Понимание потока подключений клиента Cato

В этой статье объясняется процесс подключения клиента для Windows к Cato PoP.

Обзор

Прежде чем Клиент подключается к Cato PoP, он выполняет различные проверки на основе конфигурации ваших политик клиента. Это гарантирует, что только пользователи и устройства, соответствующие вашим требованиям безопасности, могут подключаться к сети. Следующие блок-схемы подробно описывают порядок этих проверок и поведение Клиента, если проверка не пройдена или не включена.

Поток подключения клиента Windows

Следующие блок-схемы показывают, как клиент для Windows подключается к Cato PoP, если Предварительный вход включен или отключен.

Поток подключения - вход до входа в систему включен

Предварительный вход предоставляет доступ к разрешённым назначениям, прежде чем пользователь будет аутентифицирован. Например, как только устройство может подключиться к Интернету, оно может получить доступ к вашему AD, чтобы учетные данные пользователя могли быть сохранены на устройстве. Весь другой доступ в интернет заблокирован.

Примечание

Примечание: Любой домен, связанный с любым из поддерживаемых IdP, может быть доступен в неаутентифицированном состоянии при использовании Внешнего Браузера с функцией Всегда включено. Например, пользователи смогут получить доступ к google.com, чтобы убедиться, что они могут аутентифицироваться, если их IdP — это Google.

Frame_1000002917.jpg

Поток подключения - вход до входа в систему отключен

Если Предварительный вход отключен, то это поток подключения клиента:

Frame_1000002918.jpg

Примечания

  1. В состоянии Предварительный вход устройство предварительно настроено с клиентом Cato, доверенным сертификатом, а реестр Windows настроен с именем учетной записи. Пользователь не аутентифицирован, однако клиент может подключиться к PoP для подтверждения сертификата. Если сертификат действителен, это устанавливает достаточный уровень доверия для предоставления клиенту доступа к разрешённым назначениям через PoP, даже если пользователь не аутентифицирован.
  2. Всегда включено гарантирует, что клиент всегда подключен к PoP, и весь трафик проверяется движками безопасности Cato. Клиент автоматически пытается аутентифицироваться и подключиться с учетными данными последнего пользователя, подключившегося к клиенту. Клиент проверяет, включен ли Всегда включено после загрузки устройства (если на устройстве сохраняются учетные данные пользователя) и после входа пользователя в устройство. Как только пользователь аутентифицирован и клиент подключен, отключить клиента невозможно.
  3. При включенной функции Подключся при загрузке, во время загрузки устройства, клиент автоматически пытается аутентифицироваться и подключиться с учетными данными последнего пользователя, который подключился к клиенту. После подключения клиента пользователь может отключить клиента. Клиент проверяет, включена ли функция Подключаться при загрузке после загрузки устройства (только если на устройстве сохраняются учетные данные пользователя) и после входа пользователя в устройство.
  4. Политика доступа клиента определяет, какие проверки устройства выполнять на устройстве перед тем, как оно подключится к сети. Это гарантирует, что подключаться могут только устройства, соответствующие вашим требованиям безопасности. Вы можете также настроить пользователя для безопасного доступа только в Интернет или безопасного доступа в Интернет и частную сеть (WAN).

  5. Эти проверки включают:

    • Проверки устройства, которые определяют минимальные требования, которым должно соответствовать устройство для подключения к вашей сети. Клиент выполняет проверки для проверки статуса безопасности устройства.
    • Геолокация устройства
    • Операционная система устройства
    • Статус аутентификации пользователя
  6. Пользователи могут аутентифицироваться с помощью SSO, MFA или с именем пользователя и паролем. После аутентификации токен Cato создаётся PoP для подтверждения аутентификации пользователя, чтобы клиент мог поддерживать соединение с облаком Cato. Вы можете настроить, как долго действителен токен аутентификации Cato. Клиент может автоматически аутентифицироваться с помощью учетных данных Windows, делая этот шаг незаметным для пользователя.

Понимание клиентских разрешений

Клиент имеет следующие разрешения на устройстве:

Windows

  • Сервис SDP Клиента Cato (CatoNetworksVPNService): Учетная запись локальной системы
  • Процессы пользовательского интерфейса Клиента: Стандартный пользователь

macOS

  • Демон Клиента Cato (com.catonetworks.mac.CatoClient.helper): Root Пользователь
  • Системное расширение: Root пользователь (с меньшими правами, чем у демона)
  • Пользовательский агент: Стандартный пользователь

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 12

0 комментариев