Аутентификация SSO для пользователей с Cato

Эта статья объясняет, как Клиент Cato позволяет пользователям аутентифицироваться с помощью Единого Входа (SSO) и подключаться к сети.

Обзор

Настройка SSO для вашей учетной записи упрощает аутентификацию и улучшает качество работы пользователя. С помощью SSO три компонента работают вместе для проверки идентификации пользователя, чтобы они могли подключиться к сети. Во-первых, пользователь идентифицирует себя с помощью своих учетных данных SSO. Во-вторых, ваша IdP выступает в качестве системы аутентификации для проверки учетных данных пользователя. В-третьих, Cato интегрируется с вашим IdP, чтобы пользователь мог войти в Клиент и подключиться к сети.

Процесс аутентификации SSO зависит от генерации и проверки уникальных токенов, которые обмениваются ваш IdP и Cato.

Примечание

Примечание: Поддержка Cato OIDC доступны только для SSO. Аутентификация на основе SAML в данный момент не поддерживается.

Понимание SSO токенов, используемых для SSO аутентификации

Для аутентификации SSO Клиент полагается на два зашифрованных SSO токена для проверки того, что пользователь аутентифицирован и может подключиться к сети.

  • Токен IdP: Это создается вашим IdP после аутентификации пользователя с его данными SSO.

  • Токен Cato: Этот токен создается PoP после получения успешного ответа на проверку от IdP. Этот токен используется Cato для проверки того, что пользователь был аутентифицирован, чтобы Клиент мог поддерживать соединение с облаком Cato. Токен Cato хранится на устройстве, и длительность его действия устанавливается в приложении управления Cato.

    После истечения срока действия токена Cato PoP проверяет, действителен ли токен IdP. Если Клиент получает успешный ответ на проверку от IdP, PoP создает новый токен Cato, и Клиент остается подключенным к облаку Cato. Если и токен Cato, и токен IdP истекли, Клиент отключается от облака Cato. Клиент повторно подключается только при получении нового токена IdP после повторной аутентификации пользователя.

Вы можете настроить, как токен Cato истекает:

  • Длительность: Вы выбираете период времени, в течение которого токен Cato является действительным. В течение этого времени токен остается действительным, если пользователь отключает Клиент.

  • Всегда запрашивать: Токен Cato истекает после отключения Клиента пользователем. Вы можете выбрать период времени, в течение которого токен Cato остается действительным, если пользователь не отключается.

Таблица ниже объясняет статус соединения Клиента при истечении срока действия каждого токена:

Статус токена IdP

Статус токена Cato

Статус соединения

Действителен

Действителен

Клиент подключен

Истекло

Поддержка

Клиент подключен, пока не истечет срок действия токена Cato

Действителен

Истекло

  1. Клиент проверяет у IdP, действителен ли токен IdP. Если срок действия токена установлен:

    • Длительность: эта проверка проводится автоматически

    • Всегда запрашивать: эта проверка инициируется пользователем

  2. IdP отправляет успешный ответ на проверку

  3. Клиент отправляет успешный ответ на проверку в PoP

  4. PoP генерирует новый токен Cato и отправляет его Клиенту

  5. Клиент остается подключенным

Истекло

Истекло

  1. Клиент проверяет у IdP, действителен ли токен IdP. В зависимости от вашей конфигурации SSO, эта проверка может быть выполнена автоматически или инициирована пользователем

  2. IdP отправляет ответ о неудачной проверке

  3. Клиент отключается

Примеры SSO-процессов для начальной аутентификации

Этот раздел содержит примеры пользователей, использующих SSO для аутентификации в Клиенте и подключения к сети.

Начальная аутентификация

Этот процесс объясняет, что происходит, когда пользователь аутентифицируется в Клиенте в первый раз.

  1. В Клиенте пользователь нажимает Добавить пользователя.

    1. PoP генерирует экран для ввода адреса электронной почты пользователя

    2. PoP связывает адрес электронной почты с учетной записью Cato. Клиент отображает параметры аутентификации, настроенные для учетной записи.

  2. Пользователь нажимает на опцию SSO, и Клиент отображает браузер (либо в Клиенте, либо внешний браузер), чтобы пользователь мог ввести логин IdP и учетные данные MFA.

    • IdP проверяет учетные данные пользователя

  3. Если учетные данные действительны, IdP отправляет успех с токеном IdP на PoP.

  4. PoP подтверждает действительность токена непосредственно с IdP.

  5. Если токен действителен, PoP генерирует токен Cato и отправляет его в Клиент.

    1. Клиент хранит токен Cato на устройстве

    2. Пользователь аутентифицирован, и Клиент подключается к сети

Аутентификация с включённым режимом "Всегда включено"

Этот поток процесса объясняет, что происходит, когда пользователь с включённым режимом "Всегда включено" аутентифицируется в Клиенте.

Этот процесс происходит после начальной аутентификации, описанной выше.

  1. Устройство включается и загружается.

  2. Клиент проверяет, действителен ли токен Cato на устройстве. Эта проверка может быть автоматической или инициированной пользователем в зависимости от конфигурации сроков действия токена.

    1. Если токен Cato действителен, Клиент подключается

    2. Если срок действия токена Cato истек, Клиент проверяет, действителен ли токен IdP

      1. Если токен IdP действителен, Клиент отправляет успешную реакцию подтверждения на PoP. PoP создает новый токен Cato, и Клиент подключается

      2. Если срок действия токена IdP истек, Клиент не подключается. Клиент отображает параметры аутентификации, настроенные для учетной записи. Клиент подключается только после того, как пользователь повторно аутентифицировался.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 7

0 комментариев