この記事では、アカウントのSDPユーザーに対する認証動作と2要素認証(MFA)の要件を設定する方法について説明します。
認証ポリシーは、ユーザーがアカウントに認証する方法を定義します:MFA、シングルサインオン(SSO)、またはユーザー名とパスワード。 さらに、クライアント内ブラウザまたは外部のデフォルトOSブラウザを使用してエンドユーザーの認証エクスペリエンスを選択できます。
WindowsとmacOSデバイスの場合、ユーザーが組み込みブラウザまたは外部ブラウザを使用して認証するかどうかを設定できます。 デフォルト設定は組み込みブラウザを使用することで、最良のエンドユーザーエクスペリエンスを提供します。 MFAとSSO認証はクライアント内で完了し、デバイスをCatoクラウドにシームレスに接続します。
アカウントのネットワーク設定が組み込みブラウザをサポートしない場合があります。 そのような場合、デバイス用の外部デフォルトOSブラウザを使用するようにアカウントを設定できます。 エンドユーザーはクライアントで接続を開始し、次にOSブラウザでCatoクラウドに認証されます。
アカウントのクライアントブラウザ認証を設定するには:
-
ナビゲーションメニューから、アクセス > ユーザー認証をクリックします。
-
追加設定タブをクリックします。
-
ブラウザ認証で次のオプションのいずれかを選択します:
-
組み込みブラウザ - SDPユーザーはクライアント内でアカウントに認証する
-
外部ブラウザ - SDPユーザーはOSブラウザでアカウントに認証
-
-
保存をクリックしてください。
ブラウザ認証方法を選択する際に従うべきベストプラクティスは次のとおりです:
-
条件付きアクセスが外部ブラウザのみサポートするブラウザプラグインを必要とする場合を除き、組み込みブラウザを推奨します。
-
常時オンが有効なときは、正しい動作を保証するために組み込みブラウザを使用してください。 外部ブラウザを使用する場合、SSO認証に必要なすべてのドメインやIPが許可されるわけではありません。
-
ADFS環境では組み込みブラウザを使用する必要があり、そうでない場合はSSO認証を使用できません。
-
組み込みブラウザは、外部ブラウザとHSTS施行によるSSO認証の問題を防止します。 詳細については、外部ブラウザ使用時のSSO認証失敗 | localhostエラーを参照してください。
-
macOSまたはWindowsでOkta Verifyアプリを使用する際は、認証のために外部ブラウザを使用してください。
アカウントのユーザーがCatoクライアントで接続する際の認証ポリシーを定義するために、ユーザー認証画面を使用してください。 SSOを有効にしているアカウントの場合、これがデフォルトの認証ポリシーです。
以下は認証オプションです:
-
SSO - ユーザーはアカウントのために設定された識別プロバイダー(IdP)を使用してSSOで認証します
-
MFA - ユーザーはSMSまたは認証アプリ(MFAのためのRFC-6238に基づく)から受け取ったコードを使用して認証する必要があります
-
ユーザー名とパスワード - ユーザーはクライアント用のユーザー名とパスワードで認証します(MFA要件なし)
個別のユーザーのMFAポリシーを上書きすることも可能です。下記特定ユーザー向けの認証設定の上書きを参照してください。
ディレクトリサービスを使用していて、ユーザーの携帯電話番号を高度な認証のために変更する必要がある場合は、電話番号をIdPのみに変更してください。
注意
注意: 登録コードでプロビジョンされたユーザーに対して、2要素認証 (MFA) やシングルサインオン (SSO) はサポートされていません。登録コードを使用してください。
トークンの有効期間設定を扱う
トークンの有効期間 > 期間オプションは、Catoクライアントを実行しているデバイスが以下のように「信頼された」ものであるかどうかに依存します:
-
ユーザーがCatoクライアントを実行中のデバイスに信頼を有効化した場合(Catoクラウドに接続時にクライアント上でこのデバイス/コンピュータで再度尋ねないでくださいオプションを選択することによって)、期間がまだ有効であり、ジオロケーションが他の国に変更されていない場合、2要素認証は不要です
-
ユーザーがCatoクライアントを実行中のデバイスで信頼を有効にしなかった場合(Catoクラウドに接続する際にクライアントでこのデバイス/コンピュータで再度確認しないオプションをクリアすると)、期間設定は効果がなく、このデバイスでは常にMFAが必要です
注意
注意: Windowsクライアント v5.12 から、クライアントの 埋め込みブラウザは IdPトークンを更新することができます。 IdPトークンが有効期限切れになっても、ユーザーに再認証を促すことはありません。
リモートユーザーのためのMFAポリシーを設定するには:
-
ナビゲーションメニューから、アクセス > ユーザー認証をクリックします。
-
メソッドドロップダウンリストからMFAを選択します。
-
一般設定を設定して、認証方法をポリシーのために選択します:
-
全て - 各ユーザーは自分の認証方法を選択します
-
Authenticator - ユーザーは認証アプリ(例えばGoogle Authenticator)を使用する必要があります
-
SMS - ユーザーには認証コードの付いたSMSテキストメッセージが送られます
-
-
トークンの有効性セクションで、クライアントのMFAトークンの動作を選択します:
-
常時プロンプト - ユーザーが接続するたびにMFAが必要です。
ログイン中のユーザーは、日または時間(最終ログインから)が設定された期間に達したときに、再認証が必要です。
-
期間 - ユーザーは日または時間で定義された期間中、MFAを要求されません。
-
-
保存をクリックしてください。
特定のユーザーの異なる認証設定をカスタマイズし、グローバル認証ポリシーを上書きすることができます。 ユーザーを編集し、その後認証画面を使用して、そのユーザー向けの認証方法をカスタマイズします。
特定のユーザーのグローバル認証設定を上書きするには:
-
ナビゲーションメニューから、アクセス > ユーザーをクリックします。
-
ユーザーを選択し、ナビゲーションメニューから ユーザー設定 > 認証 を選択します。
-
アカウント認証の設定を上書きを選択します。
-
ユーザーの認証方法を選択します。
-
このユーザーの認証設定を構成します。
-
保存をクリックしてください。
新しいデバイスにクライアントをインストールするなど、必要に応じてユーザーのMFA設定をリセットできます。
0件のコメント
サインインしてコメントを残してください。