Настройка политики аутентификации для клиентов Cato

В этой статье рассказывается, как настроить поведение аутентификации и требования многофакторной аутентификации (MFA) для пользователей SDP в вашей учетной записи.

Обзор политики аутентификации клиентов SDP

Политика аутентификации определяет, как пользователи проходят аутентификацию в вашей учетной записи: MFA, единый вход (SSO) или имя пользователя и пароль. Кроме того, вы можете выбрать пользовательский опыт аутентификации, используя встроенный браузер или внешний браузер ОС по умолчанию.

Настройка аутентификации в браузере для учетной записи (Windows и macOS)

Для устройств Windows и macOS вы можете настроить, будут ли пользователи аутентифицироваться с использованием встроенного браузера или внешнего браузера. Настройка по умолчанию - использование встроенного браузера, который обеспечивает лучший пользовательский опыт. Аутентификация MFA и SSO завершается внутри клиента, после чего устройство бесшовно подключается к Cato Cloud.

Иногда конфигурация сети учетной записи не поддерживает встроенный браузер. В таких случаях вы можете настроить свою учетную запись на использование внешнего браузера ОС по умолчанию для устройства. Пользователь начинает подключение в клиенте, а затем проходит аутентификацию в Cato Cloud с помощью браузера ОС.

Чтобы настроить аутентификацию в браузере клиента для учетной записи:

  1. В навигационном меню выберите Доступ > Аутентификация пользователей.

  2. Нажмите на вкладку Дополнительные настройки.

  3. В разделе Аутентификация в браузере выберите один из следующих вариантов:

    • Встроенный браузер - пользователи SDP аутентифицируются в вашей учетной записи в рамках клиента

    • Внешний браузер - пользователи SDP аутентифицируются в вашей учетной записи с помощью браузера ОС

  4. Нажмите Сохранить.

Лучшие практики для аутентификации в браузере

Ниже приведены лучшие практики, которые следует соблюдать при выборе метода аутентификации в браузере:

  • Рекомендуется использовать встроенный браузер, за исключением случаев, когда условный доступ требует использования плагина браузера, который поддерживается только внешним браузером.

  • Используйте встроенный браузер, когда включена функция Always-On, чтобы обеспечить надлежащую функциональность. Не все домены и IP-адреса, необходимые для аутентификации SSO, разрешены при использовании внешнего браузера.

  • Встроенный браузер необходимо использовать в среде ADFS, иначе SSO не может быть использовано для аутентификации.

  • Встроенный браузер предотвращает проблему с аутентификацией SSO во внешнем браузере и принудительном использовании HSTS. Для получения дополнительной информации см. SSO Authentication Fails When Using External Browser | localhost Error.

  • Используйте внешний браузер для аутентификации при использовании приложения Okta Verify на macOS или Windows.

Настройка политики аутентификации для всех пользователей

Используйте экран Аутентификация пользователей для определения политики аутентификации для пользователей в вашей учетной записи, которые подключаются с помощью клиента Cato. Для учетных записей, использующих SSO, это политика аутентификации по умолчанию.

Это варианты аутентификации:

  • SSO - Пользователи аутентифицируются с помощью SSO, используя провайдера идентификации (IdP), настроенного для вашей учетной записи

  • MFA - Пользователи должны аутентифицироваться с использованием кода, который они получают через SMS или приложение аутентификатор (согласно RFC-6238 для MFA)

  • Имя пользователя и пароль - Пользователи аутентифицируются с помощью имени пользователя и пароля для клиента (требования MFA отсутствуют)

Вы также можете выбрать переопределение политики MFA для отдельных пользователей, см. ниже Переопределение настроек аутентификации для конкретных пользователей.

Если вы используете службы каталогов и вам нужно изменить номер мобильного телефона пользователя для расширенной аутентификации, вы должны изменить номер телефона только в IdP.

Примечание

Примечание: Многофакторная аутентификация (MFA) и единый вход (SSO) НЕ поддерживаются для пользователей, зарегистрированных с помощью регистрационного кода.

Работа с настройками срока действия токена

Опция Срок действия токена > Продолжительность зависит от того, является ли устройство с клиентом Cato "доверенным", следующим образом:

  • Если пользователь включил доверие к устройству с клиентом Cato (путем выбора опции Больше не спрашивать на этом устройстве/компьютере в клиенте при подключении к Cato Cloud), то MFA не требуется, если срок действия все еще действителен и геолокация не изменилась на другую страну

  • Если пользователь не включил доверие к устройству с клиентом Cato (путем снятия опции Больше не спрашивать на этом устройстве/компьютере в клиенте при подключении к Cato Cloud), то настройка продолжительности не влияет, и MFA всегда требуется на этом устройстве

Примечание

Примечание: Начиная с версии Windows Client v5.12, встроенный браузер клиента способен обновлять токен IdP. Пользователи не вызывают повторную аутентификацию, когда истекает срок действия токена IdP.

ClientAccess_Authentication.png

Чтобы настроить политику MFA для удаленных пользователей:

  1. В навигационном меню выберите Доступ > Аутентификация пользователей.

  2. В раскрывающемся списке Метод выберите MFA.

  3. Настройте Общие выберите Метод аутентификации для политики:

    • Любой - Каждый пользователь самостоятельно выбирает метод аутентификации

    • Аутентификатор - пользователи должны использовать приложение для аутентификации (например, Google Authenticator)

    • SMS - пользователям отправляется SMS-сообщение с кодом аутентификации

  4. В разделе Срок действия токена выберите поведение для токена MFA в клиенте:

    • Всегда запрашивать - MFA требуется при каждом подключении пользователя.

      Пользователи, которые вошли в систему, должны пройти повторную аутентификацию, когда срок действия, который вы задаёте в днях или часах (с момента их последнего входа в систему), достигается.

    • Продолжительность - Пользователям не требуется MFA в течение срока, который вы задаёте в днях или часах.

  5. Нажмите Сохранить.

Переопределение настроек аутентификации для конкретных пользователей

Вы можете настроить разные параметры аутентификации для конкретных пользователей и переопределить общую политику аутентификации. Отредактируйте пользователя и затем используйте экран Аутентификация для настройки метода аутентификации для этого пользователя.

Чтобы переопределить общие настройки аутентификации для конкретного пользователя:

  1. В навигационном меню выберите Доступ > Пользователи.

  2. Выберите пользователя, и в навигационном меню выберите Настройки пользователя > Аутентификация.

  3. Выберите Переопределить настройки аутентификации учётной записи.

    Override_Authentication_Settings.png

  4. Выберите Метод аутентификации для пользователя.

  5. Настройте параметры аутентификации для этого пользователя.

  6. Нажмите Сохранить.

Сброс MFA для пользователя

Вы можете сбросить настройки MFA для пользователей при необходимости, например, при установке клиента на новое устройство.

Чтобы сбросить настройки MFA для пользователя:

  1. В навигационном меню выберите Доступ > Пользователи.

  2. В списке Пользователи установите флажок рядом с именем пользователя.

  3. В раскрывающемся меню Действия выберите Сбросить MFA.

  4. В окне подтверждения нажмите ОК.

  5. Пользователь получает электронное письмо со ссылкой на портал пользователя Cato. После входа в портал пользователю потребуется активировать настройки MFA для устройства.

Связанные ресурсы

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 5

0 комментариев