Autenticação SSO para Usuários com Cato

Este artigo explica como o Cliente Cato permite que os usuários autentiquem com Single Sign On (SSO) e conectem à rede.

Visão geral

Configurar o SSO para sua conta simplifica a autenticação e melhora a experiência do usuário. Com o SSO, três componentes trabalham juntos para verificar a identidade do usuário para que ele possa conectar à rede. Primeiro, o usuário se identifica com suas credenciais SSO. Em segundo lugar, seu IdP atua como o sistema de autenticação para validar as credenciais do usuário. Em terceiro lugar, Cato integra-se com seu IdP para permitir que o usuário faça login no Cliente e conecte-se à rede.

O processo de autenticação SSO depende de gerar e validar tokens únicos que são compartilhados entre seu IdP e Cato.

Nota

Nota: Cato suporte OIDC por SSO apenas. Autenticação baseada em SAML atualmente não suportado.

Entendendo os Tokens SSO Usados para Autenticação SSO

Para autenticação SSO, o Cliente depende de dois tokens SSO criptografados para validar se o usuário está autenticado e permitido conectar à rede.

  • Token IdP: Este é gerado pelo seu IdP após um usuário autenticar com suas credenciais SSO.

  • Token Cato: Este token é gerado pelo PoP após o Cliente receber uma resposta de validação bem-sucedida do IdP. Este token é usado por Cato para verificar se o usuário foi autenticado, para que o Cliente possa manter uma conexão com a Nuvem Cato. O token Cato é armazenado em um dispositivo e a duração de validade é definida no Aplicativo de Gerenciamento Cato.

    Após a expiração do token Cato, o PoP verifica se o token IdP é válido. Se o Cliente receber uma resposta de validação bem-sucedida do IdP, o PoP gera um novo token Cato, e o Cliente permanece conectado à Nuvem Cato. Se tanto o token Cato quanto o token IdP expirarem, o Cliente se desconecta da Nuvem Cato. O Cliente só se reconecta quando recebe um novo token IdP após o usuário se re-autenticar.

Você pode configurar como o Token Cato expira:

  • Duração: Você seleciona o período de tempo em que o Token de Cato é válido. Durante este período de tempo, o token permanece válido se um usuário desconectar o Cliente.

  • Sempre Solicitar: O Token Cato expira após o usuário desconectar o Cliente. Você pode selecionar o período de tempo em que o Token Cato é válido se o usuário não se desconectar.

A tabela abaixo explica o status de conexão do Cliente quando cada token expira:

Status do Token IdP

Status do Token Cato

Status da Conexão

Válido

Válido

Cliente está conectado

Expirado

Válido

Cliente está conectado até que o token Cato expire

Válido

Expirado

  1. O Cliente verifica com o IdP se o token IdP é válido. Se sua validade do Token estiver configurada para:

    • Duração: esta verificação é feita automaticamente

    • Sempre Solicitar: esta verificação é iniciada pelo usuário

  2. IdP envia uma resposta de validação bem-sucedida

  3. O Cliente envia uma resposta de validação bem-sucedida para o PoP

  4. PoP gera um novo token Cato e o envia ao Cliente

  5. Cliente permanece conectado

Expirado

Expirado

  1. O Cliente verifica com o IdP se o token IdP é válido. Dependendo da sua configuração SSO, esta verificação pode ser feita automaticamente ou é iniciada pelo usuário

  2. IdP envia uma resposta de validação falhou

  3. Cliente se desconecta

Exemplos de Fluxos de Processos SSO para a Autenticação Inicial

Esta seção fornece exemplos de usuários usando SSO para autenticar no Cliente e conectar-se à rede.

Autenticação Inicial

Este fluxo de processo explica o que acontece quando um usuário está autenticando no Cliente pela primeira vez.

  1. No Cliente, o usuário clica em Adicionar Usuário.

    1. O PoP gera uma tela para o usuário inserir seu endereço de e-mail

    2. O PoP associa o endereço de e-mail a uma conta Cato. O Cliente exibe as opções de autenticação configuradas para a conta.

  2. O usuário clica na opção SSO, e o Cliente exibe um navegador (dentro do Cliente ou um navegador externo) para que o usuário possa inserir o login do IdP e as credenciais MFA.

    • O IdP valida as credenciais do usuário

  3. Se as credenciais forem válidas, o IdP envia uma resposta de sucesso com o token IdP ao PoP.

  4. O PoP confirma a validade do token diretamente com o IdP.

  5. Se o token for válido, o PoP gera o token Cato e o envia para o Cliente.

    1. O Cliente armazena o token Cato no dispositivo

    2. O usuário é autenticado, e o Cliente se conecta à rede

Autenticação com Sempre Ativo Ativado

Este fluxo de processo explica o que acontece quando um usuário com Sempre Ativo ativado se autentica no Cliente.

Este processo ocorre após a autenticação inicial descrita acima.

  1. O dispositivo é ligado e inicializado.

  2. O Cliente verifica se o token Cato no dispositivo é válido. Esta verificação pode ser automática ou iniciada pelo usuário, dependendo da sua configuração de validade do Token.

    1. Se o token Cato for válido, o Cliente se conecta

    2. Se o token Cato tiver expirado, o Cliente verifica se o token IdP é válido

      1. Se o token IdP for válido, o Cliente envia uma resposta de validação bem-sucedida para o PoP. O PoP cria um novo token Cato, e o Cliente se conecta

      2. Se o token IdP tiver expirado, o Cliente não se conecta. O Cliente exibe as opções de autenticação configuradas para a conta. O Cliente só se conecta após o usuário ter se reautenticado.

Esse artigo foi útil?

Usuários que acharam isso útil: 7 de 7

0 comentário