本文讨论如何为您的账户中的SDP用户配置认证行为和多因素认证 (MFA) 要求。
认证策略定义了用户如何认证到您的账户:MFA,单点登录 (SSO),或者用户名和密码。 此外,您可以选择使用客户端内置浏览器或外部默认操作系统浏览器来选择终端用户的认证体验。
对于Windows和macOS设备,您可以配置用户是使用内嵌浏览器还是外部浏览器进行认证。 默认设置是使用内嵌浏览器,以提供最佳的终端用户体验。 MFA和SSO认证在客户端内完成,然后无缝地将设备连接到Cato云。
有时,账户的网络配置不支持内嵌浏览器。 在这些情况下,您可以将账户设置为使用设备的外部默认操作系统浏览器。 终端用户在客户端中开始连接,然后用户通过操作系统浏览器认证到Cato云。
要设置账户的客户端浏览器认证:
-
在导航菜单中,点击 访问 > 用户身份验证。
-
点击 附加设置 标签。
-
在 浏览器认证 中,选择以下选项之一:
-
内嵌浏览器 - SDP用户在客户端内认证到您的账户
-
外部浏览器 - SDP用户使用操作系统浏览器认证到您的账户
-
-
点击 保存。
以下是选择您的浏览器认证方法时要遵循的最佳实践:
-
推荐使用内嵌浏览器,除非条件访问需要仅外部浏览器支持的浏览器插件。
-
当启用始终开启功能时使用内嵌浏览器以确保功能正常。 使用外部浏览器时,并非所有用于SSO认证所需的域和IP地址都被允许。
-
内嵌浏览器必须在ADFS环境中使用,否则SSO不能用于认证。
-
内嵌浏览器防止与外部浏览器和HSTS执行一起的SSO认证问题。 更多信息,请参阅 SSO使用外部浏览器身份验证失败 | 本地主机错误。
-
使用Okta Verify应用程序在macOS或Windows上进行认证时,请使用外部浏览器。
使用 用户身份验证 界面为连接Cato客户端的账户用户定义认证策略。 对于启用SSO的账户,这是默认认证策略。
这些是认证选项:
-
SSO - 用户使用为您的账户配置的身份提供者 (IdP) 进行SSO认证
-
MFA - 用户必须使用他们通过短信或认证应用获取的代码进行认证 (根据RFC-6238用于MFA)
-
用户名和密码 - 用户通过客户端的用户名和密码进行认证 (无MFA要求)
您还可以选择覆盖个别用户的MFA策略,详见下文 覆盖特定用户的认证设置。
如果您使用目录服务并需要修改用户的手机号码以便进行高级认证,您必须只在IdP中修改电话号码。
注意
注意: 多因素认证 (MFA) 和单点登录 (SSO) 不支持使用 注册码 配置的用户。
处理令牌有效性设置
令牌有效性 > 持续时间 选项取决于运行Cato客户端的设备是否“被信任”,如下所示:
-
如果用户为运行Cato 客户端的设备启用了信任 (通过在连接到Cato云时在客户端中选择 不要在此设备/计算机上再次询问我 选项),那么在持续时间仍然有效且地理位置没有变化到其他国家时,不需要MFA
-
如果用户没有为运行Cato 客户端的设备启用信任 (通过在连接到Cato云时取消选中客户端中的 不要在此设备/计算机上再次询问我 选项),设置的持续时间没有效果,该设备始终需要MFA
注意
注意: 自Windows 客户端v5.12起,客户端的内嵌浏览器能够刷新IdP 令牌。 当IdP令牌过期时,用户不会被提示重新认证。
您可以为特定用户自定义不同的认证设置并覆盖全局认证策略。 编辑一个用户,然后使用认证屏幕为该用户自定义认证方法。
0 条评论
请登录写评论。