用户的SSO认证与Cato

本文解释了Cato客户端如何让用户通过单点登录(SSO)进行认证并连接到网络。

概述

为您的账户配置SSO简化了认证过程并提升了用户体验。 使用SSO时,三个组件共同验证用户的身份,以便他们可以连接到网络。 首先,用户使用他们的SSO凭据进行身份验证。 其次,您的IdP充当认证系统以验证用户的凭据。 最后,Cato与您的IdP集成,以便用户可以登录客户端并连接到网络。

SSO认证过程依赖于在您的IdP和Cato之间生成和验证共享的唯一令牌。

注意

注意: Cato 在 SSO 仅支持 OIDC。 基于 SAML 的认证目前不支持。

理解用于SSO认证的SSO令牌

对于SSO认证,客户端依赖于两个加密的SSO令牌来验证用户是否认证并允许连接到网络。

  • IdP令牌:这是用户使用他们的SSO凭据认证后由您的IdP生成的。

  • Cato令牌:该令牌由网络接入点在客户端收到来自IdP的成功验证响应后生成。 该令牌由Cato用于验证用户已被认证,以便客户端可以维持与Cato云的连接。 Cato令牌存储在设备上,其有效期在Cato管理应用程序中设置。

    Cato令牌过期后,网络接入点检查IdP令牌是否有效。 如果客户端收到来自IdP的成功验证响应,网络接入点生成新的Cato令牌,并且客户端保持连接到Cato云。 如果Cato令牌和IdP令牌都已过期,客户端将从Cato云断开连接。 用户重新认证后,客户端仅在收到新的IdP令牌时重新连接。

您可以配置Cato令牌的过期方式:

  • 持续时间:您选择Cato令牌有效的时间段。 在这段时间内,如果用户断开客户端,令牌仍然有效。

  • 总是提示:用户断开客户端后,Cato令牌过期。 如果用户未断开连接,您可以选择Cato令牌的有效时间段。

下表解释了当每个令牌过期时,客户端的连接状态:

IdP令牌状态

Cato令牌状态

连接状态

有效

有效

客户端已连接

已过期

有效

客户端已连接直到Cato令牌过期

有效

已过期

  1. 客户端向IdP检查IdP令牌是否有效。 如果您的令牌有效性设置为:

    • 持续时间: 此检查自动进行

    • 总是提示:此检查由用户发起

  2. IdP发送成功验证响应

  3. 客户端向网络接入点发送成功验证响应

  4. 网络接入点生成新的Cato令牌并将其发送至客户端

  5. 客户端保持连接

已过期

已过期

  1. 客户端向IdP检查IdP令牌是否有效。 根据您的SSO配置,此检查可以自动进行或由用户发起

  2. IdP发送验证失败响应

  3. 客户端断开连接

初始认证的示例SSO流程

本节提供了用户使用SSO认证客户端并连接到网络的示例。

初始认证

该流程解释了用户首次认证客户端时会发生什么。

  1. 在客户端,用户点击添加用户

    1. 网络接入点生成一个屏幕让用户输入他们的电子邮件地址

    2. 网络接入点将电子邮件地址与Cato账户关联。 客户端显示为账户配置的认证选项。

  2. 用户点击SSO选项,客户端显示一个浏览器(在客户端或外部浏览器),以便用户可以输入IdP登录和MFA凭证。

    • IdP验证用户的凭证

  3. 如果凭证有效,IdP向网络接入点发送成功响应和IdP令牌。

  4. 网络接入点直接与IdP确认令牌的有效性。

  5. 如果令牌有效,网络接入点生成Cato令牌并将其发送给客户端。

    1. 客户端在设备上存储Cato令牌

    2. 用户已认证,客户端连接到网络

已启用始终开启的认证

该流程解释了启用始终开启的用户在认证客户端时会发生什么。

该过程发生在上述初始认证之后。

  1. 设备被开启并启动。

  2. 客户端检查设备上的Cato令牌是否有效。 根据您的令牌有效性配置,此检查可以自动进行或由用户发起。

    1. 如果Cato令牌有效,客户端连接

    2. 如果Cato令牌已过期,客户端检查IdP令牌是否有效

      1. 如果 IdP 令牌是有效的,客户端发送成功的验证响应到 PoP。 PoP 创建一个新的Cato令牌,客户端连接

      2. 如果 IdP 令牌已过期,客户端不连接。 客户端显示为账户配置的认证选项。 仅在用户重新认证之后,客户端才连接。

这篇文章有帮助吗?

7 人中有 7 人觉得有帮助

0 条评论