本文讨论了如何为您的账户中的 SDP 用户配置认证行为和多因素认证 (MFA) 要求。
对于 Windows 和 macOS 设备,您可以配置用户是否使用嵌入式浏览器或外部浏览器进行认证。 默认设置是使用嵌入式浏览器,它提供最佳的终端用户体验。 MFA 和 SSO 认证在客户端内完成,然后设备无缝连接到 Cato Cloud。
有时,账户的网络配置不支持嵌入式浏览器。 在这些情况下,您可以将账户设置为使用设备的外部默认操作系统浏览器。 终端用户在客户端开始连接,然后用户使用操作系统浏览器认证到 Cato Cloud。
要为账户设置客户端浏览器认证:
-
在导航菜单中,点击访问 > 用户认证。
-
点击附加设置标签。
-
在浏览器认证中,选择以下选项之一:
-
嵌入式浏览器 - SDP 用户在客户端内认证到您的账户
-
外部浏览器 - SDP 用户使用操作系统浏览器认证到您的账户
-
-
点击保存。
以下是选择浏览器认证方法时遵循的最佳实践:
-
推荐使用嵌入式浏览器,除非条件访问需要仅通过外部浏览器支持的浏览器插件。
-
启用时使用嵌入式浏览器以确保其正常功能。 使用外部浏览器时,并非所有用于 SSO 认证的域名和 IP 地址都允许使用。
-
嵌入式浏览器必须在 ADFS 环境中使用,否则不能使用 SSO 进行认证。
-
嵌入式浏览器能够防止使用外部浏览器和 HSTS 强制执行时出现 SSO 认证的问题。 更多信息,请参阅 使用外部浏览器时 SSO 认证失败 | localhost 错误。
-
使用 Okta Verify 应用程序时,建议使用外部浏览器进行认证,无论是在 macOS 还是 Windows 上。
使用用户认证屏幕为通过 Cato 客户端连接的用户定义认证策略。 对于启用 SSO 的账户,这是默认的认证策略。
这些是认证选项:
-
SSO - 用户使用为您账户配置的身份提供商 (IdP) 进行 SSO 认证
-
MFA - 用户必须使用从 SMS 或认证应用程序收到的代码认证(根据 MFA 的 RFC-6238)。
-
用户名和密码 - 用户使用客户端的用户名和密码认证(不需要 MFA)。
您还可以选择为个别用户覆盖 MFA 策略,见下 为特定用户覆盖认证设置。
如果您使用目录服务,并且需要修改用户的手机号码用于高级认证,您只能在 IdP 中修改该电话号码。
注意事项
注意: 使用注册码注册的用户不支持多因素认证 (MFA) 和单点登录 (SSO)。
处理令牌有效性设置
令牌有效性 > 时长选项取决于运行 Cato 客户端的设备是否“受信任”,如下面所示:
-
如果用户为运行 Cato 客户端的设备启用了信任(通过在客户端连接到 Cato Cloud 时选择此设备/计算机不再询问我选项),则如果时长仍然有效且地理位置没有更改到不同国家,则不需要 MFA
-
如果用户没有为运行 Cato 客户端的设备启用信任(通过在客户端连接到 Cato Cloud 时清除此设备/计算机不再询问我选项),时长设置无效且始终需要 MFA
注意事项
注意: 从 Windows 客户端版本 v5.12 开始,客户端的嵌入式浏览器能够刷新 IdP 令牌。 当 IdP 令牌过期时,用户无需重新认证。
您可以为特定用户自定义不同的认证设置,并覆盖全局认证策略。 编辑用户,然后使用认证屏幕为该用户自定义认证方法。
0 条评论
请登录写评论。