この記事では、Windowsクライアントの接続フローをCato PoPに説明します。
クライアントがCato PoPに接続する前に、クライアントポリシーの設定に基づいて様々なチェックを実施します。 これにより、セキュリティ要件を満たすユーザーとデバイスのみがネットワークに接続できるようにします。 以下のフローチャートは、これらのチェックの順序と、チェックが失敗した場合や有効でない場合のクライアントの動作を詳しく説明しています。
以下のフローチャートは、プレログインが有効または無効の場合に、WindowsクライアントがCato PoPに接続する方法を示しています。
プレログイン は、ユーザーが認証される前に許可された宛先へのアクセスを提供します。 例えば、デバイスがインターネットに接続できるとすぐに、ADへアクセスしてユーザー資格情報をデバイスに保存できます。 他のすべてのインターネットアクセスはブロックされます。
注
注意: 常時オンが有効な状態で外部ブラウザを使用する際、サポートされているIdPのいずれかに関連付けられた任意のドメインは認証されていない状態でアクセスできる可能性があります。 例として、GoogleがIdPの場合、ユーザーはgoogle.comにアクセスして認証を確認できるようになります。
- プレログイン状態では、デバイスがCatoクライアント、信頼された証明書で事前に構成されており、Windowsレジストリがアカウント名で構成されています。 ユーザーは認証されていませんが、クライアントは証明書を検証するためにPoPに接続できます。 証明書が有効であれば、クライアントがユーザーが認証されていなくてもPoPを通じて許可された宛先にアクセスできる信頼を確立します。
- 常時オンはクライアントが常にPoPに接続されることを保証し、すべてのトラフィックはCatoのセキュリティエンジンによって検査されます。 クライアントは最後にクライアントに接続したユーザーの資格を使用して、自動的に認証および接続を試みます。 クライアントは、デバイスの起動後(ユーザーの資格情報がデバイスに保存されている場合のみ)と、ユーザーのログイン後に常時オンが有効かどうかを確認します。 ユーザーが認証され、クライアントが接続されると、クライアントは切断できません。
- 起動時に接続を有効にした場合、デバイスの起動フェーズ中に、クライアントは自動的に最後にクライアントに接続したユーザーの資格情報を使用して認証および接続を試みます。 クライアントが接続された後、ユーザーはクライアントを切断することができます。 クライアントは、デバイスの起動後に(ユーザーの資格情報がデバイスに保存されている場合にのみ)起動時に接続が有効かどうかを確認し、ユーザーがデバイスにログインした後に確認します。
- クライアント接続ポリシー は、ネットワークに接続する前にデバイスで実行するデバイスチェックを定義します。 これにより、セキュリティ要件に準拠するデバイスのみが接続できることが保証されます。 ユーザーは、セキュアなインターネットアクセスのみまたはセキュアなインターネットアクセスとプライベートネットワーク(WAN)の両方を持つように設定することができます。
-
これらのチェックには以下が含まれます:
- デバイスチェックは、デバイスがネットワークに接続するために満たすべき最小要件を定義します。 クライアントは、デバイスのセキュリティポスチャを検証するためにチェックを実行します。
- デバイスのジオロケーション
- デバイスのオペレーティングシステム
- ユーザーのステータスの認証
- ユーザーは、SSO、MFA またはユーザ名とパスワードで認証を行うことができます。 一度認証されると、PoPによってCatoトークンが生成され、ユーザーが認証されたことが確認されるので、クライアントはCatoクラウドへの接続を維持できます。 Cato 認証トークン 有効期限を設定ができます。 クライアントはWindows資格情報で自動的に認証することができ、このステップをユーザーにとってシームレスにします。
0件のコメント
記事コメントは受け付けていません。