समस्या

Cato पोर्टल एप्लिकेशन के लिए Azure सशर्त पहुँच को सिंगल साइन-ऑन (SSO) को प्रतिबंधित करने के लिए लागू करते समय, Cato क्लाइंट दिखाता है "आप अभी इस तक पहुँच नहीं सकते" क्योंकि सशर्त पहुँच नीति कॉन्फ़िगर की गई आवश्यकताओं को पूरा नहीं करती।

पर्यावरण

• CMA में प्रमाणीकरण विधि के रूप में Azure SSO कॉन्फ़िगर किया गया है।
• Azure सशर्त पहुँच स्रोत IP पते (स्थान) या Cato पोर्टल एप्लिकेशन को प्रतिबंधित करने के लिए लागू की जाती है।
• दोनों एम्बेडेड या बाहरी ब्राउज़र।

समस्या निवारण

SSO समस्याओं का निवारण करने के लिए इन चरणों का पालन किया जा सकता है जो Azure सशर्त पहुँच से संबंधित हैं:

1. SSO प्रमाणीकरण के लिए प्रारंभिक प्रमाणीकरण के लिए SSO प्रक्रिया प्रवाह को समझें:
   • प्रारंभिक Cato क्लाइंट कनेक्शन के दौरान, SSO प्रमाणीकरण सीधे क्लाइंट और IdP के बीच सुरंग के बाहर होता है। Azure प्रमाणीकरण अनुरोध में क्लाइंट के ISP IP पते को देखेगा।
   • जहाँ हमेशा चालू उपयोगकर्ता के लिए सक्षम है या जब IdP टोकन समाप्त हो जाता है के बाद SSO पुनः प्रमाणीकरण होता है, क्लाइंट और IdP के बीच SSO प्रमाणीकरण सुरंग के भीतर PoP के माध्यम से होता है। Azure प्रमाणीकरण अनुरोध में Cato PoP IP पते को देखेगा।
2. विफलता घटनाओं का विश्लेषण करने के लिए सशर्त पहुँच के तहत Azure साइन-इन लॉग्स तक पहुँचें। प्रत्येक प्रमाणीकरण प्रयास के लिए लॉग में क्लाइंट का स्रोत IP पता शामिल होगा। विफलता पर अधिक अंतर्दृष्टि के लिए सशर्त पहुँच टैब के तहत 'विवरण दिखाएं' विकल्प का उपयोग करें।
   
3. नीति कॉन्फ़िगरेशन को सत्यापित करें, जिसमें Cato पोर्टल एप्लिकेशन और बाहर किए गए तत्वों के रूप में Cato PoP IP रेंज शामिल है। आप यह सुनिश्चित करना चाह सकते हैं कि नीति ठीक से कॉन्फ़िगर की गई है और यह सुनिश्चित करता है कि सही स्रोत IP पते और एप्लिकेशन को SSO प्रमाणीकरण सफल होने की अनुमति दी जाती है।
4. संभव है कि माइक्रोसॉफ्ट एज़्योर के अनुमति प्रतिबंधों के कारण Cato पोर्टल एप्लिकेशन को सशर्त पहुँच नीति द्वारा सही से नहीं पहचाना जा सके। अगर यह स्थिति है, तो नीचे दर्शाए अनुसार एक सफल प्रमाणीकरण के बाद विफलता को देखेंगे।

समाधान

यदि सशर्त पहुँच नीति में स्थान (उपयोगकर्ता स्रोत IP पता) शामिल है, तो उपयोगकर्ता की हमेशा चालू कॉन्फ़िगरेशन के आधार पर IP पते या IP रेंज को परिभाषित करें:

• हमेशा चालू अक्षम (आवश्यकतानुसार) उपयोगकर्ता प्रमाणीकरण के दौरान क्लाइंट का ISP IP पता और सुरंग चालू रहते हुए IdP टोकन समाप्त होता है तो पुन:प्रमाणीकरण के लिए PoP का IP पता उपयोग करेंगे।
• हमेशा चालू सक्षम उपयोगकर्ता प्रारंभिक प्रमाणीकरण (Cato स्थापित करने के बाद) के दौरान केवल क्लाइंट का ISP IP पता और बाद के प्रमाणीकरण अनुरोध और पुन:प्रमाणीकरण अनुरोध (IdP टोकन समाप्त होता है जबकि सुरंग चालू रहती है) के लिए PoP का IP पता उपयोग करेंगे।
• हमेशा चालू उपयोगकर्ताओं के लिए, प्रारंभिक प्रमाणीकरण (Cato स्थापित करने के बाद) को InitialAlwaysOn रजिस्ट्री कुंजी को सक्रिय करके Cato सुरंग का उपयोग करने के लिए मजबूर भी किया जा सकता है जैसा कि विंडोज क्लाइंट स्थापित करना और हमेशा चालू में वर्णित है।

यदि सशर्त पहुँच नीति में Cato पोर्टल एप्लिकेशन को छोड़कर सभी को ब्लॉक करने वाली नीति शामिल है, तो CMA में एकल साइन-ऑन पृष्ठ पर जाएं और माइक्रोसॉफ्ट प्रमाणपत्र पर क्लिक करें, जिससे Azure के साथ फिर से सहमति प्रदान करने के लिए प्रशासक प्रमाण-पत्र मांगें जाएंगे।