Este artigo explica como o Cliente Cato permite que os usuários autentiquem com Single Sign On (SSO) e conectem à rede.
Configurar o SSO para sua conta simplifica a autenticação e melhora a experiência do usuário. Com o SSO, três componentes trabalham juntos para verificar a identidade do usuário para que ele possa conectar à rede. Primeiro, o usuário se identifica com suas credenciais SSO. Em segundo lugar, seu IdP atua como o sistema de autenticação para validar as credenciais do usuário. Em terceiro lugar, Cato integra-se com seu IdP para permitir que o usuário faça login no Cliente e conecte-se à rede.
O processo de autenticação SSO depende de gerar e validar tokens únicos que são compartilhados entre seu IdP e Cato.
Nota
Nota: Cato suporte OIDC por SSO apenas. Autenticação baseada em SAML atualmente não suportado.
Para autenticação SSO, o Cliente depende de dois tokens SSO criptografados para validar se o usuário está autenticado e permitido conectar à rede.
-
Token IdP: Este é gerado pelo seu IdP após um usuário autenticar com suas credenciais SSO.
-
Token Cato: Este token é gerado pelo PoP após o Cliente receber uma resposta de validação bem-sucedida do IdP. Este token é usado por Cato para verificar se o usuário foi autenticado, para que o Cliente possa manter uma conexão com a Nuvem Cato. O token Cato é armazenado em um dispositivo e a duração de validade é definida no Aplicativo de Gerenciamento Cato.
Após a expiração do token Cato, o PoP verifica se o token IdP é válido. Se o Cliente receber uma resposta de validação bem-sucedida do IdP, o PoP gera um novo token Cato, e o Cliente permanece conectado à Nuvem Cato. Se tanto o token Cato quanto o token IdP expirarem, o Cliente se desconecta da Nuvem Cato. O Cliente só se reconecta quando recebe um novo token IdP após o usuário se re-autenticar.
Você pode configurar como o Token Cato expira:
-
Duração: Você seleciona o período de tempo em que o Token de Cato é válido. Durante este período de tempo, o token permanece válido se um usuário desconectar o Cliente.
-
Sempre Solicitar: O Token Cato expira após o usuário desconectar o Cliente. Você pode selecionar o período de tempo em que o Token Cato é válido se o usuário não se desconectar.
A tabela abaixo explica o status de conexão do Cliente quando cada token expira:
Status do Token IdP |
Status do Token Cato |
Status da Conexão |
---|---|---|
Válido |
Válido |
Cliente está conectado |
Expirado |
Válido |
Cliente está conectado até que o token Cato expire |
Válido |
Expirado |
|
Expirado |
Expirado |
|
Esta seção fornece exemplos de usuários usando SSO para autenticar no Cliente e conectar-se à rede.
Este fluxo de processo explica o que acontece quando um usuário está autenticando no Cliente pela primeira vez.
-
No Cliente, o usuário clica em Adicionar Usuário.
-
O PoP gera uma tela para o usuário inserir seu endereço de e-mail
-
O PoP associa o endereço de e-mail a uma conta Cato. O Cliente exibe as opções de autenticação configuradas para a conta.
-
-
O usuário clica na opção SSO, e o Cliente exibe um navegador (dentro do Cliente ou um navegador externo) para que o usuário possa inserir o login do IdP e as credenciais MFA.
-
O IdP valida as credenciais do usuário
-
-
Se as credenciais forem válidas, o IdP envia uma resposta de sucesso com o token IdP ao PoP.
-
O PoP confirma a validade do token diretamente com o IdP.
-
Se o token for válido, o PoP gera o token Cato e o envia para o Cliente.
-
O Cliente armazena o token Cato no dispositivo
-
O usuário é autenticado, e o Cliente se conecta à rede
-
Este fluxo de processo explica o que acontece quando um usuário com Sempre Ativo ativado se autentica no Cliente.
Este processo ocorre após a autenticação inicial descrita acima.
-
O dispositivo é ligado e inicializado.
-
O Cliente verifica se o token Cato no dispositivo é válido. Esta verificação pode ser automática ou iniciada pelo usuário, dependendo da sua configuração de validade do Token.
-
Se o token Cato for válido, o Cliente se conecta
-
Se o token Cato tiver expirado, o Cliente verifica se o token IdP é válido
-
Se o token IdP for válido, o Cliente envia uma resposta de validação bem-sucedida para o PoP. O PoP cria um novo token Cato, e o Cliente se conecta
-
Se o token IdP tiver expirado, o Cliente não se conecta. O Cliente exibe as opções de autenticação configuradas para a conta. O Cliente só se conecta após o usuário ter se reautenticado.
-
-
0 comentário
Por favor, entre para comentar.