Autenticar Usuários Automaticamente com Credenciais do Windows

Este artigo explica como configurar o Cliente para que dependa das credenciais do Windows do usuário para autenticar.

Visão Geral

Para acesso remoto, implementar suas políticas de segurança exige que os usuários autentiquem com sucesso no Cliente. Garantir uma autenticação contínua aumenta sua segurança de rede e cria uma experiência de usuário simples. Para usuários que se autenticam com SSO, você pode configurar o Cliente para usar suas credenciais do Windows para autenticar. Isso permite que os usuários façam login uma vez no seu dispositivo, sem precisar inserir novamente as credenciais ao conectar-se ao Cliente. A autenticação pode ocorrer automaticamente ou ser iniciada pelo usuário. Nesse Processo, um Token de Atualização Principal (PRT) é emitido, que o Cliente Cato obtém para Autenticar o Usuário. Após a sessão SSO expirar e o token PRT ser válido, o Cliente reautentica silenciosamente usando as credenciais do Windows, mantendo um fluxo contínuo de login e reautenticação.

Se você Configurar este Recurso junto com a Chave de Registro do Windows para iniciar Automaticamente o Cliente após a Instalação Inicial e Conectar na Inicialização, o Cliente sempre é iniciado, Autenticado e Conectado sem que o Usuário tome qualquer Ação.

Nota

Nota: As entradas de registro podem ser sensíveis a maiúsculas e minúsculas e devem ser inseridas exatamente como aparecem neste artigo.

Caso de Uso - Simplificando a Autenticação do Cliente

A empresa ABC quer uma experiência de usuário simples para que seus usuários possam se conectar ao Cato com o menor número de cliques possível. Para fazer isso, eles querem tornar o processo de autenticação do Cliente automático. Isso significa que, para se conectar ao Cato, os usuários só precisam abrir o Cliente e clicar em Conectar.

O administrador configura as configurações de SSO do Cato para usar automaticamente as credenciais do Windows do usuário para autenticar.

Toda vez que os usuários fazem login no dispositivo, mesmo se o token SSO tiver expirado, o Cliente pode se conectar à rede sem exigir autenticação adicional do usuário.

Caso de Uso - Autenticação e Conexão do Cliente Sem Interrupções

A empresa ABC quer garantir que seus usuários estejam conectados ao Cliente o mais frequentemente possível. Para fazer isso, eles querem tornar o processo de conexão do Cliente automático para que novos e existentes usuários não precisem se lembrar de clicar manualmente no botão Conectar no Cliente.

O administrador configura estas configurações:

  • Para que o Cliente seja iniciado imediatamente para Novos Usuários na primeira vez que eles iniciam o dispositivo, eles definem uma Chave de Registro do Windows no Dispositivo.
  • Para que o Cliente se Conecte todas as vezes que o Dispositivo Inicia, eles ativam Conectar na Inicialização.
  • Para remover a exigência de Autenticação manual do Usuário, eles ativam a Autenticação Automática do Cliente para usar as credenciais do Windows do Usuário para Autenticar.

Toda vez que os usuários fazem login no dispositivo, o Cliente é iniciado, autentica e conecta sem qualquer ação do usuário.

Nota

Nota: Se o Azure não puder fornecer o token de autenticação para o usuário, o usuário final seguirá o fluxo de autenticação padrão, inserindo as credenciais do Azure no Cliente.

Pré-requisitos

  • A autenticação com credenciais do Windows é suportada:

    • No Cliente Windows v5.8 ou superior.
    • Nos Dispositivos rodando Windows 10 ou superior.
    • Nos Dispositivos associados ao Azure AD (associação ao Hybrid AD é suportada a partir do Cliente v5.11 e superior).
    • Com o Azure Configurado como Provedor de SSO para sua Conta e Usuários permitidos a iniciar sessão com SSO.
    • O mapeamento de OID e SID está configurado (para mais informações veja a documentação da Microsoft).
    • O Cliente pode buscar o Token PRT. Se o Token PRT não puder ser buscado, o Usuário pode precisar Autenticar ou reautenticar manualmente no Windows. Para solucionar problemas de Token PRT, veja a Microsoft Documentation.

