配置 SSO 和账户的子域

访问 > 单点登录 屏幕让您为账户选择一个单点登录 (SSO) 提供商。 您可以选择使用此 SSO 提供商对 Cato 客户端、浏览器访问进行用户认证，以及对 Cato 管理应用程序进行管理员认证。

有关支持的 SSO 提供商列表，请参阅 单点登录。

您可以选择为账户中的用户配置不同的SSO 认证设置。 您可以允许用户仅通过 SSO 提供者认证，或者仅通过 Cato 用户凭证认证，或者允许用户选择任一选项进行认证。

对于 Cato 管理应用程序管理员，SSO 提供商用户名（管理员的电子邮件地址）用作认证过程的一部分。 请确保Cato 管理应用程序管理员和SSO提供者账户使用相同的电子邮件地址。

您可以为您的账户配置多个SSO提供者。 更多信息，请参阅 配置多个身份提供者。

使用单点登录窗口配置SSO提供商认证您的账户用户。 您必须拥有管理员权限才能在 Microsoft Azure 和 Okta 中配置 SSO 设置。 有关配置 Azure 和 Okta SSO 的更多信息，请参阅相关的 Microsoft 和 Okta 文档。

当您禁用单点登录时，用户只能通过 Cato 用户凭据进行认证。

您可以选择配置哪些域名被允许通过SSO认证。 基于特定域名限制访问为您的账户提供了增强的安全性。

作为最佳安全性实践，我们建议将SSO令牌的有效期设置为最长30天。 更多有关 SSO 会话行为的信息，请参阅 Windows SDP 客户端的 SSO 会话行为。

使用 SSO 和总是提示

为了提高安全性，您可以启用总是提示功能，以便终端用户在连接到Cato Cloud时始终需要对IdP进行认证。 这也适用于他们与Cato Cloud断开连接时，例如，客户端从一个PoP移动到另一个PoP。

配置设备允许持续连接到Cato Cloud的最长时间，然后强制终端用户重新认证。 当总是提示启用时，当终端用户断开连接并重新连接时，他们将在被迫认证前有完整的时间持续。

注意

注意： 在断开连接时，存在两分钟的宽限期，在此期间，如果用户重新连接到 Cato Cloud，他们保持已认证状态。

使用单点登录窗口配置SSO提供商认证您的账户用户。 您必须拥有管理员权限才能在 Microsoft Azure 和 Okta 中配置 SSO 设置。 有关配置 Azure 和 Okta SSO 的更多信息，请参阅相关的 Microsoft 和 Okta 文档。

当您禁用单点登录时，用户只能通过 Cato 用户凭据进行认证。

您可以选择配置哪些域名被允许通过SSO认证。 基于特定域名限制访问为您的账户提供了增强的安全性。

使用单点登录窗口为Cato管理应用程序和无客户端SDP门户配置子域。 您还可以查看每个登录窗口的网址。

Cato子域不支持顶级域名（TLD），例如sample.com。 您可以在子域中使用字母和数字。 破折号仅在首次创建帐户时有效（子域最初与帐户名称匹配）。 如果您稍后尝试编辑子域，则不再允许使用破折号，并且您将收到错误消息。