Настройка политики аутентификации для Клиентов Cato

Эта статья обсуждает, как настроить поведение аутентификации и требования Multi-Factor Authentication (MFA) для Пользователей SDP в вашей учетной записи.

Обзор политики аутентификации Клиента SDP

Политика аутентификации определяет, как пользователи аутентифицируются в вашей учетной записи: MFA, Единый вход (SSO) или имя пользователя и пароль. Кроме того, вы можете выбрать пользовательский опыт аутентификации с использованием встроенного в Клиент браузера или внешнего браузера ОС по умолчанию.

Настройка аутентификации браузера для учетной записи (Windows и macOS)

Для устройств Windows и macOS вы можете настроить, будут ли пользователи аутентифицироваться, используя встроенный браузер или внешний браузер. Настройка по умолчанию - использовать встроенный браузер, который обеспечивает лучший пользовательский опыт. Аутентификация MFA и SSO завершается внутри Клиента, а затем устройство подключается к облаку Cato бесшовно.

Иногда конфигурация сети учетной записи не поддерживает встроенный браузер. В таких случаях вы можете настроить учетную запись на использование внешнего браузера ОС по умолчанию для устройства. Конечный пользователь начинает подключение в Клиенте, а затем пользователи аутентифицируются в облаке Cato с помощью браузера ОС.

Чтобы настроить аутентификацию браузера Клиента для учетной записи:

  1. В меню навигации нажмите Доступ > Аутентификация пользователей.

  2. Нажмите вкладку Дополнительные настройки.

  3. В разделе Аутентификация через внешний браузер выберите один из этих вариантов:

    • Встроенный браузер - Пользователи SDP аутентифицируются в вашей учетной записи внутри Клиента

    • Внешний Браузер - Пользователи SDP аутентифицируются в вашей учетной записи с помощью браузера ОС

  4. Нажмите Сохранить.

Лучшие практики для аутентификации через внешний браузер

Ниже приведены лучшие практики, которым следует придерживаться при выборе метода аутентификации через внешний браузер:

  • Встроенный браузер рекомендуется, за исключением случаев, когда условный доступ требует плагина, поддерживаемого только внешним браузером.

  • Используйте встроенный браузер, когда включена функция Всегда Включено, чтобы обеспечить правильную работу. Не все домены и IP-адреса, необходимые для аутентификации SSO, разрешены при использовании внешнего браузера.

  • Встроенный браузер должен использоваться в среде ADFS, иначе SSO не может использоваться для аутентификации.

  • Встроенный браузер предотвращает проблемы с аутентификацией SSO при использовании внешнего браузера и применении HSTS. Для получения дополнительной информации смотрите SSO Authentication Fails When Using External Browser | localhost Error.

  • Используйте внешний браузер для аутентификации при использовании приложения Okta Verify на macOS или Windows.

Настройка политики аутентификации для всех пользователей

Используйте экран Аутентификация пользователей, чтобы определить политику аутентификации для пользователей в вашей учетной записи, которые подключаются с Клиентом Cato. Для учетных записей, где включена SSO, это политика аутентификации по умолчанию.

Это параметры аутентификации:

  • SSO - Пользователи аутентифицируются с SSO, используя Поставщика идентификационных данных (IdP), настроенного для вашей учетной записи

  • MFA - Пользователи должны аутентифицироваться, используя код, который они получают из SMS или приложения аутентификации (согласно RFC-6238 для MFA)

  • Имя пользователя и пароль - Пользователи аутентифицируются с именем пользователя и паролем для Клиента (без требований MFA)

Вы также можете выбрать перезаписать политику MFA для отдельных пользователей, см. ниже Переопределить настройки аутентификации для конкретных пользователей.

Если вы используете Службы каталогов и вам нужно изменить номер мобильного телефона пользователя для расширенной аутентификации, вы должны изменить номер телефона только в IdP.

Примечание

Примечание: Multi-Factor Authentication (MFA) и Единый вход (SSO) НЕ поддерживаются для пользователей, которые предоставлены с кодом регистрации.

Работа с настройками срока действия токена

Опция Срок действия токена > Длительность зависит от того, считается ли устройство с запущенным Клиентом Cato "доверенным", следующим образом:

  • Если пользователь включил доверие для устройства с запущенным Клиентом Cato (выбрав опцию Больше не спрашивать на этом устройстве/компьютере в Клиенте при подключении к облаку Cato), то MFA не требуется, если срок действия ещё не истек и геолокация не изменилась на другую страну

  • Если пользователь не включил доверие для устройства с запущенным Клиентом Cato (включив опцию Больше не спрашивать на этом устройстве/компьютере в Клиенте при подключении к облаку Cato), настройка длительности не действует, и MFA всегда требуется на этом устройстве

Примечание

Примечание: Начиная с версии Клиента для Windows v5.12, встроенный браузер Клиента может обновлять токен IdP. Пользователям не предлагается повторно аутентифицироваться, когда срок действия токена IdP истекает.

ClientAccess_Authentication.png

Чтобы настроить политику MFA для удалённых пользователей:

  1. В меню навигации щелкните Доступ > Аутентификация пользователей.

  2. В раскрывающемся списке Метод выберите MFA.

  3. Настройте Общие настройки, выберите Метод аутентификации для политики:

    • Любой - Каждый пользователь выбирает метод аутентификации для себя

    • Аутентификатор - Пользователи должны использовать приложение аутентификации (например, Google Authenticator)

    • SMS - Пользователям отправляется SMS-сообщение с кодом аутентификации

  4. В разделе Срок действия токена выберите поведение для токена MFA в Клиенте:

    • Всегда запрашивать - MFA требуется каждый раз, когда пользователь подключается.

      Пользователи, которые вошли в систему, должны повторно аутентифицироваться, когда срок, который вы определили в Дни или Часы (с момента последнего входа в систему), будет достигнут.

    • Длительность - Пользователям не требуется MFA в течение длительности, которую вы определяете в Дни или Часы.

  5. Нажмите Сохранить.

Переопределение настроек аутентификации для конкретных пользователей

Вы можете настроить разные параметры аутентификации для отдельных пользователей и переопределить глобальную политику аутентификации. Редактировать пользователя, затем используйте экран Аутентификация для настройки метода аутентификации для этого пользователя.

Чтобы переопределить глобальные настройки аутентификации для конкретного пользователя:

  1. В меню навигации щелкните Доступ > Пользователи.

  2. Выберите пользователя и в меню навигации выберите Настройки Пользователя > Аутентификация.

  3. Выберите Переопределить настройки аутентификации учетной записи.

    Override_Authentication_Settings.png

  4. Выберите метод аутентификации Метод для пользователя.

  5. Настройте настройки аутентификации для этого пользователя.

  6. Нажмите Сохранить.

Сброс MFA для пользователя

Вы можете сбросить настройку MFA для пользователей при необходимости, например, при установке Клиента на новом устройстве.

Чтобы сбросить настройки MFA для пользователя:

  1. В меню навигации щелкните Доступ > Пользователи.

  2. В списке Пользователь установите флажок рядом с именем пользователя.

  3. В раскрывающемся меню Действия выберите Сброс MFA.

  4. В окне подтверждения нажмите ОК.

  5. Пользователь получит электронное письмо со ссылкой на Портал пользователя Cato. После входа в портал пользователь должен будет активировать настройки MFA для устройства.

Связанные ресурсы

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 4

0 комментариев