本文解释了Windows客户端连接到Cato PoP的流程。
在客户端连接到Cato PoP之前,它会根据您的客户端策略配置执行各种检查。 这确保只有符合您安全要求的用户和设备才能连接到网络。 以下流程图详细说明了这些检查的顺序以及如果检查失败或未启用时客户端的行为。
以下流程图展示了Windows客户端在启用或禁用预登录时如何连接到Cato PoP。
预登录 提供在用户认证之前访问允许的目的地。 例如,一旦设备可以连接到互联网,它就可以访问您的 AD,以便将用户凭据保存到设备中。 所有其他互联网访问被阻止。
注意
注意: 当使用外部浏览器并启用始终开启时,与任何支持的IdP关联的任何域名都可能在未经身份验证的状态下访问。 例如,用户将能够访问google.com,以确保他们可以进行认证,如果Google是他们的IdP。
- 在 预登录状态中,设备已预先配置了 Cato 客户端、一个受信任的证书,并且 Windows 注册表配置为账户名称。 用户未经认证,客户端可以连接到 PoP 验证证书。 如果证书有效,则建立足够信任,允许客户端通过 PoP 访问允许的目的地,即使用户未经认证。
- 始终开启确保客户端始终连接到 PoP,所有流量均由 Cato 的安全引擎检查。 客户端自动尝试使用最后一个连接到客户端的用户的凭据进行认证和连接。 客户端检查设备启动后是否启用了始终开启(如果用户凭据保存在设备上),以及用户签入设备后是否启用。 一旦用户认证完毕且客户端已连接,客户端无法被断开。
- 启用开机时连接时,在设备启动阶段,客户端自动尝试使用最后一个连接到客户端的用户的凭据进行认证和连接。 客户端连接后,用户可以断开客户端。 在设备启动(仅当用户凭据保存在设备上时)和用户签入设备后,客户端检查是否启用了开机时连接。
- 客户端连接策略 定义设备在连接到网络之前要执行的设备检查。 这确保只有符合安全要求的设备才能连接。 您还可以将用户配置为仅拥有安全的互联网访问或安全的互联网访问和一个私有网络(WAN)。
-
这些检查包括:
- 设备检查 定义设备必须满足的最低要求才能连接到您的网络。 客户端运行检查以验证设备的安全状态。
- 设备的地理位置
- 设备的操作系统
- 用户的认证状态
- 用户可以使用SSO、MFA或用户名和密码进行认证。 用户认证后,由 PoP 生成 Cato Token 验证用户已被认证,以便客户端能保持与 Cato 云的连接。 您可以配置Cato认证令牌的有效时间。 客户端可以通过使用Windows凭据自动认证,使此步骤对用户无缝衔接。
0 条评论
文章评论已关闭。