Catoを利用したユーザー向けのSSO認証

この記事では、CatoクライアントがユーザーをSSO(シングルサインオン)で認証し、ネットワークに接続する方法を説明します。

概要

アカウントにSSOを設定することで、認証が容易になり、ユーザーエクスペリエンスが向上します。 SSOでは、ユーザーがネットワークに接続できるように、3つのコンポーネントが連携してユーザーのアイデンティティを確認します。 まず、ユーザーはSSOのクレデンシャルで自分を識別します。 次に、IdPが認証システムとして機能し、ユーザーのクレデンシャルを検証します。 そして、CatoがIdPと連携してユーザーがクライアントにサインインし、ネットワークに接続できるようにします。

SSO認証プロセスは、IdPとCato間で共有される一意のトークンの生成と検証に依存しています。

注意

注: CatoはSSOのためにOIDCのみをサポートします。 SAMLベースの認証は現在サポートされていません。

SSO認証に使用されるSSOトークンの理解

SSO認証のために、クライアントは2つの暗号化されたSSOトークンに依存して、ユーザーが認証され、ネットワークに接続することを確認します。

  • IdPトークン: これは、ユーザーがSSOクレデンシャルで認証した後にIdPによって生成されます。

  • Catoトークン: クライアントがIdPからの成功した検証応答を受け取った後、PoPによって生成されます。 このトークンは、ユーザーが認証されていることを確認するためにCatoが使用します。それによりクライアントはCatoクラウドへの接続を維持できます。 Catoトークンはデバイスに保存され、有効期間はCato管理画面で設定されます。

    Catoトークンが期限切れになると、PoPはIdPトークンが有効かどうかを確認します。 クライアントがIdPからの成功した検証応答を受け取ると、PoPは新しいCatoトークンを生成し、クライアントはCatoクラウドに接続したままになります。 CatoトークンとIdPトークンの両方が期限切れになると、クライアントはCatoクラウドから切断されます。 ユーザーが再認証した後に新しいIdPトークンを受け取ると、クライアントは再接続されます。

Catoトークンがどのように有効期限切れになるかを設定できます:

  • 期間: Catoトークンが有効である期間を選択します。 この期間中、ユーザーがクライアントを切断してもトークンは有効のままです。

  • 常時プロンプト: ユーザーがクライアントを切断するとCatoトークンの有効期限が切れます。 ユーザーが切断しない場合、Catoトークンが有効な期間を選択できます。

下記のテーブルは、各トークンが有効期限に達したときのクライアント接続ステータスを説明しています:

IdPトークンステータス

Catoトークンステータス

接続ステータス

有効

有効

クライアントが接続されました

期限切れ

該当

クライアントがCatoトークンの期限が切れるまで接続されます

有効

期限切れ

  1. クライアントは、IdPトークンが有効かどうかIdPに確認します。 あなたのトークンの有効期限が以下に設定されている場合:

    • 期間: このチェックは自動的に行われます

    • 常時プロンプト: このチェックはユーザーによって開始されます

  2. IdPは成功した検証の応答を送信します

  3. クライアントはPoPに成功した検証の応答を送信します

  4. PoPは新しいCatoトークンを生成し、それをクライアントに送信します

  5. クライアントは接続を維持します

期限切れ

期限切れ

  1. クライアントは、IdPトークンが有効かどうかIdPに確認します。 SSO設定に応じて、このチェックは自動的に行われるか、ユーザーによって開始されることがあります

  2. IdPは失敗した検証の応答を送信します

  3. クライアントが切断されます

初期認証のためのサンプルSSOプロセスフロー

このセクションでは、ユーザーがSSOを使用してクライアントに認証し、ネットワークに接続する例を示します。

初期認証

このプロセスフローは、ユーザーが初めてクライアントに認証する際に何が起こるかを説明します。

  1. クライアントで、ユーザーはユーザー追加をクリックします。

    1. PoPは、ユーザーがメールアドレスを入力するための画面を生成します

    2. PoPはメールアドレスをCatoアカウントに関連付けます。 クライアントは、アカウントのために設定された認証オプションを表示します。

  2. ユーザーはSSOオプションをクリックし、クライアントはブラウザ(クライアント内または外部ブラウザ)を表示して、ユーザーがIdPログインと2要素認証の資格情報を入力できます。

    • IdPはユーザーの資格情報を検証します

  3. 資格情報が有効である場合、IdPはPoPにIdPトークンとともに成功の応答を送信します。

  4. PoPはIdPと直接トークンの有効性を確認します。

  5. トークンが有効であれば、PoPはCatoトークンを生成し、それをクライアントに送信します。

    1. クライアントはデバイスにCatoトークンを保存します

    2. ユーザーが認証され、クライアントがネットワークに接続されます

常時オンの認証

このプロセスフローは、常時オンが有効なユーザーがクライアントに認証するときに何が起こるかを説明します。

このプロセスは、上記の初期認証の後に行われます。

  1. デバイスの電源が入り、起動します。

  2. クライアントはデバイス上のCatoトークンが有効かどうかを確認します。 このチェックは自動またはユーザーによって開始されることがあります。これはトークンの有効性設定に依存します。

    1. Catoトークンが有効である場合、クライアントは接続します

    2. Catoトークンが期限切れである場合、クライアントはIdPトークンが有効かどうかを確認します

      1. IdPトークンが有効である場合、クライアントはPoPに成功した検証の応答を送信します。 PoPは新しいCatoトークンを作成し、クライアントが接続します

      2. IdPトークンの期限が切れている場合、クライアントは接続しません。 クライアントはアカウントに設定された認証オプションを表示します。 ユーザーが再認証した後にのみ、クライアントは接続します。

この記事は役に立ちましたか?

7人中7人がこの記事が役に立ったと言っています

0件のコメント