Limitações Conhecidas

  • Azure AD que requer interação do Usuário (como MFA), é suportado a partir do Cliente v5.11 (não é suportado em Clientes abaixo da versão v5.11).
  • A Chave de Registro InitialAlwaysOn não é suportada para este Recurso.

Configurando Autenticação com Credenciais do Windows

Este recurso está ativado na sua configuração de SSO do Azure. Depois de ativá-lo, você pode escolher a experiência do usuário.

Windows_Auth.png

Para Autenticar com Credenciais do Windows:

  1. No Menu de Navegação, clique em Acesso > Single Sign-On.
  2. Na seção Usuários do Cliente SDP, selecione Entrar com Credenciais do Windows.

  3. No menu suspenso, configure a experiência do usuário:

    • Automaticamente: O Cliente usa Automaticamente as credenciais do Windows para Autenticar.
    • Seleção do Usuário: O Usuário tem que confirmar a Autenticação com suas Credenciais do Windows, porém não precisa reintroduzi-las ou pode escolher Autenticar como um Usuário diferente.

  4. Clique em Salvar.

    Os usuários agora se autenticam no Cato com suas credenciais do Windows. Novos usuários se autenticam automaticamente com suas credenciais do Windows. Os usuários configurados se autenticam automaticamente na próxima vez que a sessão SSO expirar.

Nota

Nota: Se vários usuários estiverem configurados em um dispositivo, apenas o usuário configurado no Cliente pode autenticar com suas credenciais do Windows.

Configurando uma Experiência de Usuário Sem Interrupções

Você pode configurar a autenticação com Credenciais do Windows com outros recursos para criar uma experiência de usuário contínua. Isso significa que o Cliente inicia, autentica e conecta sem qualquer ação do usuário.

Após configurar as chaves do registro do Windows, reinicie o dispositivo.

Definir Subdomínio para Autenticação Contínua

Defina o nome da sua conta Cato como aparece no CMA usando a chave de registro do Windows SubdomainForSeamlessAuth. Você pode identificar o subdomínio para sua conta na página Acesso > Single Sign-On. Após o Cliente realizar com sucesso a autenticação inicial na Cato Cloud, o registro é atualizado automaticamente

Para definir o Nome da Conta Cato:

  1. Vá para esta Localização no Registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Defina esta chave:

    • SubdomainForSeamlessAuth = <your account name> (String)

Iniciando o Cliente Automaticamente

Defina a Chave de Registro do Windows LaunchAuthPageOnStartup para iniciar automaticamente o Cliente após a instalação inicial. Este recurso é para novos usuários na primeira vez que fazem login em seus dispositivos.

Para Configurar o Registro do Windows para iniciar Automaticamente o Cliente:

  1. Vá para esta Localização no Registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Defina esta chave:

    • LaunchAuthPageOnStartup=1 (DWORD)

Usando Conectar na Inicialização para a Conta Inteira

Você pode escolher Ativar Conectar na Inicialização no Aplicativo de Gerenciamento Cato para a Conta inteira, de modo que os Clientes sempre se Conectem toda vez que o Dispositivo Inicia. Este recurso é configurado para os usuários forçarem a conexão do Cliente sem qualquer ação do usuário.

Personalizando Conectar na Inicialização para Usuários Específicos

Para contas que desejam habilitar Conectar na Inicialização apenas para usuários específicos, você pode definir a chave de registro ConnectOnBoot nos dispositivos para os usuários requisitados.

Para Configurar o Registro do Windows para Conectar o Cliente quando o Dispositivo Iniciar:

  1. Vá para esta Localização no Registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Defina esta chave:

    • ConnectOnBoot=1 (DWORD)

Configurações Adicionais

Se houver necessidade de o usuário completar etapas adicionais de autenticação, por exemplo, MFA, a chave de registro SeamlessAuthAllowUI é necessária para permitir que os usuários se autentiquem manualmente.

Para Configurar a Chave de Registro adicional:

  1. Vá para a Localização no Registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Defina esta chave:

    • SeamlessAuthAllowUI=1 (DWORD)

Usando Sempre Solicitar Validade do Token e Autenticação com Credenciais do Windows

Se a Configuração de Validade do Token do seu SSO estiver definida para Sempre Solicitar e você permitir Autenticação com Credenciais do Windows, o Cliente se Autentica silenciosamente com as Credenciais do Windows dos Usuários sem qualquer prompt.

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 3

0 comentário