Автоматическая аутентификация пользователей с помощью учетных данных Windows

Эта статья объясняет, как настроить Клиент так, чтобы он полагался на учетные данные Windows пользователя для аутентификации.

Обзор

Для удаленного доступа реализация вашей политики безопасности требует успешной аутентификации пользователей в Клиенте. Обеспечение бесшовной аутентификации повышает безопасность вашей сети и создает простой пользовательский опыт. Для пользователей, которые аутентифицируются через SSO, можно настроить Клиент для использования их учетных данных Windows для аутентификации. Это позволяет пользователям входить в систему один раз на их устройстве, без необходимости повторного ввода учетных данных при подключении к Клиенту. Аутентификация может происходить автоматически или быть инициирована пользователем. В этом процессе выдается Основной токен обновления (PRT), который Клиент Cato получает для аутентификации пользователя. После истечения сессии SSO и если токен PRT действителен, Клиент тихо переаутентифицируется с помощью учетных данных Windows, поддерживая бесшовный процесс входа и переаутентификации.

Если вы настроите эту функцию вместе с ключом реестра Windows для автоматического запуска Клиента после первоначальной установки и Подключаться при загрузке, то Клиент всегда запускается, аутентифицируется и подключается без какого-либо действия со стороны пользователя.

Примечание

Примечание: Записи реестра могут учитывать регистр и должны быть введены точно так, как они представлены в этой статье.

Сценарий использования - Упрощенная аутентификация клиента

Компания ABC хочет предоставить пользователям простой пользовательский опыт, чтобы они могли подключаться к Cato с минимальным количеством кликов. Для этого они хотят автоматизировать процесс аутентификации Клиента. Это означает, что для подключения к Cato пользователям нужно всего лишь открыть Клиент и нажать Подключиться.

Администратор настраивает параметры SSO Cato так, чтобы автоматически использовать учетные данные Windows пользователя для аутентификации.

Каждый раз, когда пользователи входят на свое устройство, даже если SSO-токен истек, Клиент может подключиться к сети без необходимости дополнительной аутентификации от пользователя.

Сценарий использования - Бесшовная аутентификация клиента и соединение

Компания ABC хочет быть уверенной, что их пользователи подключены к Клиенту как можно чаще. Для этого они хотят автоматизировать процесс подключения Клиента, чтобы новые и существующие пользователи не должны были помнить о необходимости вручную нажимать кнопку Подключиться в Клиенте.

Администратор настраивает эти Настройки:

  • Чтобы Клиент запускался сразу для новых пользователей при первом включении устройства, они определяют ключ реестра Windows на устройстве.
  • Чтобы Клиент подключался каждый раз при загрузке устройства, они включают Подключаться при загрузке.
  • Чтобы убрать необходимость ручной аутентификации пользователя, они включают Автоматическую аутентификацию Клиента для использования учетных данных Windows пользователя.

Каждый раз, когда пользователи входят на свое устройство, Клиент запускается, аутентифицируется и подключается без какого-либо действия со стороны пользователя.

Примечание

Примечание: Если Azure не может предоставить токен аутентификации для пользователя, конечный пользователь следует стандартному процессу аутентификации, вводя учетные данные Azure в Клиенте.

Предварительные условия

  • Аутентификация с использованием учетных данных Windows поддерживается:

    • На Клиенте для Windows версии 5.8 и выше.
    • На устройствах под управлением Windows 10 или выше.
    • На устройствах, присоединенных к Azure AD (гибридное AD присоединение поддерживается с Клиента версии 5.11 и выше).
    • С Azure, настроенным как поставщик SSO для вашей учетной записи, и пользователям разрешено входить с SSO.
    • Сопоставление OID и SID настроено (для получения дополнительной информации см. документацию Microsoft).
    • Клиент может получить токен PRT. Если токен PRT не может быть получен, возможно, пользователю потребуется вручную аутентифицироваться или повторно аутентифицироваться в Windows. Для устранения проблем с токеном PRT см. документацию Microsoft.

Известные ограничения

  • Azure AD, который требует взаимодействия с пользователем (например, MFA), поддерживается с Клиента версии 5.11 (не поддерживается на Клиентах ниже версии 5.11).
  • Ключ реестра InitialAlwaysOn не поддерживается для этой функции.

