Windows SDPクライアントのSSOセッション動作

この記事では、WindowsクライアントにおけるIdPトークンとCatoトークンに関するシングルサインオン(SSO)認証セッションの動作について説明します。

概要

エンドユーザーはCatoの認証トークンに基づいてCatoクライアントで認証されます。 このトークンの有効期間は、Cato管理画面で設定されています。 IdP認証トークンの有効期間はIdPの設定に基づいています。 これらのトークンの開始時間は同期されていないため、同じ期間に設定されていても通常は異なる時間に期限切れになります。 両方のトークンが期限切れになると、ユーザーはIdPに対して再度認証する必要があります。 SDPユーザーのセッション有効期限について詳しくは、Understanding Expiring Session for SDP Usersをご覧ください。

この記事は、Catoトークンの有効期限が切れているがIdPトークンがまだ有効な場合のクライアントの動作を説明します。 この動作はクライアントのバージョンによって異なります。

注意

注意:

  • すべてのクライアントバージョンで、Catoトークンが有効である限り、ユーザーは認証されます(IdPトークンが期限切れであっても)。

  • トークンの有効性の設定を期間ではなく常時プロンプトに設定したアカウントの場合、SDPユーザーはクライアントごとにIdPに認証する必要があります。 IdPトークンは無視されます。

SSO認証セッションについてもっと知りたい場合は、Configuring SSO and the Subdomain for the Accountをご覧ください。

Windowsクライアントv5.xトークンの有効期限動作

このセクションでは、Catoトークンの有効期限が切れ、IdPトークンがまだ有効な場合に、クライアントが自動的に再認証する方法について説明します。Windowsクライアントv5.0以上。

Catoトークンの有効期限の10分前に、クライアントはエンドユーザーに影響やメッセージを与えることなくIdPでの自動再認証を試みます。 IdPトークンが有効な場合、クライアントは自動的に再認証され、Catoはアカウントのトークン期間設定に基づいて新しいSSOトークンを生成します。

Cato管理画面(アクセス > シングルサインオン)でCatoトークンが有効な時間を設定します。 ユーザー エクスペリエンスと有効期限が切れるトークンについての詳細は、SDPユーザーのセッションの有効期限を理解するを参照してください。

両方のトークンが期限切れの場合、エンドユーザーはIdPに認証し、新しいCatoトークンが生成されます。

Windowsクライアントv5.x トークン有効期限 動作例

これは、Windowsクライアントv5.0以降のセッション動作の例です。

  1. ユーザーはIdP資格情報(ユーザ名とパスワード)を入力してクライアントに認証します。 IdPはユーザーのためにSSOトークンを生成します。

  2. Catoトークンは、Cato管理画面のシングルサインオン設定に基づき、10日間の期間で生成されます。

  3. 10日後 - Catoトークンの有効期限が切れる10分前に、クライアントはIdPトークンへのサイレント再認証を試みます。

    1. IdPトークンが有効であれば、クライアントは自動的に再認証し、ユーザーに影響はありません(セッションは中断されません)。 Catoトークンはさらに10日間有効です。

    2. IdPトークンが期限切れの場合、ユーザーはIdPへの認証を求められ、その後Catoトークンはさらに10日間有効です(セッションは中断されません)。

      ユーザーがIdPに再認証しない場合、残り10分が経過するとセッションは期限切れになります。

Windowsクライアントv5.0(およびそれ以降)用のクライアントSSO再認証メッセージ動作

ユーザーのセッションがまもなく期限切れになると、クライアントはユーザーにメッセージを表示して、簡単に再認証できるようにします。 このメッセージの目的は、最高のユーザーエクスペリエンスを提供することであるため、メッセージの動作はIdPとCatoトークンの設定に依存します。

次のテーブルは、CatoおよびIdPトークンの期間に関するさまざまな設定に基づいた、SDPユーザー向けの再認証エクスペリエンスを説明します。

IdP トークン期間

Cato トークン期間

クライアントメッセージ動作

SDP ユーザーエクスペリエンス

2日

7日間

IdPトークンは期限切れです。 クライアントは、Catoトークンの有効期限の24時間前にメッセージを表示します。

SDPユーザーが再接続をクリックし、IdPに再認証します。

7日間

2日間

IdPトークンはまだ有効です。 クライアントはCatoトークンの有効期限の24時間前にメッセージを表示します。

SDPユーザーが再接続をクリックすると、クライアントが自動的にIdPに再認証します。

23時間

3日間

IdPトークンは期限切れです。 クライアントはCatoトークンの有効期限の24時間前にメッセージを表示します。

SDPユーザーが再接続をクリックし、IdPに再認証します。

23時間

36時間

IdPトークンはまだ有効です。 クライアントはCatoトークンの有効期限の12時間前にメッセージを表示します。

SDPユーザーが再接続をクリックすると、クライアントが自動的にIdPに再認証します。

23時間

14時間

IdPトークンはまだ有効です。 クライアントはCatoトークンの有効期限の2時間前にメッセージを表示します。

SDPユーザーが再接続をクリックすると、クライアントが自動的にIdPに再認証します。

Windowsクライアントv4.7(およびそれ以前)のトークン有効期限の挙動

このセクションでは、Catoトークンが有効期限切れになり、IdPトークンがWindowsクライアントv4.7およびそれ以前でまだ有効な場合のエンドユーザーの再認証方法について説明します。 クライアントは自動的に切断され、エンドユーザーが接続をクリックすると、クライアントは有効なIdPトークンを使用して自動的に再認証されます。 Cato管理アプリケーション(アクセス > シングルサインオン)でCatoトークンの有効期間を設定します。

Windowsクライアントv4.7(およびそれ以前)のトークン有効期限の挙動の例

  1. ユーザーはIdPの認証情報(ユーザ名とパスワード)を入力してクライアントに認証します。 IdPはユーザーのためにSSOトークンを生成します。

  2. Cato管理画面のシングルサインオン設定に基づいて、10日間のCatoトークンが生成されます。

  3. 10日後、Catoトークンは期限切れになり、クライアントはWindows資格情報で自動的にサインインされます。

    1. IdPトークンが有効である場合、クライアントで。 ユーザーは接続をクリックして再認証され、Catoトークンはさらに10日間有効です。

    2. IdPトークンが期限切れの場合、ユーザーはIdPへの認証が求められ、その後Catoトークンはさらに10日間有効です(セッションは中断されません)。

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント