使用Cato身份代理进行用户意识

本文解释了如何启用Cato身份代理以提高用户意识,并提供识别站点后面的用户的能力。 身份代理支持Windows、macOS和Linux客户端。

身份代理用户意识概览

了解用户身份是零信任网络架构(ZTNA)的关键组成部分——在任何时间识别用户、控制用户访问和监控用户活动都是必不可少的。 用于用户意识的身份代理识别在Socket或办公室模式下的用户。 它使用Cato Client的框架获取用户信息,并定期(大约每30秒)向PoP报告此身份。 任何IP地址的更改都会立即被检测并报告。

Client安装在设备上并在后台运行(未建立隧道),并向Cato Cloud提供用户身份。

先决条件

身份代理的客户端先决条件和要求基于您的账户配置了哪个IdP。

 

Windows Client v5.4及更高版本

Windows Client v5.5至5.8

Windows Client v5.9及更高版本

macOS Client v5.3及更高版本

Linux Client v5.1及更高版本

本地AD与LDAP

支持

支持

支持

支持*

支持*

混合Azure AD与LDAP结合

Azure AD域服务与LDAP

Azure AD与SCIM

混合Azure AD连接到SCIM

不支持

支持*

支持

支持*

支持*

其他身份提供者(例如Okta)和手动创建的用户

不支持

支持*

支持*

支持*

支持*

* 需要为每个用户提供SDP许可证,并进行一次性客户端初始身份验证。

实施Cato身份代理以实现用户意识解决方案概览

这是在您的账户中实施用户意识身份代理过程的高层次概述:

  1. 访问 > 目录服务屏幕上,为您的账户提供用户。

  2. 在完成用户和用户组的提供后,创建包含它们的规则和策略。

    1. 为相关用户的设备安装客户端。 用户登录设备后,客户端每30秒向Cato Cloud报告身份。

  3. 对于macOS和Linux客户端,为用户和用户组分配SDP许可证。 有关如何分配SDP许可证的更多信息,请参见用户SDP许可证分配

基于用户身份的策略执行

可以将用户或用户组添加到策略中。 在Cato识别用户身份后,为用户配置的任何策略将在站点和远程同时实施。

注意

注意:使用身份代理时,当用户位于站点后面设定为目的地时,他们不匹配WAN规则。

启用用于用户意识的身份代理

启用账户,以使用Cato的身份代理识别预配置用户。

Enable_UA_Agent.png

要启用身份代理:

  1. 从导航菜单中选择访问 > 用户意识

  2. 选择身份代理部分。

  3. 为您的账户启用身份代理。

    已启用时,开关是绿色的toggle.png

  4. 点击 保存

分配SDP许可

在以下场景中,使用Identity Agent识别用户需要SDP许可证:

  • 在macOS或Linux设备上

  • 从非Azure的IdP提供的用户

  • 手动创建的用户

有关如何分配SDP许可证的更多信息,请参见为用户分配SDP许可证

已知限制

  • 对于使用macOS的设备:

    • 在macOS Ventura (版本13)上,客户端升级到新版本后需要重启设备一次。

    • 如果从客户端删除SDP用户,他们的身份将不会被报告。

  • 对于使用Azure AD SCIM提供用户的帐户:

    • 从Windows客户端v5.4到v5.8,如果用户使用本地AD进行身份验证,只有具有SDP许可证的用户会被Identity Agent识别。 (使用LDAP(例如本地AD或Entra)配置用户的帐户不需要SDP许可)

  • 对于Windows客户端v5.5及更早版本 - 当在未注销的用户之间切换时,Identity Agent无法识别活动用户。

    • 当用户登录到Windows,并且不同的用户登录到设备(开始菜单>切换用户)时,这两个用户当前都已登录到设备。 代理程序仅识别此设备的一个用户

    • 当用户退出Windows设备时,第二个用户登录,然后代理将识别该设备的第二个用户。

    • 终端服务器不受支持

  • 当用户在Client上通过身份验证时,会立即获取Identity,并且客户端中的 Identity Agent报告 时间戳无关紧要。

  • 对于非Azure AD的IdP:

    • 如果从客户端删除SDP用户,他们的身份将不会被报告。

  • User Awareness无法识别已禁用的用户

这篇文章有帮助吗?

2 人中有 0 人觉得有帮助

0 条评论