Cato 클라이언트를 위한 인증 정책 구성

이 글에서는 계정의 SDP 사용자를 위한 인증 행동과 다중요소인증(MFA) 요구 사항을 구성하는 방법에 대해 설명합니다.

SDP 클라이언트 인증 정책 개요

인증 정책은 사용자가 계정에 인증하는 방법을 정의합니다: MFA, Single Sign-On (SSO), 또는 사용자 이름과 비밀번호. 또한, 클라이언트 내 브라우저 또는 외부 기본 OS 브라우저를 사용하여 최종 사용자 인증 경험을 선택할 수 있습니다.

계정에 대한 브라우저 인증 설정(Windows 및 macOS)

Windows 및 macOS 기기에서 임베디드 브라우저나 외부 브라우저를 사용하여 사용자가 인증할지 구성할 수 있습니다. 기본 설정은 임베디드 브라우저를 사용하는 것이며 이는 최상의 최종 사용자 경험을 제공합니다. MFA와 SSO 인증은 클라이언트 안에서 완료되며, 그 후 기기가 Cato Cloud에 원활히 연결됩니다.

때때로 계정의 네트워크 설정이 임베디드 브라우저를 지원하지 않습니다. 이러한 경우 장치의 외부 기본 OS 브라우저를 사용하도록 계정을 설정할 수 있습니다. 최종 사용자가 클라이언트에서 연결을 시작하고, 이후 OS 브라우저로 Cato Cloud에 인증합니다.

계정의 클라이언트 브라우저 인증을 설정하려면:

  1. 탐색 메뉴에서 액세스 > 사용자 인증을 클릭합니다.

  2. 추가 설정 탭을 클릭합니다.

  3. 브라우저 인증에서 다음 옵션 중 하나를 선택합니다:

    • 임베디드 브라우저 - SDP 사용자는 클라이언트 내에서 계정에 인증합니다.

    • 외부 브라우저 - SDP 사용자는 OS 브라우저로 계정에 인증합니다.

  4. 저장을 클릭합니다.

브라우저 인증을 위한 모범 사례

브라우저 인증 방식을 선택할 때 따를 모범 사례는 다음과 같습니다:

  • 조건부 액세스가 외부 브라우저에서만 지원되는 브라우저 플러그인을 요구하는 경우를 제외하고 임베디드 브라우저를 권장합니다.

  • 항상 켜기를 활성화한 경우 올바른 기능을 보장하기 위해 임베디드 브라우저를 사용합니다. 외부 브라우저를 사용할 때 SSO 인증에 필요한 모든 도메인 및 IP가 허용되는 것은 아닙니다.

  • ADFS 환경에서 임베디드 브라우저를 사용해야 하며, 그렇지 않으면 SSO를 인증에 사용할 수 없습니다.

  • 임베디드 브라우저는 외부 브라우저와 HSTS 적용으로 인한 SSO 인증 문제를 방지합니다. 자세한 내용은 SSO 인증이 외부 브라우저를 사용할 때 실패합니다 | localhost 오류를 참조하세요.

  • macOS 또는 Windows에서 Okta Verify 앱을 사용할 때 인증을 위해 외부 브라우저를 사용하십시오.

모든 사용자를 위한 인증 정책 구성

사용자 인증 화면을 사용하여 Cato 클라이언트로 연결되는 계정의 사용자에 대한 인증 정책을 정의하십시오. SSO를 활성화한 계정의 경우 기본 인증 정책입니다.

인증 옵션은 다음과 같습니다:

  • SSO - 사용자는 계정에 구성된 IdP를 사용하여 SSO로 인증합니다.

  • MFA - 사용자는 SMS 또는 인증 앱에서 받은 코드로 인증해야 합니다 (MFA의 경우 RFC-6238에 따름)

  • 사용자 이름 및 비밀번호 - 사용자는 클라이언트에 대한 사용자 이름과 비밀번호로 인증합니다 (MFA 요구 사항 없음)

개별 사용자에 대해 MFA 정책을 무시하도록 선택할 수도 있습니다. 아래의 특정 사용자를 위한 인증 설정 무시를 참조하십시오.

디렉터리 서비스를 사용 중이고 고급 인증을 위해 사용자의 휴대전화 번호를 수정해야 하는 경우, IdP에서만 전화번호를 수정해야 합니다.

