問題

Catoポータルアプリケーションのシングルサインオン(SSO)を制限するためにAzure条件付きアクセスを実装する際、条件付きアクセスポリシーが設定された要件を満たしていないため、Catoクライアントは「現在このアクセスはできません」というエラーメッセージを表示します。

環境

• Azure SSOがCMAで認証方法として設定されています。
• Azure条件付きアクセスは、送信元IPアドレス(位置情報)またはCatoポータルアプリケーションを制限するために適用されます。
• 埋め込みブラウザと外部ブラウザの両方を使用します。

トラブルシューティング

以下の手順に従ってAzure条件付きアクセスに関連するSSOの問題をトラブルシューティングすることができます：

1. SSO認証のための初期認証のためのSSOプロセスフローを理解する：
   • 初期Catoクライアント接続時には、SSO認証はトンネル外でクライアントとIdPの間で直接行われます。 Azureは認証要求でクライアントのISP IPアドレスを確認します。
   • ユーザーのために常時オンが有効またはIdPトークンが有効期限切れの後にSSO再認証が行われる場合、クライアントとIdPの間のSSO認証はPoPを介してトンネル内で行われます。 Azureは認証要求でCato PoP IPアドレスを確認します。
2. Azureのサインインログにアクセスし、失敗イベントを分析します。 ログには各認証試行のクライアントの送信元IPアドレスが含まれます。 失敗に関するさらなる洞察を得るために、条件付きアクセスタブの「詳細表示」を使用します。
   
3. 条件付きアクセスポリシーの構成を確認し、CatoポータルアプリケーションとCato PoP IP範囲を除外項目として含めます。 ポリシーが正しく構成されており、SSO認証を成功させるための正しい送信元IPアドレスとアプリケーションを許可しているかを確認する必要があるかもしれません。
4. Microsoft Azureの権限制限により、条件付きアクセスポリシーがCatoポータルアプリケーションを正しく検出できない可能性があります。 その場合、以下のように成功した認証の後に失敗が表示されます。

解決策

条件付きアクセスポリシーに位置情報(ユーザーの送信元IPアドレス)が含まれている場合、ユーザーの常時オン設定に基づいてIPアドレスまたはIP範囲を定義します：

• 常時オンが無効（オンデマンド）のユーザーは認証時にクライアントのISP IPアドレスを使用し、トンネルが接続中の間は再認証でPoPのIPアドレスを使用します。
• 常時オンが有効なユーザーは初期認証時（Catoインストール後）はクライアントのISP IPアドレスのみを使用し、その後の認証要求および再認証要求時（トークンが有効期限切れ中にトンネルが接続中）はPoPのIPアドレスを使用します。。
• For Always-On users, the initial authentication (after Cato install) can also be forced to use the Cato tunnel by enabling the InitialAlwaysOn registry key as explained in Installing Windows Clients and Always-On.

条件付きアクセス ポリシーに、Catoポータルアプリケーションを除外するすべてブロックのポリシーが含まれている場合、CMAのシングルサインオンページに移動し、マイクロソフト認証情報をクリックしてください。これにより、Azureへの同意を再び行うための管理者の資格情報を確認します。