Comportamento de Sessão SSO para Cliente SDP Windows

Este artigo discute o comportamento da sessão de autenticação Single Sign-On (SSO) em relação ao token IdP e token Cato com o Cliente Windows.

Visão geral

Os usuários finais são autenticados no Cliente Cato com base no token de autenticação Cato. A duração deste token é configurada no Aplicativo de Gerenciamento Cato. A duração do token de autenticação IdP é baseada nas Configurações do IdP. O horário de início desses tokens não está sincronizado, então mesmo que eles estejam configurados para a mesma duração, geralmente expiram em horários diferentes. Quando ambos os tokens estão expirados, o usuário deve reautenticar no IdP. Para mais informações sobre a expiração da sessão do usuário SDP, consulte Understanding Expiring Session for SDP Users.

Este artigo explica o comportamento do Cliente quando o token Cato expirou, mas o token IdP ainda é válido. Este comportamento é diferente dependendo da Versão do Cliente.

Nota

Notas:

Para todas as Versões do Cliente, enquanto o token Cato for válido, o usuário está autenticado (mesmo que o token IdP tenha expirado).
Para Contas que definem a configuração Validade do Token para Sempre Solicitar em vez de Duração, o usuário SDP deve autenticar-se no IdP cada vez que se conecta com o Cliente. O token IdP é ignorado.

Para mais informações sobre sessões de autenticação SSO, consulte Configuring SSO and the Subdomain for the Account.

Comportamento de Expiração de Token do Cliente Windows v5.x

Esta seção descreve como o Cliente se reautentica automaticamente quando o token Cato expira e o token IdP ainda é válido para Cliente Windows v5.0 e superior.

10 minutos antes do token Cato expirar, o Cliente tenta reautenticar-se automaticamente com o IdP sem impacto ou mensagens para o usuário final. Quando o token IdP é válido, o Cliente se reautentica automaticamente e Cato gera um novo token SSO com base nas Configurações de duração do token para a Conta.

Você configura a duração de tempo que o token Cato é válido no Aplicativo de Gerenciamento Cato (Acesso > Single Sign-On). Para mais informações sobre a experiência do usuário e tokens que estão expirando, consulte Understanding Expiring Session for SDP Users.

Se ambos os tokens estiverem expirados, o usuário final autentica-se no IdP e então um novo token Cato é gerado.

Exemplo de Comportamento de Expiração de Token do Cliente Windows v5.x

Este é um exemplo de comportamento de sessão para Cliente Windows v5.0 e superior.

O usuário autentica-se no Cliente inserindo as credenciais do IdP (nome de usuário e senha). O IdP gera um token SSO para o usuário.
Um token Cato é gerado com uma duração de 10 dias (com base nas Configurações de Single Sign-On no Aplicativo de Gerenciamento Cato).
10 dias depois - 10 minutos antes do token Cato expirar, o Cliente tenta reautenticar-se silenciosamente com o token IdP.
1. Se o token IdP for válido, o Cliente se reautentica automaticamente sem Impacto para o usuário (a sessão não é interrompida). O token Cato é válido por mais 10 dias.
2. Se o token IdP estiver expirado, o usuário é solicitado a autenticar-se no IdP, e então o token Cato é válido por mais 10 dias (a sessão não é interrompida).
  
  Se o usuário não se reautenticar no IdP, então a sessão expira após o término dos 10 minutos restantes.

Comportamento de Mensagem de Reautenticação SSO do Cliente para Cliente Windows v5.0 (e Superior)

Quando a sessão do usuário está prestes a expirar, o Cliente exibe uma mensagem para os usuários permitindo que eles se reautentiquem facilmente. O objetivo desta mensagem é proporcionar a melhor experiência para o usuário, então o comportamento da mensagem depende das Configurações dos tokens IdP e Cato.

A tabela abaixo explica a experiência de reautenticação para Usuários SDP baseada nas diferentes Configurações para a duração dos tokens Cato e IdP.

Duração do Token IdP	Duração do Token Cato	Comportamento da Mensagem do Cliente	Experiência do Usuário SDP
2 dias	7 dias	O token IdP está expirado. O Cliente exibe a mensagem 24 horas antes do token Cato expirar.	O Usuário SDP clica em Reconectar e se reautentica no IdP.
7 dias	2 dias	O token IdP ainda é válido. O Cliente mostra a mensagem 24 horas antes do Token Cato expirar.	O Usuário SDP clica em Reconectar e o Cliente se re-autentica automaticamente no IdP.
23 Horas	3 Dias	O Token IdP está expirado. O Cliente mostra a mensagem 24 horas antes do Token Cato expirar.	O Usuário SDP clica em Reconectar e se re-autentica no IdP.
23 Horas	36 Horas	O Token IdP ainda é válido. O Cliente mostra a mensagem 12 horas antes do Token Cato expirar.	O Usuário SDP clica em Reconectar e o Cliente se re-autentica automaticamente no IdP.
23 Horas	14 Horas	O Token IdP ainda é válido. O Cliente mostra a mensagem 2 horas antes do Token Cato expirar.	O Usuário SDP clica em Reconectar e o Cliente se re-autentica automaticamente no IdP.

Comportamento de Expiração de Token do Cliente Windows v4.7 (e Anteriores)

Esta seção descreve como o usuário final se re-autentica quando o Token Cato expira e o Token IdP ainda é válido para o Cliente Windows v4.7 e anteriores. O Cliente se desconecta automaticamente, e o usuário final clica em Conectar, então o Cliente se re-autentica automaticamente usando o Token IdP válido. Você configura a quantidade de tempo que o Token Cato é válido no Aplicativo de Gerenciamento Cato (Acesso > Single Sign-On).

Exemplo de Comportamento de Expiração de Token do Cliente Windows v4.7 (e Anteriores)

O usuário se autentica no Cliente inserindo as credenciais IdP (nome de usuário e senha). O IdP gera um Token SSO para o usuário.
Um Token Cato é gerado com uma duração de 10 Dias (baseado nas Configurações de Single Sign-On no Aplicativo de Gerenciamento Cato).
Após 10 Dias, o Token Cato expira e o Cliente se desconecta automaticamente.
1. Se o Token IdP for válido, no Cliente . O usuário clica em Conectar e é re-autenticado, o Token Cato é válido por mais 10 Dias.
2. Se o Token IdP estiver expirado, o usuário é solicitado a autenticar-se no IdP, e então o Token Cato é válido por mais 10 Dias (a sessão não é interrompida).