问题

在为 Cato 门户应用程序实施 Azure 条件访问以限制单点登录 (SSO) 时，由于条件访问策略未满足配置要求，Cato 客户端显示错误消息“您现在无法访问此内容”。

环境

• 在 CMA 中配置 Azure SSO 作为身份验证方法。
• Azure 条件访问用于限制源 IP（位置）或 Cato 应用程序。
• 两者皆为嵌入式或外部浏览器。

故障排查

可以按照以下步骤来解决与 Azure 条件访问相关的 SSO 问题：

1. 了解 SSO 进程流以进行初始认证：
   • 在 Cato 客户端初始连接期间，SSO 身份验证直接在客户端和 IdP 间发生，并不在隧道内进行。 Azure 将在身份验证请求中看到客户端的 ISP IP 地址。
   • 在启用了始终开启的用户或当 SSO 重新认证在 IdP 令牌过期后发生时，客户端和 IdP 间的 SSO 认证在隧道中通过 PoP 进行。 Azure 将在身份验证请求中看到 Cato PoP IP 地址。
2. 在条件访问中访问 Azure 登录日志以分析失败事件。 日志将包括每次身份验证尝试的客户端源 IP 地址。 使用条件访问标签下的“显示详情”选项以获取失败的更多见解。
   
3. 核实条件访问策略配置，包括 Cato 门户应用程序和 Cato PoP IP 范围为排除项。 您可能需要验证策略是否配置正确，且是否允许正确的源 IP 地址和应用程序以顺利进行 SSO 认证。
4. 由于 Microsoft Azure 的权限限制，条件访问策略可能无法正确检测到 Cato 门户应用程序。 如果是这种情况，您将看到成功的身份验证后紧接着一个失败，如下所示。

解决方案

如果条件访问策略包括位置（用户的源 IP），根据用户的始终开启配置定义 IP 地址或 IP 范围：

• 已禁用始终开启（按需）的用户将在认证期间使用客户端的 ISP IP 地址，以及在令牌到期时的重新认证使用 PoP 的 IP 地址。
• 已启用始终开启的用户将在初始认证（安装 Cato 后）期间仅使用客户端的 ISP IP 地址，随后认证请求和重新认证请求时（令牌过期时隧道是开启的）使用PoP的IP地址。
• 对于始终开启的用户，初始认证（安装 Cato 后）也可以通过启用InitialAlwaysOn注册表键来强制使用 Cato 隧道，详见安装 Windows客户端和始终开启。

如果条件访问策略包括排除 Cato 门户应用程序的一刀切策略，请转到 CMA 的单点登录页面并点击Microsoft 凭据，这将提示管理员凭据以再次与 Azure 执行同意。