本文讨论了关于IdP令牌和Cato令牌的单点登录 (SSO) 认证会话在Windows客户端中的行为。
终端用户基于Cato的认证令牌对Cato客户端进行认证。 此令牌的持续时间在Cato管理应用程序中配置。 IdP认证令牌的持续时间基于IdP的设置。 这些令牌的开始时间没有同步,所以即使设置为相同的持续时间,它们通常会在不同时间过期。 当两个令牌都过期时,用户必须重新认证至IdP。 更多关于SDP用户会话到期的信息,请参阅Understanding Expiring Session for SDP Users。
本文解释了当Cato令牌过期而IdP令牌仍然有效时客户端的行为。 此行为根据客户端的版本不同而不同。
注意
注意:
-
对于所有客户端版本,只要Cato令牌有效,用户将被认证(即使IdP令牌已过期)。
-
对于设置令牌有效性为总是提示而不是持续时间的账户,SDP用户每次连接客户端时必须对IdP进行认证。 IdP令牌被忽略。
更多关于SSO认证会话的信息,请参阅Configuring SSO and the Subdomain for the Account。
本节描述了在Windows客户端v5.0及更高版本中,当Cato令牌过期而IdP令牌仍然有效时,客户端如何自动重新认证。
在Cato令牌到期前10分钟,客户端尝试自动重新认证至IdP,对终端用户没有影响或消息。 当IdP令牌有效时,客户端自动重新认证,Cato基于账户的令牌持续时间设置生成新的SSO令牌。
您可以在Cato管理应用程序(访问 > 单点登录)中配置Cato令牌的有效时间。 有关用户体验和令牌到期的更多信息,请参阅Understanding Expiring Session for SDP Users。
如果两个令牌都过期,终端用户将认证到IdP,然后生成新的Cato令牌。
这是Windows客户端v5.0及更高版本会话行为的示例。
-
用户通过输入IdP凭据(用户名和密码)认证至客户端。 IdP为用户生成SSO令牌。
-
生成Cato令牌的持续时间为10天(基于Cato管理应用程序中的单点登录设置)。
-
10天后 - 在Cato令牌过期前10分钟,客户端尝试静默认证至IdP令牌。
-
如果IdP令牌有效,客户端自动重新认证,对用户无影响(会话不被中断)。 Cato令牌再有效10天。
-
如果IdP令牌已过期,用户将被提示认证至IdP,然后Cato令牌再有效10天(会话不被中断)。
如果用户未重新认证至IdP,则会话在剩余的10分钟结束后到期。
-
当用户的会话即将过期时,客户端会显示消息给用户,以便他们轻松重新认证。 此消息的目的是提供最佳用户体验,因此消息行为取决于IdP和Cato令牌的设置。
下表解释了基于Cato和IdP令牌的不同持续时间设置的SDP用户的重新认证体验。
|
IdP令牌持续时间 |
Cato令牌持续时间 |
客户端消息行为 |
SDP用户体验 |
|---|---|---|---|
|
2天 |
7天 |
IdP令牌已过期。 客户端在Cato令牌到期前24小时显示消息。 |
SDP用户点击重新连接到首选 POP并重新认证至IdP。 |
|
7天 |
2天 |
IdP令牌仍然有效。 客户端在Cato令牌到期前的24小时显示消息。 |
SDP用户点击重新连接到首选 POP,客户端自动重新认证至IdP。 |
|
23小时 |
3天 |
IdP令牌已过期。 客户端在Cato令牌到期前24小时显示消息。 |
|
|
23小时 |
36小时 |
SDP用户点击重新连接到首选 POP,客户端自动重新认证至IdP。 |
|
|
23小时 |
14小时 |
SDP 用户点击 重新连接到首选 POP,客户端自动重新认证到 IdP。 |
本部分描述了当 Cato 令牌过期且 IdP 令牌仍然对 Windows客户端 4.7 及更早版本有效时,终端用户如何重新认证。 客户端自动断开连接,终端用户点击 连接,然后客户端使用有效的 IdP 令牌自动重新认证。 您可以在 Cato 管理应用程序(访问 > 单点登录)中配置 Cato 令牌的有效时间。
0 条评论
请登录写评论。