Настройка аутентификации с использованием учетных данных Windows

Эта функция включена в вашей конфигурации SSO Azure. Как только вы ее включите, вы можете выбрать качество работы пользователя.

Windows_Auth.png

Аутентификация с учетными данными Windows:

  1. В меню навигации нажмите Доступ > Единый вход.
  2. В разделе Пользователи SDP клиента выберите Вход с учетными данными Windows.

  3. Настройте качество работы пользователя из выпадающего меню:

    • Автоматически: Клиент автоматически использует учетные данные Windows для аутентификации.
    • Выбор пользователя: Пользователь должен подтвердить аутентификацию с помощью учетных данных Windows, однако повторный ввод не требуется, или он может выбрать аутентификацию как другой пользователь.

  4. Нажмите Сохранить.

    Пользователи теперь аутентифицируются в Cato с помощью Windows учетных данных. Новые пользователи автоматически аутентифицируются с их Windows учетными данными. Настроенные пользователи автоматически аутентифицируются в следующий раз, когда истекает срок действия сеанса SSO.

Примечание

Примечание: Если на устройстве настроено несколько пользователей, только пользователь, настроенный в Клиенте, может аутентифицироваться с их Windows учетными данными.

Настройка бесшовного пользовательского опыта

Вы можете настроить аутентификацию с помощью учетных данных Windows вместе с другими функциями для создания бесшовного пользовательского опыта. Это означает, что Клиент запускается, аутентифицируется и подключается без каких-либо действий со стороны пользователя.

После настройки ключей реестра Windows перезагрузите устройство.

Определите поддомен для бесшовной аутентификации

Определите имя своей учетной записи Cato, как оно отображается в CMA, используя ключ реестра Windows SubdomainForSeamlessAuth. Вы можете определить поддомен для своей учетной записи на странице Доступ > Единовременный вход. После успешного выполнения Клиентом начальной аутентификации в облаке Cato реестр автоматически обновляется

Чтобы определить название вашей учетной записи Cato:

  1. Перейдите в это местоположение в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Определите этот ключ:

    • SubdomainForSeamlessAuth = <your account name> (String)

Автоматический запуск клиента

Определите ключ реестра Windows LaunchAuthPageOnStartup, чтобы автоматически запускать Клиент после первоначальной установки. Эта функция предназначена для новых пользователей при первом входе на их устройство.

Чтобы настроить реестр Windows для автоматического запуска Клиента:

  1. Перейдите в это местоположение в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Определите этот ключ:

    • LaunchAuthPageOnStartup=1 (DWORD)

Использование подключения при загрузке для всей учетной записи

Вы можете включить Подключаться при загрузке в Приложении Управления Cato для всей учетной записи, чтобы Клиенты всегда подключались каждый раз при загрузке устройства. Эта функция настроена для пользователей, чтобы принудительно подключать Клиент без каких-либо действий пользователя.

Настройка подключения при загрузке для конкретных пользователей

Для аккаунтов, которые хотят включить Подключаться при загрузке только для специфических пользователей, вы можете определить ключ реестра ConnectOnBoot на устройствах для требуемых пользователей.

Чтобы настроить реестр Windows для подключения Клиента при загрузке устройства:

  1. Перейдите в это местоположение в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Определите этот ключ:

    • ConnectOnBoot=1 (DWORD)

Дополнительные настройки

Если пользователю необходимо выполнить дополнительные шаги аутентификации, например, MFA, требуется ключ реестра SeamlessAuthAllowUI, чтобы позволить пользователям вручную аутентифицироваться.

Чтобы настроить дополнительный ключ реестра:

  1. Перейдите в местоположение в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. Определите этот ключ:

    • SeamlessAuthAllowUI=1 (DWORD)

Использование Always Prompt, проверки токена и аутентификации с учетными данными Windows

Если конфигурация вашей SSO Срок действия токена установлена на Всегда запрашивать и вы включаете аутентификацию с учетными данными Windows, Клиент тихо аутентифицируется с учетными данными Windows пользователей без какого-либо запроса.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев