Проблема

При реализации Azure Conditional Access для приложения Cato Portal для ограничения Единого входа (SSO), Клиент Cato показывает сообщение об ошибке "Вы не можете получить доступ к этому сейчас" из-за того, что политика доступа не соответствует настроенным требованиям.

Окружение

• Azure SSO настроен как Метод аутентификации в CMA.
• Azure Conditional Access применяется к ограничению IP-адресов источников (местоположение) или приложения Cato Portal.
• Оба, встроенные или внешние браузеры.

Устранение неполадок

Эти шаги можно выполнить для устранения проблем SSO, связанных с Azure Conditional Access:

1. Поймите потоки процесса SSO для начальной аутентификации для аутентификации SSO:
   • Во время начального подключения Клиента Cato аутентификация SSO происходит непосредственно между Клиентом и IdP вне туннеля. Azure увидит IP-адрес провайдера Клиента в запросе аутентификации.
   • В случаях, когда Всегда включено активировано для пользователя или когда происходит повторная аутентификация SSO после истечения срока действия токена IdP, аутентификация SSO между Клиентом и IdP происходит внутри туннеля через PoP. Azure увидит IP-адрес PoP Cato в запросе аутентификации.
2. Получите доступ к журналам входа в Azure в разделе Условный доступ для анализа событий Сбоя. Журналы будут включать IP-адрес источника клиента для каждой попытки аутентификации. Используйте опцию 'Показать сведения' в закладке Условного доступа для получения дополнительных аналитических данных о сбое.
   
3. Проверьте конфигурацию Политики Условного доступа, включая приложение Cato Portal и диапазон IP-адресов PoP Cato в качестве исключенных элементов. Вам может понадобиться убедиться, что Политика настроена правильно и позволяет правильные исходные IP-адреса и приложение для успешной аутентификации SSO.
4. Возможно, что приложение Cato Portal не обнаруживается правильно политикой Условного доступа из-за ограничения Разрешений с Microsoft Azure. Если это так, вы увидите успешную аутентификацию, за которой следует сбой, как показано ниже.

Решение

Если Политика Условного доступа включает местоположение (IP-адрес источника пользователя), определите IP-адрес или диапазон IP-адресов, основываясь на конфигурации Всегда включено у пользователя:

• Пользователи с отключенным (по требованию) Всегда включено будут использовать IP-адрес провайдера клиента во время аутентификации и IP-адрес PoP для повторной аутентификации (срок действия токена IdP истекает, пока туннель активен).
• Пользователи с включенным Всегда включено будут использовать IP-адрес провайдера клиента только во время начальной аутентификации (после установки Cato) и IP-адрес PoP для последующих запросов аутентификации и повторных запросов аутентификации (токен IdP истекает, пока туннель активен).
• Для пользователей с Всегда включено начальная аутентификация (после установки Cato) также может быть принудительно выполнена через туннель Cato, включив ключ реестра InitialAlwaysOn, как описано в Установка клиента для Windows и "Всегда включено".

Если Политика Условного доступа включает политику блокировки всех, исключая приложение Cato Portal, перейдите на страницу Единого входа в CMA и нажмите Учетные данные Microsoft, что приведет к запросу учетных данных администратора для получения согласия с Azure снова.