगर करें:
- स्वचालित रूप से: क्लाइंट प्रमाणीकरण करने के लिए स्वचालित रूप से विंडोज क्रेडेंशियल्स का उपयोग करता है।
- उपयोगकर्ता चयन: उपयोगकर्ता को उनके विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण की पुष्टि करनी होती है, हालांकि उन्हें उन्हें फिर से दर्ज करने की आवश्यकता नहीं होती या वे एक अलग उपयोगकर्ता के रूप में प्रमाणीकरण करने का चयन कर सकते हैं।
सहेजें पर क्लिक करें।

उपयोगकर्ता अब Cato को उनके विंडोज क्रेडेंशियल्स का उपयोग करके प्रमाणित करते हैं। नए उपयोगकर्ता स्वतः ही अपने विंडोज क्रेडेंशियल्स के साथ प्रमाणीकृत करते हैं। कॉन्फ़िगर उपयोगकर्ता अगली बार जब SSO सत्र समाप्त होता है, तब स्वतः प्रमाणीकृत करते हैं।

नोट

नोट: यदि एक उपकरण पर कई उपयोगकर्ता कॉन्फ़िगर किए गए हैं, तो केवल वही उपयोगकर्ता जो क्लाइंट में कॉन्फ़िगर किया गया है, विंडोज क्रेडेंशियल्स का उपयोग करके प्रमाणीकृत कर सकता है।

एक सुगम उपयोगकर्ता अनुभव को कॉन्फ़िगर करना

विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण को अन्य सुविधाओं के साथ कॉन्फ़िगर करके एक निर्बाध उपयोगकर्ता अनुभव बना सकते हैं। इसका मतलब यह है कि क्लाइंट लॉन्च होता है, प्रमाणीकरण करता है और उपयोगकर्ता से किसी क्रिया के बिना कनेक्ट होता है।

विंडोज रजिस्ट्री कुंजियाँ कॉन्फ़िगर करने के बाद, डिवाइस को पुनरारंभ करें।

निर्बाध प्रमाणीकरण के लिए सबडोमेन परिभाषित करें

SubdomainForSeamlessAuth विंडोज रजिस्ट्री की को उपयोग करते हुए CMA में प्रदर्शित केटो खाता नाम के रूप में परिभाषित करें। पहुँच > सिंगल साइन-ऑन पृष्ठ पर अपने खाते के लिए सबडोमेन की पहचान कर सकते हैं। जब क्लाइंट सफलतापूर्वक प्रारंभिक प्रमाणीकरण काटो क्लाउड से करता है, तो रजिस्ट्री स्वतः अपडेट हो जाती है।

अपने Cato खाता नाम को परिभाषित करने के लिए:

रजिस्ट्री में इस स्थान पर जाएं: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
इस कुंजी को परिभाषित करें:
- SubdomainForSeamlessAuth = <your account name> (String)

क्लाइंट को स्वचालित रूप से लॉन्च करना

प्रारंभिक स्थापना के बाद क्लाइंट को स्वचालित रूप से लॉन्च करने के लिए LaunchAuthPageOnStartup विंडोज रजिस्ट्री कुंजी को परिभाषित करें। यह सुविधा नए उपयोगकर्ताओं के लिए है जब वे पहली बार अपने उपकरण पर लॉग इन करते हैं।

क्लाइंट को स्वचालित रूप से लॉन्च करने के लिए विंडोज रजिस्ट्री को कॉन्फ़िगर करें:

रजिस्ट्री में इस स्थान पर जाएं: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
इस कुंजी को परिभाषित करें:
- LaunchAuthPageOnStartup=1 (DWORD)

पूरे खाते के लिए बूट पर कनेक्ट का उपयोग करना

आप Cato प्रबंधन अनुप्रयोग में पूरे खाते के लिए बूट पर कनेक्ट को सक्षम करने का विकल्प चुन सकते हैं, ताकि क्लाइंट्स हर बार डिवाइस बूट होने पर हमेशा कनेक्ट करें। यह सुविधा उपयोगकर्ताओं के लिए बिना किसी उपयोगकर्ता हस्तक्षेप के क्लाइंट कनेक्शन को बलपूर्वक लागू करने के लिए कॉन्फ़िगर की गई है।

विशिष्ट उपयोगकर्ताओं के लिए बूट पर कनेक्ट को कस्टमाइज़ करना

उन खातों के लिए जो केवल विशिष्ट उपयोगकर्ताओं के लिए बूट पर कनेक्ट करें सक्षम करना चाहते हैं, आप आवश्यक उपयोगकर्ता के उपकरणों पर ConnectOnBoot रजिस्ट्री कुंजी को परिभाषित कर सकते हैं।

जब उपकरण बूट होता है तब क्लाइंट को कनेक्ट करने के लिए विंडोज रजिस्ट्री को कॉन्फ़िगर करें:

रजिस्ट्री में इस स्थान पर जाएं: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
इस कुंजी को परिभाषित करें:
- ConnectOnBoot=1 (DWORD)

अतिरिक्त सेटिंग्स

यदि उपयोगकर्ता को अतिरिक्त प्रमाणीकरण चरणों को पूरा करने की आवश्यकता है, उदाहरण के लिए, MFA, तो SeamlessAuthAllowUI रजिस्ट्री कुंजी आवश्यक है जिससे उपयोगकर्ताओं को मैन्युअल रूप से प्रमाणित करने की अनुमति मिल सके।

अतिरिक्त रजिस्ट्री कुंजी को कॉन्फिगर करने के लिए:

रजिस्ट्री में स्थान पर जाएं: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
इस कुंजी को परिभाषित करें:
- SeamlessAuthAllowUI=1 (DWORD)

हमेशा प्रॉम्प्ट टोकन वैधता और विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण का उपयोग करना

यदि आपकी SSO टोकन वैधता कॉन्फ़िगरेशन हमेशा प्रॉम्प्ट पर सेट है और आप विंडोज क्रेडेंशियल्स के साथ प्रमाणीकरण सक्षम करते हैं, तो क्लाइंट बिना किसी प्रॉम्प्ट के उपयोगकर्ताओं के विंडोज क्रेडेंशियल्स के साथ शांति से प्रमाणीकरण करता है।