本文解释了如何配置客户端以依赖用户的Windows凭据进行认证。
对于远程访问,实施安全策略需要用户成功认证客户端。 确保无缝认证提高了您的网络安全性并创造了简单的用户体验。 对于使用SSO认证的用户,您可以配置客户端使用他们的Windows凭据进行认证。 这允许用户只需登录到他们的设备,而无需在连接到客户端时重新输入凭据。 认证可以自动发生或由用户启动。 在这个进程中,主要刷新令牌 (PRT) 被发出,Cato 客户端提取这个令牌以认证用户。 在SSO会话过期且PRT令牌有效后,客户端会使用Windows凭据静默重新认证,保持无缝登录和重新认证流程。
如果您将此功能与Windows注册表键一起配置,以在初始安装后自动启动客户端,并与开机时连接结合使用,客户端将在无需用户采取任何操作的情况下始终启动、认证并连接。
注意
注意: 注册表项可能区分大小写,输入时应与本文中出现的完全一致。
公司ABC希望为其用户提供简单的用户体验,以便他们能以尽可能少的点击连接到Cato。 为此,他们希望将客户端认证过程自动化。 这意味着要连接到Cato,用户只需打开客户端并点击连接。
管理员配置Cato SSO设置,自动使用用户的Windows凭据进行认证。
每次用户登录到其设备时,即使SSO令牌已过期,客户端也能够连接到网络而不需要用户的额外认证。
公司ABC希望确保其用户尽可能频繁地连接到客户端。 为此,他们希望将客户端连接过程自动化,以便新用户和现有用户无需记得手动点击客户端中的连接按钮。
管理员配置这些设置:
- 为了让客户端在用户第一次启动设备时立即启动,他们在设备上定义了一个Windows注册表键。
- 为了让客户端每次设备启动都连接,他们启用了开机时连接。
- 为了去除手动用户身份验证的要求,他们启用了自动客户端认证,以使用用户的Windows凭据进行认证。
每次用户登录到其设备时,客户端启动、认证并连接,无需用户采取任何措施。
注意
注意: 如果Azure不能为用户提供认证令牌,最终用户需要通过在客户端中输入Azure凭据遵循标准认证流程。
-
支持使用Windows凭据进行认证:
- 在Windows客户端v5.8及更高版本。
- 在运行Windows 10或更高版本的设备上。
- 在已加入Azure AD的设备上(支持从客户端v5.11及以上版本的混合AD加入)。
- 配置Azure作为您账户的SSO提供商,允许用户使用SSO登录。
- OID和SID映射已配置(欲了解更多信息,请参阅Microsoft文档)。
- 客户端可以取回PRT令牌。 如果PRT令牌无法取回,用户可能需要手动认证或重新认证Windows。 欲排查PRT令牌问题,请参阅Microsoft文档。
此功能在您的Azure SSO配置中启用。 一旦启用,您可以选择用户体验。
使用Windows凭据认证:
- 从导航菜单中,点击访问 > 单点登录。
- 从SDP客户端用户部分中,选择使用Windows凭据登录。
-
从下拉菜单中配置用户体验:
- 自动:客户端自动使用Windows凭据进行认证。
- 用户选择:用户必须确认使用其Windows凭据进行认证,但不需要重新输入凭据,或可以选择以另一个用户身份认证。
-
点击保存。
用户现在使用他们的Windows凭据认证到Cato。 新用户自动使用其Windows凭据进行认证。 已配置用户将在下次SSO会话过期时自动认证。
注意
注意: 如果在一个设备上配置了多个用户,则只有在客户端中配置的用户可以使用其Windows凭据进行认证。
您可以配置与Windows凭据认证的其他功能以创建无缝用户体验。 这意味着客户端启动、认证和连接,无需用户采取任何措施。
配置Windows注册表键后,重启设备。
使用SubdomainForSeamlessAuth Windows注册表项定义您的Cato帐户名称,如在CMA中显示。 您可以在访问 > 单点登录页面识别您的帐户子域。 在客户端成功执行初始认证到Cato Cloud后,注册表会自动更新
定义LaunchAuthPageOnStartup Windows注册表键以在初始安装后自动启动客户端。 此特性适用于新用户首次登录到其设备。
您可以选择在Cato管理应用程序中为整个账户启用开机时连接,以便客户端在每次设备启动时始终连接。 此功能已配置为用户强制客户端连接,无需用户的任何操作。
如果您的SSO令牌有效期配置设置为总是提示并启用使用Windows凭据进行认证,客户端将使用用户的Windows凭据静默认证,无需任何提示。
0 条评论
请登录写评论。