Cato Identity Agent를 사용한 사용자 인식

이 문서는 사용자 인식을 위한 Cato Identity Agent를 활성화하고 사이트 뒤의 사용자를 식별할 수 있는 방법을 설명합니다. Identity Agent는 Windows, macOS, Linux 클라이언트를 지원합니다.

아이덴티티 에이전트 기반의 사용자 인식 개요

사용자 정체성을 아는 것은 Zero Trust Network Architecture (ZTNA)의 핵심 구성 요소입니다. 사용자를 언제 어디서나 식별하고, 사용자 접근을 제어하며, 사용자 활동을 모니터링하는 것이 필수적입니다. 사용자 인식을 위한 Identity Agent는 Socket 또는 오피스 모드에서 사용자를 식별합니다. Cato 클라이언트의 프레임워크를 사용하여 사용자 정보를 얻고 약 30초마다 이 정체성을 PoP에 보고합니다. IP 주소의 변경은 즉시 감지되고 보고됩니다.

클라이언트는 기기에 설치되어 백그라운드에서 실행되며(터널을 설정하지 않고) Cato Cloud에 사용자 정체성을 제공합니다.

필수 조건

Identity Agent의 클라이언트 사전 요구 사항 및 요구 사항은 귀하의 계정에 대해 구성된 IdP에 기반합니다.

	윈도우 클라이언트 v5.4 이상	Windows 클라이언트 v5.5 에서 5.8까지	윈도우 클라이언트 v5.9 이상	macOS Client v5.3 이상	리눅스 클라이언트 v5.1 이상
온프레미스 AD 및 LDAP	지원됨	지원됨	지원됨	지원됨*	지원됨*
하이브리드 Azure AD 및 LDAP
Azure AD 도메인 서비스 및 LDAP
Azure AD와 SCIM
하이브리드 Azure AD는 SCIM과 연결됨	지원되지 않음	지원됨*	지원됨	지원됨*	지원됨*
기타 IdP(예: Okta)와 수동으로 생성된 사용자	지원되지 않음	지원됨*	지원됨*	지원됨*	지원됨*

* 각 사용자에 대해 SDP 라이선스가 필요하며, 클라이언트에 대한 1회 초기 인증이 필요합니다.

사용자 인식 솔루션을 위한 Cato의 아이덴티티 에이전트 구현 개요

다음은 계정에서 사용자 인식을 위해 Identity Agent를 구현하는 프로세스에 대한 상위 레벨의 개요입니다:

Access > Directory Services 화면에서 사용자 계정을 프로비저닝합니다.
사용자 및 사용자 그룹의 프로비저닝이 완료되면, 이를 포함하는 규칙 및 정책을 만듭니다.
1. 관련 사용자의 기기에 클라이언트를 설치합니다. 사용자가 기기에 로그인하면, 클라이언트는 Cato Cloud에 30초마다 정체성을 보고하기 시작합니다.
macOS 및 Linux 클라이언트의 경우, 사용자 및 사용자 그룹에 SDP 라이센스를 할당합니다. SDP 라이센스를 할당하는 방법에 대한 자세한 내용은 Assigning SDP Licenses to Users를 참조하십시오

사용자 신원에 기반한 정책 강화

사용자 또는 사용자 그룹을 정책에 추가할 수 있습니다. Cato가 사용자의 정체성을 확인한 후, 사용자를 위해 구성된 어떤 정책이든 사이트 뒤와 원격에서 모두 시행됩니다.

참고

참고: 아이덴티티 에이전트를 사용할 때, 사이트 뒤의 사용자는 목적지로 설정되어 있을 경우 WAN 규칙에서 일치하지 않습니다.

사용자 인식을 위한 Identity Agent 활성화

계정을 활성화하여 Cato의 Identity Agent로 프로비저닝된 사용자를 식별합니다.

아이덴티티 에이전트를 활성화하려면:

네비게이션 메뉴에서 Access > User Awareness를 선택합니다.
Identity Agent 섹션을 선택합니다.
계정에 대한 아이덴티티 에이전트를 활성화합니다.

토글이 활성화되면 녹색입니다.
저장을 클릭합니다.

SDP 라이센스 할당

다음과 같은 시나리오에서 Identity Agent로 사용자를 식별하기 위해서는 SDP 라이센스가 필요합니다:

macOS 또는 Linux 장치에서
Azure가 아닌 다른 IdP에서 프로비저닝된 사용자
수동으로 생성된 사용자

SDP 라이센스를 할당하는 방법에 대한 자세한 내용은 Assigning SDP Licenses to Users를 참조하십시오.

알려진 제한 사항

macOS를 사용하는 장치의 경우:
- macOS Ventura(버전 13)에서, 클라이언트가 새로운 버전으로 업그레이드된 후에 한 번 디바이스를 재부팅해야 합니다.
- 클라이언트에서 SDP 사용자를 삭제하면 그들의 정체성이 보고되지 않습니다.
Azure AD SCIM으로 사용자을 프로비저닝하는 계정의 경우:
- Windows 클라이언트 v5.4에서 v5.8까지, 사용자가 온프레미스 AD로 인증할 경우, SDP 라이선스를 가진 사용자만 ID 에이전트에 의해 식별됩니다. (LDAP로 사용자를 프로비저닝하는 계정(온프레미스 AD 또는 Entra에서)은 SDP 라이선스를 필요로 하지 않습니다)
Windows Client v5.5 및 이전 버전에서는 Windows 장치에서 로그아웃하지 않는 사용자 간에 전환할 때 Identity Agent가 활성 사용자를 식별할 수 없습니다.
- 사용자가 Windows에 로그인하고 다른 사용자가 장치에 로그인할 때 (시작 메뉴 > 사용자 전환), 두 사용자가 현재 장치에 로그인되어 있습니다. 에이전트는 이 장치에 대해 하나의 사용자만 식별합니다
- 사용자가 Windows 장치에서 로그아웃하고 두 번째 사용자가 로그인하면, 에이전트는 이 장치에 대해 두 번째 사용자를 식별합니다
- 터미널 서버는 지원되지 않습니다
사용자가 Client에 인증되면, Identity가 즉시 획득되며, Client의 Identity Agent 보고서 타임스탬프는 관련이 없습니다.
Azure AD가 아닌 IdP의 경우:
- 클라이언트에서 SDP 사용자를 삭제하면, 그들의 정체성은 보고되지 않습니다
사용자 인식은 비활성 사용자를 식별하지 않습니다