Catoアイデンティティ・エージェントを使用中のユーザー認識

この記事では、ユーザー認識のためにCatoアイデンティティ・エージェントを有効化し、サイトの背後にいるユーザーを識別する方法を説明します。アイデンティティ・エージェントは、Windows、macOS、Linuxクライアントに対応しています。

アイデンティティ・エージェントベースのユーザー認識の概要

ユーザーのアイデンティティを知ることはゼロトラストネットワークアーキテクチャ（ZTNA）の重要な要素であり、ユーザーをいつでも識別し、ユーザーアクセスを管理し、ユーザーのアクティビティを監視することが必要です。ユーザー認識のためのアイデンティティ・エージェントは、Socketまたはオフィスモードの背後にいるユーザーを識別します。 Catoクライアントのフレームワークを使用してユーザー情報を取得し、約30秒ごとにこのアイデンティティをPoPに報告します。 IPアドレスの変更は即時に検出され、報告されます。

クライアントはデバイスにインストール済みであればバックグラウンドで動作し（トンネルを確立することなく）、Catoクラウドにユーザーのアイデンティティを提供します。

前提条件

アイデンティティ・エージェントのクライアント前提条件と要件は、アカウントに設定されているIdPに基づいています。

	Windowsクライアント v5.4 and higher	Windowsクライアント v5.5 から 5.8 まで	Windowsクライアント v5.9 and higher	macOSクライアントv5.3以上	Linuxクライアント v5.1 and higher
オンプレミスAD with LDAP	サポート	サポート	サポート	サポート*	サポート*
ハイブリッドAzure AD joined with LDAP
Azure AD ドメインサービス with LDAP
Azure ADとSCIM
ハイブリッドAzure ADがSCIMと連携	サポートされていません。	サポート*	サポート	サポート*	サポート*
その他のIdP（例：Okta）と手動で作成したユーザー	サポートされていません。	サポート*	サポート*	サポート*	サポート*

* 各ユーザーにSDPライセンスが必要であり、クライアントへの一度の初回認証が必要です。

Catoのアイデンティティ・エージェントを使用したユーザー認識ソリューションの実装の概要

これは、アカウントでユーザー認識のためにアイデンティティ・エージェントを実装するプロセスの概要です。

アクセス > ディレクトリサービス画面で、ユーザーをアカウントにプロビジョニングします。
ユーザーおよびユーザーグループのプロビジョニングが完了した後、それらを含むルールとポリシーを作成します。
1. 該当するユーザーのデバイスにクライアントをインストールします。ユーザーがデバイスにログインすると、クライアントはCatoクラウドに30秒ごとにアイデンティティを報告し始めます。
macOSおよびLinuxクライアントの場合、ユーザーとユーザーグループにSDPライセンスを割り当てます。 SDPライセンスを割り当てる方法の詳細については、Assigning SDP Licenses to Usersを参照してください

ユーザーのアイデンティティに基づいたポリシーの施行

ユーザーまたはユーザーグループをポリシーに追加できます。 Catoがユーザーのアイデンティティを確認した後、ユーザーに設定された任意のポリシーは、サイトの背後およびリモートで施行されます。

注意

注意: アイデンティティ・エージェントを使用する場合、サイトの背後にいるユーザーは、宛先として設定されているときにWANルールで一致しません。

ユーザー認識のためのアイデンティティ・エージェントの有効化

プロビジョニングされたユーザーをCatoのアイデンティティ・エージェントで識別するためにアカウントを有効にします。

アイデンティティ・エージェントを有効にするには、以下を実行してください。

ナビゲーションメニューからアクセス > User Awarenessを選択します。
アイデンティティ・エージェントセクションを選択します。
アカウントのためにアイデンティティ・エージェントを有効にします。

トグルは有効化されると緑になります。
保存をクリックします。

SDPライセンスの割り当て

以下のシナリオでアイデンティティ・エージェントでユーザーを識別するにはSDPライセンスが必要です。

macOSまたはLinuxデバイスで
Azure以外のIdPからプロビジョニングされたユーザー
手動で作成されたユーザー

SDPライセンスを割り当てる方法の詳細については、Assigning SDP Licenses to Usersを参照してください。

既知の制限

macOSを使用するデバイスでは：
- macOS Ventura（バージョン13）では、クライアントが新しいバージョンにアップグレードされるとき、一度だけデバイスを再起動する必要があります。
- クライアントからSDPユーザーを削除すると、そのアイデンティティは報告されません
Azure AD SCIMでユーザーをプロビジョニングするアカウント：
- Windowsクライアントv5.4からv5.8まで、オンプレミスのADでユーザーが認証すると、SDPライセンスを持つユーザーのみがアイデンティティ・エージェントによって識別されます。 (ユーザーをLDAP（オンプレミスのADやEntra）でプロビジョニングするアカウントはSDPライセンスを必要としません)
Windowsクライアントv5.5以前では、Windowsデバイスでログアウトしないユーザー間で切り替える際にアイデンティティ・エージェントがアクティブユーザーを識別できません。
- Windowsにログインしているユーザーがいて、別のユーザーがデバイスにログインすると（スタートメニュー>ユーザーの切り替え）、両方のユーザーが現在デバイスにログインしています。エージェントはこのデバイス用に1人のユーザーだけを識別します
- ユーザーがWindowsデバイスからログアウトし、2人目のユーザーがログインすると、そのデバイス用に2人目のユーザーをエージェントが識別します。
- ターミナルサーバーはサポートされていません
クライアントに認証されたユーザーのアイデンティティはすぐに取得され、クライアント内のアイデンティティ・エージェントレポートのタイムスタンプは関連性がありません。
Azure AD以外のIdPの場合：
- クライアントからSDPユーザーを削除すると、そのアイデンティティは報告されません
ユーザー認識は無効なユーザーを識別しません