Configurando a Política de Autenticação para Clientes Cato

Este artigo discute como configurar o comportamento de autenticação e os requisitos de Autenticação Multifatorial (MFA) para usuários SDP em sua conta.

Visão geral da Política de Autenticação do Cliente SDP

A política de autenticação define como os usuários se autenticam na sua conta: MFA, Single Sign-On (SSO), ou nome de usuário e senha. Além disso, você pode escolher a experiência de autenticação do usuário final usando o navegador no Client ou o navegador padrão externo do sistema operacional.

Configurando a Autenticação no Navegador para a Conta (Windows e macOS)

Para dispositivos Windows e macOS, você pode configurar se os usuários autenticam usando o navegador incorporado ou um navegador externo. A configuração padrão é usar o navegador incorporado, que oferece a melhor experiência para o usuário final. A autenticação MFA e SSO é realizada dentro do Client e então conecta o dispositivo ao Cato Cloud de forma transparente.

Às vezes, a configuração de rede de uma conta não suporta o navegador incorporado. Nestes casos, você pode configurar sua conta para usar o navegador padrão externo do sistema operacional para o dispositivo. O usuário final inicia a conexão no Client e então os usuários se autenticam no Cato Cloud com o navegador do sistema operacional.

Para configurar a autenticação do navegador do Client para a conta:

  1. No menu de navegação, clique em Acesso > Autenticação de Usuário.

  2. Clique na aba Configurações Adicionais.

  3. Em Autenticação do Navegador, selecione uma das opções:

    • Navegador Incorporado - Usuários SDP se autenticam na sua conta dentro do Client

    • Navegador Externo - Usuários SDP se autenticam na sua conta com o navegador do sistema operacional

  4. Clique em Salvar.

Práticas recomendadas para Autenticação no Navegador

A seguir estão as práticas recomendadas ao escolher seu método de Autenticação no Navegador:

  • O Navegador Incorporado é recomendado, exceto quando o acesso condicional requer um plugin de navegador que só é suportado por um navegador externo.

  • Use o Navegador Incorporado quando a Proteção de Endpoint Ativada para garantir a funcionalidade adequada. Nem todos os domínios e IPs necessários para a autenticação SSO são permitidos quando se usa um navegador externo.

  • O navegador incorporado deve ser usado em um ambiente ADFS, ou o SSO não pode ser utilizado para autenticação.

  • O navegador incorporado previne um problema com a autenticação SSO com o navegador externo e a aplicação de HSTS. Para mais informações, veja SSO Authentication Fails When Using External Browser | localhost Error.

  • Use o navegador externo para autenticação ao usar o aplicativo Okta Verify no macOS ou Windows.

Configurando a Política de Autenticação para Todos os Usuários

Use a tela de Autenticação de Usuário para definir a política de autenticação para usuários em sua conta que se conectam com o Cliente Cato. Para contas que habilitam SSO, esta é a política de autenticação padrão.

Estas são as opções de autenticação:

  • SSO - Usuários se autenticam com SSO usando o Provedor de Identidade (IdP) configurado para sua conta

  • MFA - Usuários devem se autenticar usando um código que recebem via SMS ou aplicativo autenticador (de acordo com RFC-6238 para MFA)

  • Nome de Usuário e Senha - Usuários se autenticam com o nome de usuário e senha para o Client (sem requisitos de MFA)

Você também pode optar por substituir a política de MFA para usuários individuais, veja abaixo Substituindo Configurações de Autenticação para Usuários Específicos.

Se você está usando Serviços de Diretório e precisa modificar o número de telefone celular de um usuário para autenticação avançada, você deve modificar o número de telefone apenas no IdP.

Nota

Nota: Autenticação Multifatorial (MFA) e Single Sign-On (SSO) NÃO são suportados para usuários que são provisionados com um código de registro.

Trabalhando com Configurações de Validade de Token

A opção Validade do Token > Duração depende de se o dispositivo que executa o cliente Cato é "confiável" da seguinte forma:

  • Se o usuário ativou a confiança para o dispositivo que executa o Cliente Cato (selecionando a opção Não me pergunte novamente neste dispositivo/computador no cliente ao se conectar ao Cato Cloud), então o MFA não é necessário se a duração ainda é válida e a geolocalização não mudou para um país diferente

  • Se o usuário não ativou a confiança para o dispositivo que executa o cliente Cato (desmarcando a opção Não me pergunte novamente neste dispositivo/computador no cliente ao se conectar ao Cato Cloud), a configuração de duração não tem efeito e o MFA é sempre necessário neste dispositivo

Nota

Nota: A partir do Windows Client v5.12, o navegador incorporado do Client é capaz de atualizar o token IdP. Os usuários não são solicitados a se autenticarem novamente quando o token IdP expira.

ClientAccess_Authentication.png

Para configurar a política de MFA para usuários remotos:

  1. No menu de navegação, clique em Acesso > Autenticação de Usuário.

  2. Na lista suspensa Método, selecione MFA.

  3. Configure o Geral, selecione o Método de Autenticação para a política:

    • Qualquer - Cada usuário seleciona o método de autenticação para si mesmo

    • Autenticador - Usuários devem usar um aplicativo de autenticação (como o Google Authenticator)

    • SMS - Usuários recebem um SMS com um código de autenticação

  4. Na seção Validade do Token, selecione o comportamento para o token MFA no Client:

    • Sempre Solicitar - MFA é necessário sempre que o usuário se conecta.

      Usuários que estão conectados devem se autenticar novamente quando a duração que você definir em Dias ou Horas (desde que se conectaram pela última vez) for alcançada.

    • Duração - Usuários não requerem MFA durante a duração que você define em Dias ou Horas.

  5. Clique em Salvar.

Substituindo Configurações de Autenticação para Usuários Específicos

Você pode personalizar diferentes configurações de autenticação para usuários específicos e substituir a política de autenticação global. Edite um usuário e então use a tela de Autenticação para personalizar o método de autenticação para esse usuário.

Para substituir as configurações de autenticação global para um usuário específico:

  1. No menu de navegação, clique em Acesso > Usuários.

  2. Selecione o usuário, e no menu de navegação selecione Configurações do Usuário > Autenticação.

  3. Selecione Substituir configurações de autenticação da conta.

    Override_Authentication_Settings.png

  4. Selecione o Método de autenticação para o usuário.

  5. Configure as configurações de autenticação para este usuário.

  6. Clique em Salvar.

Redefinindo MFA para um Usuário

Você pode redefinir a configuração de MFA para usuários quando necessário, como ao instalar o Client em um novo dispositivo.

Para redefinir as configurações de MFA para um usuário:

  1. No menu de navegação, clique em Acesso > Usuários.

  2. Na lista de Usuário, marque o checkbox ao lado do nome do usuário.

  3. No menu suspenso Ações, selecione Redefinir MFA.

  4. Na janela de confirmação, clique em OK.

  5. O usuário recebe um e-mail com um link para o Portal de Usuário Cato. Após fazer login no portal, o usuário precisará ativar as configurações de MFA para o dispositivo.

Recursos Relacionados

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 5

0 comentário