使用Cato身份代理进行用户意识

本文解释了如何启用Cato身份代理以提高用户意识，并提供识别站点后面的用户的能力。身份代理支持Windows、macOS和Linux客户端。

概览

了解用户身份是零信任网络架构（ZTNA）的关键组成部分——在任何时间识别用户、控制用户访问和监控用户活动都是必不可少的。用于用户意识的身份代理识别在Socket或办公室模式下的用户。它使用Cato Client的框架获取用户信息，并定期（大约每30秒）向PoP报告此身份。任何IP地址的更改都会立即被检测并报告。

客户端安装在设备上并在后台运行（无需建立隧道），并向Cato Cloud提供用户身份。

无 ZTNA 许可证的增强用户意识

从以下版本开始，Cato已经扩展了用户意识，无需ZTNA许可证。用户可以在办公室时使用Cato客户端进行身份验证，这将创建一个Cato令牌，用于更准确地识别用户以制定策略和用户归属，并涵盖所有IdP。

Cato 客户端适用于 Windows v5.18 及更高版本
Cato 客户端 macOS v5.11 和更高版本

先决条件

身份代理的客户端先决条件和要求基于为您的账户配置的 IdP 以及您使用的客户端版本。

增强用户意识的先决条件，无需 ZTNA 许可证

	Windows 客户端 v5.18 及更高版本	macOS v5.11 和更高版本	Linux 客户端
支持的任何 IdP	支持一次性初始认证	支持一次性初始认证	不支持

Linux 和旧版 Windows 及 macOS 客户端版本的先决条件（不支持增强用户意识）

	Windows 客户端 v5.10到v5.17	macOS 客户端 v5.6到v5.10	Linux 客户端 v5.2 及更高版本
Entra ID 与 LDAP Entra ID 与 SCIM Microsoft Intune	支持	支持*	支持*
其他 IdP（例如 Okta）和手动创建的用户	支持*	支持*	支持*

Windows 客户端 v5.10到v5.17

macOS 客户端 v5.6到v5.10

Linux 客户端 v5.2 及更高版本

Entra ID 与 LDAP

Entra ID 与 SCIM

Microsoft Intune

支持

支持*

其他 IdP（例如 Okta）和手动创建的用户

支持*

* 每个用户需要 SDP 许可证和一次性初始认证到客户端。
有关如何分配 SDP 许可证的更多信息，请参见分配 ZTNA 许可证给用户。

实施 Cato 身份代理进行用户意识解决方案的概览

这是在您的账户中实施用户意识身份代理过程的高层次概述：

在 访问 > 目录服务 屏幕上，为您的账户配置用户。
在完成用户和用户组的提供后，创建包含它们的规则和策略。
1. 在设备上为相关用户安装客户端。用户登录设备后，客户端每 30 秒开始向 Cato 云报告身份。
对于 Linux 客户端，为用户和用户组分配 SDP 许可证。有关如何分配 SDP 许可证的更多信息，请参见分配 SAP 许可证给用户。

基于用户身份实施策略

可以将用户或用户组添加到策略中。在Cato识别用户身份后，为用户配置的任何策略将在站点和远程同时实施。

注意: 使用Identity Agent时，在某个站点后的用户在被设为目的地的WAN规则中不匹配。

启用用户意识身份代理

启用账户，以使用Cato的身份代理识别预配置用户。

启用身份代理：

从导航菜单中，选择 访问 > 用户意识。
选择 身份代理 部分。
为您的账户启用身份代理。

开关启用时为绿色。
点击新建。

已知限制

对于使用macOS的设备：
- 在macOS Ventura (版本13)上，客户端升级到新版本后需要重新启动设备一次
- 如果您从客户端中删除用户，用户身份将不会被报告
当用户在Client上通过身份验证时，会立即获取Identity，并且客户端中的 Identity Agent报告 时间戳无关紧要。
对于不是Entra ID的其他IdP：
- 如果从客户端删除用户，用户的身份将不会被报告。
User Awareness无法识别已禁用的用户