本文解释了如何启用Cato身份代理以提高用户意识,并提供识别站点后面的用户的能力。 身份代理支持Windows、macOS和Linux客户端。
了解用户身份是零信任网络架构(ZTNA)的关键组成部分——在任何时间识别用户、控制用户访问和监控用户活动都是必不可少的。 用于用户意识的身份代理识别在Socket或办公室模式下的用户。 它使用Cato Client的框架获取用户信息,并定期(大约每30秒)向PoP报告此身份。 任何IP地址的更改都会立即被检测并报告。
Client安装在设备上并在后台运行(未建立隧道),并向Cato Cloud提供用户身份。
身份代理的客户端先决条件和要求基于您的账户配置了哪个IdP。
Windows Client v5.4及更高版本 |
Windows Client v5.5至5.8 |
Windows Client v5.9及更高版本 |
macOS Client v5.3及更高版本 |
Linux Client v5.1及更高版本 |
|
---|---|---|---|---|---|
本地AD与LDAP |
支持 |
支持 |
支持 |
支持* |
支持* |
混合Azure AD与LDAP结合 |
|||||
Azure AD域服务与LDAP |
|||||
Azure AD与SCIM |
|||||
混合Azure AD连接到SCIM |
不支持 |
支持* |
支持 |
支持* |
支持* |
其他身份提供者(例如Okta)和手动创建的用户 |
不支持 |
支持* |
支持* |
支持* |
支持* |
* 需要为每个用户提供SDP许可证,并进行一次性客户端初始身份验证。
这是在您的账户中实施用户意识身份代理过程的高层次概述:
-
在访问 > 目录服务屏幕上,为您的账户提供用户。
-
在完成用户和用户组的提供后,创建包含它们的规则和策略。
-
为相关用户的设备安装客户端。 用户登录设备后,客户端每30秒向Cato Cloud报告身份。
-
-
对于macOS和Linux客户端,为用户和用户组分配SDP许可证。 有关如何分配SDP许可证的更多信息,请参见用户SDP许可证分配
启用账户,以使用Cato的身份代理识别预配置用户。
在以下场景中,使用Identity Agent识别用户需要SDP许可证:
-
在macOS或Linux设备上
-
从非Azure的IdP提供的用户
-
手动创建的用户
有关如何分配SDP许可证的更多信息,请参见为用户分配SDP许可证。
-
对于使用macOS的设备:
-
在macOS Ventura (版本13)上,客户端升级到新版本后需要重启设备一次。
-
如果从客户端删除SDP用户,他们的身份将不会被报告。
-
-
对于使用Azure AD SCIM提供用户的帐户:
-
从Windows客户端v5.4到v5.8,如果用户使用本地AD进行身份验证,只有具有SDP许可证的用户会被Identity Agent识别。 (使用LDAP(例如本地AD或Entra)配置用户的帐户不需要SDP许可)
-
-
对于Windows客户端v5.5及更早版本 - 当在未注销的用户之间切换时,Identity Agent无法识别活动用户。
-
当用户登录到Windows,并且不同的用户登录到设备(开始菜单>切换用户)时,这两个用户当前都已登录到设备。 代理程序仅识别此设备的一个用户
-
当用户退出Windows设备时,第二个用户登录,然后代理将识别该设备的第二个用户。
-
终端服务器不受支持
-
-
当用户在Client上通过身份验证时,会立即获取Identity,并且客户端中的 Identity Agent报告 时间戳无关紧要。
-
对于非Azure AD的IdP:
-
如果从客户端删除SDP用户,他们的身份将不会被报告。
-
-
User Awareness无法识别已禁用的用户
0 条评论
文章评论已关闭。