この記事では、クライアントがユーザーのWindows資格情報に基づいて認証を行うように設定する方法を説明します。
リモートアクセスのためには、セキュリティポリシーの実施には、ユーザーがクライアントで成功裏に認証されることが必要です。 シームレスな認証を保証することで、ネットワークセキュリティを向上させ、シンプルなユーザーエクスペリエンスを作り出します。 SSOで認証するユーザーに対して、クライアントがWindows認証情報を使用して認証できるように設定できます。 これにより、ユーザーはデバイスに一度ログインするだけで、クライアントに接続する際に認証情報を再入力する必要がなくなります。 認証は自動的に行われるか、ユーザーが開始することができます。 このプロセスでは、プライマリ更新トークン(PRT)が発行され、Catoクライアントがユーザーを認証するために取得します。 SSOセッションが期限切れとなりPRTトークンが有効である場合、クライアントはWindows認証情報を使用して静かに再認証を行い、シームレスなログインおよび再認証の流れを維持します。
初回のインストール後にクライアントを自動で起動し、Windowsレジストリキーを設定して、常時オンセキュリティを使用して起動時に接続を行うと、クライアントは常に起動し、認証し、ユーザーが何も操作しなくても接続されます。
注意
注: レジストリエントリは大文字小文字を区別する場合があり、この記事に記載されているとおりに正確に入力する必要があります。
会社ABCは、ユーザーが可能な限り少ないクリックでCatoに接続できるようなシンプルなユーザーエクスペリエンスを求めています。 そのために、クライアントの認証プロセスを自動化したいと考えています。 これにより、Catoに接続するためには、ユーザーはクライアントを開き、接続ボタンをクリックするだけで済みます。
管理者は、Cato SSO設定を設定して、ユーザーのWindows資格情報を自動的に使用するようにします。
ユーザーがデバイスにログインするたびに、SSOトークンが期限切れの場合でも、クライアントはユーザーから追加の認証を必要とせずにネットワークに接続できます。
会社ABCは、ユーザーが可能な限り頻繁にクライアントに接続されることを保証したいと考えています。 そのために、新規および既存のユーザーがクライアント内の接続ボタンを手動でクリックすることを忘れないように、クライアント接続プロセスを自動化したいと考えています。
管理者が次の設定を行います:
- クライアントが新規ユーザーのために直ちに起動するように、デバイスにWindowsレジストリキーを定義します。
- クライアントがデバイスを起動するたびに接続するように、起動時に接続を有効にします。
- 手動ユーザー認証の必要性をなくすために、Windows資格情報を使用して自動クライアント認証を有効にします。
ユーザーがデバイスにログインするたびに、クライアントは起動し、認証を行い、ユーザーの操作なしに接続されます。
注意
注意: Azureがユーザーに認証トークンを提供できない場合、最終ユーザーはクライアントにAzure資格情報を入力して標準の認証フローに従います。
-
Windows資格情報を使用した認証がサポートされています:
- Windowsクライアントv5.8以上で利用可能です。
- Windows 10以上を実行しているデバイスで利用可能です。
- Azure AD加入デバイスではハイブリッドAD参加がクライアントv5.11以上でサポートされています。
- AzureがアカウントのSSOプロバイダーとして設定され、ユーザーがSSOでログインできることを許可されています。
- OIDとSIDのマッピングが設定されています (詳細についてはMicrosoftのドキュメントを参照してください)。
- クライアントがPRTトークンを取得できます。 PRTトークンが取得できない場合、ユーザーは手動で認証または再認証が必要になるかもしれません。 PRTトークンの問題をトラブルシューティングするには、Microsoftのドキュメントを参照してください。
この機能はAzure SSO構成内で有効にされています。 一度有効にすると、ユーザーエクスペリエンスを選択できます。
Windows資格情報で認証するために:
- ナビゲーションメニューから、アクセス > シングルサインオンをクリックします。
- SDPクライアントユーザセクションから、Windows資格情報でサインインを選択します。
-
ドロップダウンメニューからユーザーエクスペリエンスを設定します:
- 自動的に: クライアントは自動的にWindows資格情報を使って認証します。
- ユーザ選択: ユーザーはWindows資格情報での認証の確認が必要ですが、再入力する必要はなく、別のユーザーとして認証することも選べます。
-
保存をクリックしてください。
ユーザーは現在、自分のWindows資格情報を使用してCatoに認証しています。 新規ユーザーは自動的にWindows資格情報で認証します。 設定済みのユーザーは、SSOセッションが次に期限切れになると自動的に認証されます。
注意
注意: デバイスに複数のユーザーが設定されている場合、クライアントに設定されたユーザーのみがWindows資格情報を使用して認証できます。
Windows認証情報による認証を他の機能と組み合わせて、ユーザー体験をシームレスにすることができます。 これは、クライアントがユーザーの操作なしに起動、認証、接続することを意味します。
Windowsのレジストリキーを設定した後、デバイスを再起動します。
CMAに表示されるように、SubdomainForSeamlessAuthWindowsレジストリキーを使用してCatoアカウント名を定義します。 アクセス > シングルサインオンページであなたのアカウントのサブドメインを識別できます。 クライアントが最初のCatoクラウドへの認証を成功させると、レジストリは自動的に更新されます。
初回インストール後にクライアントを自動的に起動するには、LaunchAuthPageOnStartup Windowsレジストリキーを定義します。 この機能は、新しいユーザーがデバイスに初めてログインする際に利用されます。
アカウント全体に対し、Cato管理アプリケーションで起動時に接続を有効にすることを選択でき、クライアントはデバイスが起動するたびに常に接続されます。 この機能は、ユーザーの操作なしにクライアント接続を強制するためにユーザーに設定されます。
0件のコメント
サインインしてコメントを残してください。