この記事では、アカウント内のSDPユーザーに対する認証の動作および多要素認証 (MFA) 要件の設定方法について説明します。
認証ポリシーは、ユーザーがアカウントに認証する方法を定義します:MFA、シングル・サインオン(SSO)、またはユーザー名とパスワード。 さらに、インクライアントブラウザまたは外部のデフォルトOSブラウザを使用して、エンドユーザーの認証エクスペリエンスを選択できます。
WindowsおよびmacOSデバイスに対して、組み込みブラウザまたは外部ブラウザを使用してユーザーが認証するかどうかを構成できます。 デフォルト設定は、最良のエンドユーザーエクスペリエンスを提供する組み込みブラウザを使用することです。 MFAおよびSSO認証はクライアント内で完了し、その後デバイスはシームレスにCato Cloudに接続します。
場合によっては、アカウントのネットワーク設定が組み込みブラウザをサポートしていません。 そのような場合、デバイスの外部のデフォルトOSブラウザを使用するようにアカウントを設定できます。 エンドユーザーはクライアントで接続を開始し、その後、OSブラウザでCato Cloudに認証します。
アカウントのクライアントブラウザ認証を設定するには:
-
ナビゲーションメニューから、アクセス > ユーザー認証をクリックします。
-
追加設定タブをクリックします。
-
ブラウザ認証で、次のいずれかのオプションを選択します:
-
埋め込みブラウザ - SDPユーザーがクライアント内であなたのアカウントに認証
-
外部ブラウザ - SDPユーザーがOSブラウザであなたのアカウントに認証
-
-
保存をクリックしてください。
次に、ブラウザ認証方法を選択するときのベストプラクティスを示します。
-
条件付きアクセスが外部ブラウザのみでサポートされるブラウザプラグインを必要とする場合を除いて、埋め込みブラウザが推奨されます。
-
Always-Onが設定されているときは、適切な機能を確保するために埋め込みブラウザを使用します。 外部ブラウザを使用する場合、SSO認証に必要なすべてのドメインとIPが許可されているわけではありません。
-
埋め込みブラウザはADFS環境で使用する必要があります。さもないと、SSOによる認証は使用できません。
-
埋め込みブラウザは、外部ブラウザとHSTSの実施によるSSO認証の問題を防ぎます。 詳細はSSO認証が外部ブラウザ使用時に失敗 | localhostエラーを参照してください。
-
macOSまたはWindowsでOkta Verifyアプリを使用する場合は、認証に外部ブラウザを使用してください。
ユーザー認証画面を使用して、Catoクライアントで接続するアカウント内のユーザーに対する認証ポリシーを定義します。 SSOを有効化しているアカウントの場合、これがデフォルトの認証ポリシーです。
これらが認証オプションです:
-
SSO - ユーザーはアカウントに対して設定されたアイデンティティプロバイダ(IdP)を使用してSSOで認証
-
MFA - ユーザーはSMSまたは認証アプリから受け取るコードを使用して認証しなければなりません。(MFAに関するRFC-6238に基づく)
-
ユーザー名とパスワード - ユーザーはMFA要件なしでクライアントのユーザー名とパスワードで認証
個々のユーザーに対するMFAポリシーを上書きすることも選択できます。詳細は以下特定ユーザーの認証設定を上書きするを参照してください。
ディレクトリサービスを使用しており、ユーザーのモバイル番号を高度な認証のために変更する必要がある場合は、IdPでのみ番号を変更してください。
注意
注意: 多要素認証 (MFA) とシングルサインオン (SSO) は、登録コードでプロビジョニングされたユーザーに対してサポートされていません。
トークンの有効期間の設定
トークンの有効期間 > 期間オプションは、Catoクライアントを実行しているデバイスが"信頼されている"かどうかによって依存します:
-
ユーザーがデバイスを信頼済みとして設定した場合(Cato Cloudに接続するときにクライアントでこのデバイス/コンピュータで再度尋ねないオプションを選択した場合)、その期間がまだ有効であり、位置情報が別の国に変わっていない限り、MFAは不要です。
-
ユーザーがデバイスを信頼済みとして設定しなかった場合(Cato Cloudに接続するときにクライアントでこのデバイス/コンピュータで再度尋ねないオプションを解除した場合)、期間の設定は効果を持たず、このデバイスでは常にMFAが必要です。
注意
注意: Windowsクライアントv5.12から、クライアントの埋め込みブラウザはIdPトークンを更新できます。 ユーザーはIdPトークンが期限切れになったときに再認証を求められません。
リモートユーザーのためのMFAポリシーを設定するには:
-
ナビゲーションメニューから、アクセス > ユーザー認証をクリックします。
-
メソッドのドロップダウンリストから、MFAを選択します。
-
一般でポリシーの認証方法を選択してください。
-
任意 - 各ユーザーが自分自身のための認証方法を選択
-
認証アプリ - ユーザーはGoogle認証システムのような認証アプリを使用する必要があります
-
SMS - ユーザーには認証コードを含むSMSテキストメッセージが送信されます
-
-
トークンの有効期限セクションで、クライアントのMFAトークンの動作を選択します。
-
常に確認 - ユーザーが接続するたびにMFAが必要です。
ログインしたユーザーは、日または時間(最後にログインした時から)で定義した期間までに再認証を求められます。
-
期間 - 日または時間で定義した期間、MFAは不要です。
-
-
保存をクリックしてください。
特定のユーザーに対して異なる認証設定をカスタマイズし、全体の認証ポリシーを上書きできます。 ユーザーを編集し、そのユーザーのために認証画面で認証方法をカスタマイズします。
特定ユーザーのために全体の認証設定を上書きするには:
-
ナビゲーションメニューから、アクセス > ユーザーをクリックします。
-
ユーザーを選択し、ナビゲーションメニューからユーザー設定 > 認証を選択します。
-
アカウントの認証設定を上書きするを選択します。
-
ユーザーのメソッドを選択します。
-
このユーザー用の認証設定を構成します。
-
保存をクリックしてください。
必要に応じて、ユーザーのMFA設定をリセットできます。たとえば、新しいデバイスにクライアントをインストールする場合です。
0件のコメント
サインインしてコメントを残してください。