В этой статье обсуждается поведение сессии аутентификации единого входа (SSO), касающейся токена IdP и токена Cato для Клиент для Windows.
Конечные пользователи аутентифицируются к Клиент Cato на основе токена аутентификации Cato. Длительность этого токена настраивается в Приложение Управления Cato. Длительность аутентификационного токена IdP основывается на настройках IdP. Время начала этих токенов не синхронизировано, поэтому даже если они установлены на одинаковую продолжительность, они обычно истекают в разное время. Когда оба токена истекают, пользователь должен пройти повторную аутентификацию к IdP. Для получения дополнительной информации об истечении срока действия сессии пользователя SDP, смотрите Understanding Expiring Session for SDP Users.
Эта статья объясняет поведение Клиент, когда токен Cato истек срок действия, но токен IdP все еще действителен. Это поведение отличается в зависимости от версии Клиент.
Примечание
Примечания:
-
Для всех версий Клиент, пока токен Cato действителен, пользователь аутентифицирован (даже если срок действия токена IdP истек).
-
Для учетных записей, которые установили настройку Срок действия токена на Всегда запрашивать вместо Длительность, пользователь SDP должен аутентифицироваться к IdP каждый раз, когда они подключаются с Клиент. Токен IdP игнорируется.
Для получения дополнительной информации о сессиях аутентификации SSO, смотрите Configuring SSO and the Subdomain for the Account.
В этом разделе описано, как Клиент автоматически проходит повторную аутентификацию, когда срок действия токена Cato истек, а токен IdP еще действителен для Клиент для Windows v5.0 и выше.
За 10 минут до истечения срока действия токена Cato Клиент пытается автоматически провести повторную аутентификацию с IdP без воздействия или сообщений для конечного пользователя. Когда токен IdP действителен, Клиент автоматически проводит повторную аутентификацию, и Cato генерирует новый токен SSO на основе настройки длительности токена для учетной записи.
Вы настраиваете количество времени, в течение которого токен Cato действителен в Приложение Управления Cato (Доступ > Единый вход). Для получения дополнительной информации о пользовательском опыте и истекающих токенах смотрите Understanding Expiring Session for SDP Users.
Если оба токена истекают срок действия, конечный пользователь аутентифицируется к IdP, а затем генерируется новый токен Cato.
Это пример поведения сессии для Клиент для Windows v5.0 и выше.
-
Пользователь аутентифицируется к Клиент, вводя учетные данные IdP (имя пользователя и пароль). IdP генерирует токен SSO для пользователя.
-
Генерируется токен Cato с длительностью 10 дней (на основе настроек единого входа в Приложение Управления Cato).
-
Через 10 дней - за 10 минут до истечения срока действия токена Cato Клиент пытается беззвучно провести повторную аутентификацию к токену IdP.
-
Если токен IdP действителен, Клиент автоматически проходит повторную аутентификацию без воздействия на пользователя (сессия не прерывается). Токен Cato действителен еще 10 дней.
-
Если срок действия токена IdP истек, пользователю предлагается аутентифицироваться к IdP, и затем токен Cato действителен еще 10 дней (сессия не прерывается).
Если пользователь не проходит повторную аутентификацию к IdP, то сессия истекает по истечении оставшихся 10 минут.
-
Когда сессия пользователя скоро истекает, Клиент показывает сообщение пользователям, позволяя им легко пройти повторную аутентификацию. Цель этого сообщения — предоставить лучший пользовательский опыт, поэтому поведение сообщения зависит от настроек для токенов IdP и Cato.
Следующая таблица объясняет опыт повторной аутентификации для пользователей SDP на основе разных настроек длительности токена Cato и IdP.
Этот раздел описывает, как конечный пользователь повторно аутентифицируется, когда срок действия токена Cato истекает, а токен IdP остается действительным для версии клиента для Windows 4.7 и более ранних версий. Клиент автоматически отключается, и конечный пользователь нажимает Подключить, после чего клиент автоматически повторно аутентифицируется, используя действительный токен IdP. Вы настраиваете длительность срока действия токена Cato в Приложении Управления Cato (Доступ > Единый вход).
Пример поведения истечения срока действия токена у клиента для Windows версии 4.7 (и более ранних версий)
-
Пользователь аутентифицируется в клиенте, введя учетные данные IdP (имя пользователя и пароль). IdP генерирует токен SSO для пользователя.
-
Генерируется токен Cato с длительностью 10 дней (на основе настроек единого входа в Приложении Управления Cato).
-
После 10 дней срок действия токена Cato истекает, и клиент автоматически отключается.
-
Если токен IdP действителен, в Клиенте. Пользователь нажимает Подключить и повторно аутентифицируется, токен Cato действителен еще 10 дней.
-
Если срок действия токена IdP истек, пользователю предлагается аутентифицироваться в IdP, и тогда токен Cato будет действителен еще 10 дней (сеанс не прерывается).
-
0 комментариев
Войдите в службу, чтобы оставить комментарий.