Problema

Ao implementar o Acesso Condicional do Azure para o aplicativo do Portal Cato para restringir o Single Sign-On (SSO), o Cliente Cato mostra a mensagem de erro "Você não pode acessar isso agora" devido à política de Acesso Condicional não atender aos requisitos configurados.

Ambiente

• SSO do Azure está configurado como o Método de Autenticação no CMA.
• O Acesso Condicional do Azure é aplicado para restringir endereços IP de origem (localização) ou o aplicativo do Portal Cato.
• Ambos navegadores incorporados ou externos.

Solução de problemas

Esses passos podem ser seguidos para solucionar problemas de SSO relacionados ao Acesso Condicional do Azure:

1. Compreenda os Fluxos de Processos de SSO para Autenticação Inicial para autenticação SSO:
   • Durante a conexão inicial do Cliente Cato, a autenticação SSO ocorre diretamente entre o Cliente e o IdP fora do túnel. Azure verá o endereço IP do ISP do Cliente na solicitação de autenticação.
   • Nos casos em que Sempre Ativo está ativado para o usuário ou quando a re-autenticação SSO ocorre após o token do IdP expirar, a autenticação SSO entre o Cliente e o IdP ocorre dentro do túnel via PoP. Azure verá o endereço IP do PoP da Cato na solicitação de autenticação.
2. Acesse os logs de entrada do Azure sob Acesso Condicional para analisar eventos de falha. Os logs incluirão o endereço IP de origem do cliente para cada tentativa de autenticação. Use a opção 'mostrar detalhes' sob a aba de Acesso Condicional para mais insights sobre a falha.
   
3. Verifique a configuração da Política de Acesso Condicional, incluindo o aplicativo do Portal Cato e o intervalo de IP do PoP da Cato como itens excluídos. Você pode querer verificar se a Política está configurada corretamente e se permite os endereços IP de origem corretos e o aplicativo para que a autenticação SSO seja bem-sucedida.
4. Pode ser possível que o aplicativo do Portal Cato não seja detectado corretamente pela política de Acesso Condicional devido a restrições de permissão com a Microsoft Azure. Se este for o caso, você verá uma autenticação bem-sucedida seguida por uma falha como mostrado abaixo.

Solução

Se a Política de Acesso Condicional incluir localização (endereço IP de origem do usuário), defina o endereço IP ou intervalo de IP com base na configuração Sempre Ativo do usuário:

• Usuários com Sempre Ativo desativado (sob demanda) usarão o endereço IP do ISP do cliente durante a autenticação e o endereço IP do PoP para re-autenticação (o token do IdP expira enquanto o túnel está ativo).
• Usuários com Sempre Ativo ativado usarão o endereço IP do ISP do cliente apenas durante a autenticação inicial (após a instalação do Cato) e o endereço IP do PoP para solicitações de autenticação subsequentes e solicitações de re-autenticação (o token do IdP expira enquanto o túnel está ativo).
• Para usuários com Sempre Ativo, a autenticação inicial (após a instalação do Cato) também pode ser forçada a usar o túnel Cato ativando a chave de registro InitialAlwaysOn conforme explicado em Instalar Clientes Windows e Sempre Ativo.

Se a Política de Acesso Condicional incluir uma política de bloqueio total excluindo o aplicativo do Portal Cato, vá para a página de Single Sign-On no CMA e clique em Credenciais da Microsoft, o que solicitará credenciais de administrador para realizar o consentimento com a Azure novamente.