사용자에 대한 Cato SSO 인증

이 문서에서는 Cato 클라이언트가 사용자가 SSO(Single Sign On)로 인증하고 네트워크에 연결할 수 있도록 하는 방법을 설명합니다.

개요

계정에 SSO를 구성하면 인증이 간소화되고 사용자 경험이 향상됩니다. SSO와 함께 세 가지 구성 요소가 작동하여 사용자의 신원을 확인하여 네트워크에 연결할 수 있도록 합니다. 첫째, 사용자는 자신의 SSO 자격 증명을 사용하여 본인을 식별합니다. 둘째, IdP는 사용자의 자격 증명을 검증하기 위한 인증 시스템으로 작동합니다. 셋째, Cato는 IdP와 통합하여 사용자가 클라이언트에 로그인하고 네트워크에 연결할 수 있도록 합니다.

SSO 인증 프로세스는 IdP와 Cato 간에 공유되는 고유 토큰을 생성하고 검증하는 데 의존합니다.

참고

참고: 카토 supports OIDC for SSO only. SAML-based 인증 is currently 지원되지 않습니다.

SSO 인증에 사용되는 SSO 토큰 이해하기

SSO 인증의 경우 클라이언트는 암호화된 두 개의 SSO 토큰에 의존하여 사용자가 인증되고 네트워크에 연결할 수 있는지를 검증합니다.

  • IdP 토큰: 사용자가 자신의 SSO 자격증명으로 인증한 후 IdP에 의해 생성됩니다.

  • Cato 토큰: 클라이언트가 IdP로부터 성공적인 검증 응답을 받은 후 PoP에 의해 생성됩니다. 이 토큰은 클라이언트가 Cato 클라우드에 연결을 유지할 수 있도록 Cato에서 사용자가 인증되었는지를 확인하는 데 사용됩니다. Cato 토큰은 장치에 저장되며 유효 기간은 Cato 관리 애플리케이션에서 설정됩니다.

    Cato 토큰이 만료되면 PoP는 IdP 토큰이 유효한지 확인합니다. 클라이언트가 IdP로부터 성공적인 검증 응답을 받으면 PoP는 새로운 Cato 토큰을 생성하고 클라이언트는 Cato 클라우드에 연결된 상태를 유지합니다. Cato 토큰과 IdP 토큰이 모두 만료된 경우 클라이언트는 Cato 클라우드와의 연결이 끊어집니다. 사용자가 재인증 후 새로운 IdP 토큰을 받으면 클라이언트는 다시 연결됩니다.

Cato 토큰의 만료 방식을 구성할 수 있습니다:

  • 기간: Cato 토큰이 유효한 시간 기간을 선택합니다. 이 시간 동안 사용자가 클라이언트를 연결 해제하더라도 토큰은 유효하게 유지됩니다.

  • 항상 프롬프트: 사용자가 클라이언트를 연결 해제한 후 Cato 토큰은 만료됩니다. 사용자가 연결을 해제하지 않는 경우 Cato 토큰이 유효한 시간 기간을 선택할 수 있습니다.

아래 테이블은 각 토큰이 만료될 때 클라이언트 연결 상태를 설명합니다:

IdP 토큰 상태

Cato 토큰 상태

연결 상태

유효함

유효함

클라이언트가 연결됨

만료됨

유효함

클라이언트는 Cato 토큰이 만료될 때까지 연결됩니다

유효함

만료됨

  1. 클라이언트는 IdP에 IdP 토큰이 유효한지 확인합니다. 토큰 유효성이 다음으로 설정된 경우:

    • 기간: 이 검사는 자동으로 수행됩니다

    • 항상 프롬프트: 이 검사는 사용자가 시작합니다

  2. IdP에서 성공적인 검증 응답을 전송합니다

  3. 클라이언트는 PoP에 성공적인 검증 응답을 전송합니다

  4. PoP는 새로운 Cato 토큰을 생성하고 이를 클라이언트에 전송합니다

  5. 클라이언트는 연결된 상태를 유지합니다

만료됨

만료됨

  1. 클라이언트는 IdP에 IdP 토큰이 유효한지 확인합니다. SSO 구성에 따라 이 검사는 자동으로 수행되거나 사용자가 시작할 수 있습니다

  2. IdP가 실패한 검증 응답을 보냅니다

  3. 클라이언트 연결이 끊어집니다

초기 인증을 위한 SSO 프로세스 흐름 예시

이 섹션에서는 사용자가 SSO를 사용하여 클라이언트에 인증하고 네트워크에 연결하는 예시를 제공합니다.

초기 인증

이 프로세스 흐름은 사용자가 클라이언트를 처음 인증할 때 어떤 일이 발생하는지 설명합니다.

  1. 클라이언트에서 사용자가 사용자 추가를 클릭합니다.

    1. PoP가 사용자가 이메일 주소를 입력할 수 있도록 화면을 생성합니다

    2. PoP가 이메일 주소를 Cato 계정과 연결합니다. 클라이언트는 계정에 대해 구성된 인증 옵션을 표시합니다.

  2. 사용자가 SSO 옵션을 클릭하면, 클라이언트는 사용자가 IdP 로그인 및 MFA 자격 증명을 입력할 수 있도록 브라우저(클라이언트에서 또는 외부 브라우저)를 표시합니다.

    • IdP가 사용자의 자격 증명을 검증합니다

  3. 자격 증명이 유효한 경우, IdP는 성공 응답과 함께 IdP 토큰을 PoP에 보냅니다.

  4. PoP가 IdP와 직접 토큰의 유효성을 확인합니다.

  5. 토큰이 유효한 경우, PoP는 Cato 토큰을 생성하고 이를 클라이언트에 보냅니다.

    1. 클라이언트가 장치에 Cato 토큰을 저장합니다

    2. 사용자가 인증되고 클라이언트는 네트워크에 연결됩니다

항상 적용 기능이 활성화된 인증

이 프로세스 흐름은 항상 적용 기능이 활성화된 사용자가 클라이언트를 인증할 때 어떤 일이 발생하는지 설명합니다.

이 프로세스는 위에서 설명한 초기 인증 후에 발생합니다.

  1. 장치가 켜지고 부팅됩니다.

  2. 클라이언트가 장치의 Cato 토큰이 유효한지 확인합니다. 이 검사는 토큰 유효 기간 구성에 따라 자동으로 수행되거나 사용자가 시작할 수 있습니다.

    1. Cato 토큰이 유효하면 클라이언트가 연결됩니다

    2. Cato 토큰이 만료된 경우, 클라이언트가 IdP 토큰이 유효한지 확인합니다

      1. IdP 토큰이 유효한 경우, 클라이언트가 PoP에 성공적인 검증 응답을 보냅니다. PoP가 새로운 Cato 토큰을 생성하고 클라이언트가 연결됩니다

      2. IdP 토큰이 만료된 경우, 클라이언트가 연결되지 않습니다. 클라이언트는 계정에 대해 구성된 인증 옵션을 표시합니다. 사용자가 다시 인증한 후에만 클라이언트가 연결됩니다.

도움이 되었습니까?

7명 중 7명이 도움이 되었다고 했습니다.

댓글 0개