참고

참고: 다중요소인증(MFA)과 SSO는 등록 코드로 프로비저닝된 사용자에게 지원되지 않습니다.

토큰 유효성 설정 작업

토큰 유효성 > 기간 옵션은 Cato 클라이언트를 실행하는 장치가 "신뢰할 수 있음"인지 여부에 따라 달라집니다.

  • 사용자가 Cato Cloud에 연결할 때 클라이언트에서 이 장치/컴퓨터에서 다시 묻지 않음 옵션을 선택하여 장치를 신뢰하도록 설정한 경우, 기간이 여전히 유효하고 지리적 위치가 다른 국가로 변경되지 않는 한 MFA는 필요하지 않습니다.

  • 사용자가 Cato 클라이언트를 실행하는 장치에 대한 신뢰를 설정하지 않은 경우(사용자가 Cato Cloud에 연결할 때 클라이언트에서 이 장치/컴퓨터에서 다시 묻지 않음 옵션을 해제), 기간 설정은 효과가 없으며 이 장치에서는 항상 MFA가 필요합니다.

참고

참고: Windows 클라이언트 v5.12부터 클라이언트의 임베디드 브라우저에서 IdP 토큰을 갱신할 수 있습니다. 사용자는 IdP 토큰이 만료되었을 때 인증을 다시 요구받지 않습니다.

ClientAccess_Authentication.png

원격 사용자에 대한 MFA 정책을 구성하려면:

  1. 탐색 메뉴에서 액세스 > 사용자 인증을 클릭합니다.

  2. 방법 드롭다운 목록에서 MFA를 선택합니다.

  3. 일반을 구성하고 정책을 위한 인증 방법을 선택합니다.

    • 모든 - 각 사용자가 자신에게 맞는 인증 방법을 선택합니다.

    • 인증기관 - 사용자는 Google Authenticator와 같은 인증 앱을 사용해야 합니다.

    • SMS - 사용자는 SMS 문자 메시지로 인증 코드를 받습니다.

  4. 토큰 유효성 섹션에서 클라이언트의 MFA 토큰 동작을 선택합니다.

    • 항상 프롬프트 - 사용자가 연결할 때마다 MFA가 필요합니다.

      로그인한 사용자는 일/시간으로 정의한 기간(마지막 로그인 이후)이 도달하면 재인증해야 합니다.

    • 기간 - 일/시간으로 정의한 동안 사용자는 MFA가 필요하지 않습니다.

  5. 저장을 클릭합니다.

특정 사용자를 위한 인증 설정 무시

특정 사용자에 대한 인증 설정을 맞춤 설정하고 글로벌 인증 정책을 무시할 수 있습니다. 사용자를 편집한 후 인증 화면을 사용하여 해당 사용자의 인증 방법을 맞춤 설정합니다.

특정 사용자의 글로벌 인증 설정을 무시하려면:

  1. 탐색 메뉴에서 액세스 > 사용자를 클릭합니다.

  2. 사용자를 선택한 다음 탐색 메뉴에서 사용자 설정 > 인증을 선택합니다.

  3. 계정 인증 설정 무시를 선택합니다.

    Override_Authentication_Settings.png

  4. 사용자에 대한 인증 방법을 선택합니다.

  5. 이 사용자의 인증 설정을 구성합니다.

  6. 저장을 클릭합니다.

사용자의 MFA 재설정

필요한 경우 사용자의 MFA 설정을 재설정할 수 있으며, 예를 들어 새로운 장치에 클라이언트를 설치할 때 필요합니다.

사용자의 MFA 설정을 재설정하려면:

  1. 탐색 메뉴에서 액세스 > 사용자를 클릭합니다.

  2. 사용자 목록에서 사용자 이름 옆의 체크박스를 선택합니다.

  3. 작업 드롭다운 메뉴에서 MFA 재설정을 선택합니다.

  4. 확인 창에서 확인을 클릭합니다.

  5. 사용자는 Cato 사용자 포털로의 링크가 포함된 이메일을 받습니다. 포털에 로그인한 후 사용자는 장치에 대한 MFA 설정을 활성화해야 합니다.

관련 자료

도움이 되었습니까?

5명 중 3명이 도움이 되었다고 했습니다.

댓글 0개