Configurando a Política de Autenticação para Clientes Cato

Este artigo discute como configurar o comportamento de autenticação e os requisitos de Autenticação Multifator (MFA) para os Usuários SDP em sua conta.

Visão Geral da Política de Autenticação do Cliente SDP

A Política de Autenticação define como os usuários se autenticam em sua conta: MFA, Single Sign-On (SSO) ou nome de usuário e senha. Além disso, você pode escolher a experiência de autenticação do usuário final usando o navegador incorporado no Cliente ou o navegador padrão do SO externo.

Definindo a Autenticação do Navegador para a Conta (Windows e macOS)

Para dispositivos Windows e macOS, você pode configurar se os usuários se autenticam usando o navegador incorporado ou um navegador externo. A configuração padrão é usar o navegador incorporado que proporciona a melhor experiência para o usuário final. A autenticação MFA e SSO é concluída dentro do Cliente e depois conecta o dispositivo à Nuvem Cato de forma contínua.

Às vezes, a configuração de rede de uma conta não suporta o navegador incorporado. Nesses casos, você pode definir sua conta para usar o navegador padrão do SO externo para o dispositivo. O usuário final inicia a conexão no Cliente e, em seguida, os usuários se autenticam na Nuvem Cato com o navegador do SO.

Para definir a autenticação do navegador do Cliente para a conta:

  1. No menu de navegação, clique em Acesso > Autenticação de Usuário.

  2. Clique na aba Configurações Adicionais.

  3. Em Autenticação por Navegador Externo, selecione uma das seguintes opções:

    • Navegador Embutido - Usuários SDP se autenticam em sua conta dentro do Cliente

    • Navegador Externo - Usuários SDP se autenticam em sua conta com o navegador do SO

  4. Clique em Salvar.

Melhores Práticas para Autenticação por Navegador Externo

As seguintes são práticas recomendadas a seguir ao escolher seu método de Autenticação por Navegador Externo:

  • O Navegador Embutido é recomendado, exceto quando o acesso condicional requer um plugin de navegador que só é suportado por um navegador externo.

  • Use o Navegador Embutido quando o Sempre Ativo estiver ativado para garantir o funcionamento adequado. Nem todos os domínios e IPs necessários para a autenticação SSO são permitidos ao usar um navegador externo.

  • O navegador embutido deve ser usado em um ambiente ADFS, ou o SSO não pode ser usado para autenticação.

  • O navegador embutido evita um problema com a autenticação SSO com o navegador externo e a aplicação de HSTS. Para mais informações, veja Falha na Autenticação SSO ao Usar o Navegador Externo | Erro de localhost.

  • Use o navegador externo para autenticação ao usar o aplicativo Okta Verify no macOS ou Windows.

Configurando a Autenticação para Todos os Usuários

Use a tela de Autenticação de Usuário para definir a política de autenticação para usuários em sua conta que se conectam com o Cliente Cato. Para contas que ativam o SSO, esta é a política de autenticação padrão.

Estas são as opções de autenticação:

  • SSO - Usuários se autenticam com SSO usando o Provedor de Identidade (IdP) configurado para sua conta

  • MFA - Usuários devem se autenticar usando um código que recebem por SMS ou um aplicativo de autenticação (de acordo com RFC-6238 para MFA)

  • Nome de Usuário e Senha - Usuários se autenticam com o nome de usuário e senha para o Cliente (sem requisitos de MFA)

Você também pode optar por sobrepor a política de MFA para usuários individuais, veja abaixo Sobrepor Configurações de Autenticação para Usuários Específicos.

Se você estiver usando Serviços de Diretório e precisar modificar o número de telefone celular de um usuário para autenticação avançada, deverá modificar o número de telefone apenas no IdP.

Nota

Nota: Autenticação Multifator (MFA) e Single Sign-On (SSO) NÃO são suportados para usuários provisionados com um código de registro.

Trabalhando com as Configurações de Validade do Token

A opção Validade do Token > Duração depende de se o dispositivo que executa o Cliente Cato é "confiável" da seguinte forma:

  • Se o usuário ativou a confiança para o dispositivo que executa o Cliente Cato (selecionando a opção Não me pergunte novamente neste dispositivo/computador no Cliente ao conectar-se à Nuvem Cato), então o MFA não é necessário se a duração ainda for válida e a geolocalização não tiver mudado para outro país

  • Se o usuário não ativou a confiança para o dispositivo que executa o Cliente Cato (desmarcando a opção Não me pergunte novamente neste dispositivo/computador no cliente ao conectar-se à Nuvem Cato), a configuração de duração não tem efeito e o MFA é sempre exigido neste dispositivo

Nota

Nota: De Cliente Windows v5.12, o navegador embutido do Cliente é capaz de atualizar o Token do IdP. Os usuários não são solicitados a se reautenticarem quando o token do IdP expira.

ClientAccess_Authentication.png

Para configurar a política de MFA para usuários remotos:

  1. No menu de navegação, clique em Acesso > Autenticação de Usuário.

  2. Na lista suspensa Método, selecione MFA.

  3. Configure o Geral selecionando o Método de Autenticação para a política:

    • Qualquer - Cada usuário seleciona o método de autenticação para si mesmo

    • Aplicativo de Autenticação - Usuários devem usar um aplicativo de autenticação (como Google Authenticator)

    • SMS - Usuários recebem uma mensagem de texto SMS com um código de autenticação

  4. Na seção Validade do Token, selecione o comportamento para o token MFA no Cliente:

    • Sempre Solicitar - MFA é obrigatório sempre que o usuário se conectar.

      Usuários que estão conectados devem se reautenticar quando a duração que você define em Dias ou Horas (desde que se conectaram pela última vez) for atingida.

    • Duração - Os usuários não necessitam de MFA pela duração que você define em Dias ou Horas.

  5. Clique em Salvar.

Substituindo Configurações de Autenticação para Usuários Específicos

Você pode personalizar diferentes configurações de autenticação para usuários específicos e substituir a política de autenticação global. Edite um usuário e, em seguida, use a tela Autenticação para personalizar o método de autenticação para esse usuário.

Para substituir as configurações globais de autenticação de um usuário específico:

  1. No menu de navegação, clique em Acesso > Usuários.

  2. Selecione o usuário, e no menu de navegação selecione Configurações do Usuário > Autenticação.

  3. Selecione Substituir configurações de Autenticação da conta.

    Override_Autenticação_Configurações.png

  4. Selecione o Método de autenticação para o usuário.

  5. Configure as configurações de autenticação para este usuário.

  6. Clique em Salvar.

Redefinindo MFA para um Usuário

Você pode redefinir a configuração de MFA para usuários quando necessário, como ao instalar o Cliente em um novo dispositivo.

Para redefinir as configurações de MFA para um usuário:

  1. No menu de navegação, clique em Acesso > Usuários.

  2. Na Lista de Usuários, selecione a caixa de seleção ao lado do nome do usuário.

  3. No menu suspenso Ações, selecione Redefinir MFA.

  4. Na janela de confirmação, clique em OK.

  5. O usuário recebe um e-mail com um link para o Portal do Usuário da Cato. Após iniciar sessão no portal, o usuário precisará ativar as configurações de MFA para o dispositivo.

Recursos Relacionados

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 5

0 comentário