문제

Cato 포털 애플리케이션에 대해 Azure 조건부 액세스를 구현하여 단일 로그인(SSO)을 제한할 때, Cato 클라이언트는 설정된 요구 사항을 충족하지 않는 조건부 액세스 정책으로 인해 "지금 이 내용을 액세스할 수 없습니다"라는 오류 메시지를 표시합니다．

환경

• Azure SSO가 CMA에서 인증 방법으로 구성됨．
• Azure 조건부 액세스를 적용하여 소스 IP 주소(위치) 또는 Cato 포털 애플리케이션을 제한．
• 내장 또는 외부 브라우저 둘 다．

문제 해결

다음 단계를 따르면 Azure 조건부 액세스와 관련된 SSO 문제를 해결할 수 있습니다：

1. SSO 인증을 위한 초기 인증용 SSO 프로세스 플로우를 이해하세요：
   • 초기 Cato 클라이언트 연결 동안, SSO 인증은 클라이언트와 IdP 사이에서 터널 외부에서 직접 발생합니다． Azure는 인증 요청에서 클라이언트의 ISP IP 주소를 보게 됩니다.
   • 사용자에게 항상 연결이 활성화되어 있거나 IdP 토큰이 만료된 후 SSO 재인증이 발생할 때에는, 클라이언트와 IdP 사이의 SSO 인증이 터널 내부에서 PoP를 통해 이루어집니다． Azure는 인증 요청에서 Cato PoP IP 주소를 보게 됩니다．
2. 실패 이벤트를 분석하기 위해 조건부 액세스에서 Azure 로그인 로그를 접근하세요． 로그는 각 인증 시도의 클라이언트 소스 IP 주소를 포함합니다． 조건부 액세스 탭에서 '세부 정보 표시' 옵션을 사용하여 실패에 대한 면밀한 통찰력을 얻으세요.
   
3. 조건부 액세스 정책 구성, Cato 포털 애플리케이션과 Cato PoP IP 범위를 포함하여 제외 항목으로 확인하세요． 정책이 적절하게 구성되었는지, SSO 인증이 성공적으로 이루어지도록 올바른 소스 IP 주소와 애플리케이션을 허용하는지 확인할 수 있습니다．
4. Microsoft Azure의 권한 제한으로 인해 조건부 액세스 정책이 Cato 포털 애플리케이션을 올바르게 감지하지 못할 수 있습니다． 그럴 경우, 아래에 표시된 대로 성공적인 인증 후 실패를 보게 됩니다．

해결책

조건부 액세스 정책에 위치(사용자의 소스 IP 주소)가 포함된 경우, 사용자에 대한 항상 연결 구성에 따라 IP 주소 또는 IP 범위를 정의합니다：

• 요청 시(Always-On 비활성화) 사용하는 사용자 는 인증 동안 클라이언트의 ISP IP 주소를 사용하고 터널이 활성 상태일 때 IdP 토큰이 만료되어 재인증 시 PoP의 IP 주소를 사용합니다．
• 항상 연결이 활성화된 사용자는 초기 인증(설치 후) 동안 클라이언트의 ISP IP 주소를 사용하고 후속 인증 요청 및 재인증 요청(IdP 토큰이 만료됨) 동안 PoP의 IP 주소를 사용합니다．．
• 항상 연결이 활성화된 사용자에 대해 초기 인증(설치 후)도 설명된 Windows 클라이언트 설치와 항상 연결의 설명에 따라 InitialAlwaysOn 레지스트리 키를 활성화하여 Cato 터널 사용을 강제할 수 있습니다．

조건부 액세스 정책에 Cato 포털 애플리케이션을 제외한 모든 차단 정책이 포함되어 있는 경우, CMA의 단일 사인온 페이지로 이동하여 Microsoft 자격 증명을 클릭하면 관리자 자격을 받아 다시 Azure와 동의할 수 있습니다．