Configurando sincronización LDAP y SSO con OneLogin

Este artículo explica cómo utilizar LDAP para importar y sincronizar usuarios de OneLogin y configurar OneLogin como un proveedor de Inicio de Sesión Único para usuarios de Cato.

El inicio de sesión único (SSO) se basa en un token cifrado de Cato y su IdP para validar que el Usuario está autenticado y permitido para conectarse a la red. Para más detalles, consulte Autenticación de SSO para Usuarios con Cato.

Visión General de Alto Nivel de Sincronización LDAP y SSO con OneLogin

Esta es una visión general de alto nivel del proceso para configurar e integrar OneLogin con tu cuenta de Cato. Después de configurar OneLogin para sincronizar usuarios con Cato, también puedes configurar OneLogin como proveedor de SSO para los usuarios.

  1. En OneLogin, configurar la configuración virtual de LDAP.
  2. En la Aplicación de Gestión de Cato, agregar el dominio de OneLogin a tu cuenta.
  3. Agregar el controlador de dominio de OneLogin al dominio.
  4. En OneLogin, crear una aplicación de OpenID Connect para permitir que Cato use OneLogin para autenticar a los usuarios.
  5. Importar los grupos (roles de OneLogin) a tu cuenta.
  6. Seleccionar OneLogin como el proveedor de SSO para los usuarios.

Nota

Nota: Para usar OneLogin como proveedor de SSO, debes configurar la sincronización LDAP entre OneLogin y Cato. Esto requiere que el servicio VLDAP esté habilitado en tu cuenta de OneLogin.

Configurando los Ajustes de LDAP Virtual

Para habilitar SSO y sincronización LDAP para OneLogin y tu cuenta de Cato, usa la ventana de Autenticación en OneLogin para habilitar LDAP virtual y desactivar la autenticación de múltiples factores (MFA). Esta ventana también tiene los ajustes de Login DN que usas para configurar el dominio en la Aplicación de Gestión de Cato.

VPN SSO requiere que el servicio VLDAP de OneLogin esté habilitado. Si solo estás usando OneLogin para sincronización LDAP, entonces no necesitas habilitar VLDAP.

Debido a una limitación de OneLogin, cada sincronización LDAP está limitada a 500 usuarios. Para cuentas con más de 500 usuarios, ejecuta la sincronización LDAP varias veces.

Para configurar la configuración virtual de LDAP en OneLogin:

  1. En OneLogin, desde la barra de menú, selecciona Autenticación > VLDAP.

    OneLogin_VLDAP.png
  2. Para cuentas que están usando SSO, asegúrate de que Enable VLDAP Service esté habilitado.
  3. Limpiar autenticación de múltiples factores para deshabilitar MFA para tu cuenta de OneLogin.
  4. En Nombre distinguido virtual, copiar el DN Virtual. Ingresarás el DN virtual enAgregar un Nuevo Dominio para OneLogin (abajo).
  5. Haz clic en Guardar. La configuración virtual de LDAP está activa.

Configurando la Aplicación de Gestión de Cato para Realizar Sincronización LDAP con OneLogin

Añade tu cuenta de OneLogin a la Aplicación de Gestión de Cato como un nuevo dominio en Servicios de Directorio. Luego define el controlador de dominio para este dominio.

Agregar un Nuevo Dominio para OneLogin

Usa la ventana de Servicios de Directorio para añadir un nuevo dominio a tu cuenta. Luego configura los ajustes LDAP de OneLogin para el dominio.

Para agregar un nuevo dominio OneLogin a Servicios de Directorio:

  1. Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.

  2. Desde la sección o pestaña LDAP, y haz clic en Nuevo.

    Se abre el panel Nuevo Servicio de Directorio.

  3. Ingresar el Nombre del dominio en el servidor LDAP.

  4. Configura los ajustes de autenticación de OneLogin en la sección Conexión de Autenticación LDAP en Login DN:

    OneLogin_LDAP_Details.png
    1. En DN de Inicio de Sesión, pegar el LDAP virtual que copiaste arriba en Configuración de la Configuración Virtual de LDAP.
    2. Modificar el cn a la dirección de correo electrónico para tu cuenta de OneLogin.

    3. En Base DN, pega el LDAP virtual y elimina el cn y ou. La captura de pantalla anterior muestra estos ajustes:

      • DN de Inicio de Sesión: cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com
      • DN Base: dc=sample-networks,dc=onelogin,dc=com
    4. Ingresar la Contraseña de administrador para tu cuenta de OneLogin.
    5. Habilitar Usar SSL.
  5. Haz clic en Guardar. El dominio de OneLogin es agregado a la Aplicación de Gestión de Cato.
  6. Haz clic en Probar Conexión para asegurar que Cato puede conectarse a tu cuenta de OneLogin.

Configurando el Controlador de Dominio para OneLogin

Después de configurar y guardar el dominio de OneLogin, configura los ajustes para el controlador de dominio. Usa el ajuste de host que sea adecuado para tu cuenta de OneLogin:

  • Estados Unidos - ldap.us.onelogin.com
  • Europa - ldap.eu.onelogin.com

Para más información sobre la configuración de host de OneLogin, consulta la documentación de OneLogin.

Para configurar el controlador de dominio:

  1. Desde la sección o pestaña LDAP, editar el dominio para tu cuenta de OneLogin.
  2. Desde el menú de navegación de Editar Servicio de Directorio LDAP, seleccionar Controladores de Dominio.

  3. Desde la ventana desplegable, selecciona IP o Host.

    OneLogin_DCOM.png

  4. Introduce el host de OneLogin para EE.UU o Europa y haz clic en Añadir.

    Dado que SSL está habilitado para el dominio, el host usa el puerto 636.

  5. Haz clic en Guardar y Cerrar. El controlador de dominio es agregado al dominio de OneLogin.

Configurando la Aplicación OneLogin para OpenID Connect

Crea una nueva aplicación en OneLogin que permita a Cato usar OneLogin para autenticar usuarios SDP. Luego configúralo para conectar con Cato.

Nota

Nota: Hay una aplicación heredada de Cato Networks en el mercado de OneLogin que actualmente no es compatible. Recomendamos que no uses esta aplicación.

Creando una Nueva Aplicación

Crea una nueva aplicación de Open ID Connect en OneLogin.

Para crear la aplicación de OpenID Connect:

  1. En tu cuenta de OneLogin, desde la barra de menú seleccionar Aplicaciones > Aplicaciones.
  2. Haz clic en Agregar Aplicación.
  3. Buscar OpenId Connect y seleccionar la aplicación.
  4. En la ventana Añadir OpenID Connect (OIDC), ingresar el Nombre para mostrar de la aplicación.
  5. Haz clic en Guardar.

Configurando la Aplicación OpenID Connect

Configura la aplicación OneLogin a Cato para soportar SSO para los usuarios SDP. Cato realiza la sincronización LDAP con OneLogin según los roles y no según los grupos de OneLogin.

Para los nuevos usuarios SDP con Windows Client v5.1 y superior, hay un URI de redireccionamiento adicional para configurar para la aplicación de OneLogin. Este URI no es requerido para versiones anteriores, o para usuarios existentes que están actualizando al Cliente Windows v5.1 o superior.

Para configurar la aplicación para conectarse a Cato:

  1. Desde el menú de navegación a la izquierda, seleccionar Configuración.

  2. En URIs de Redirección, introduce estos URIs:

    • https://sso.via.catonetworks.com/auth_results
    • https://sso.proxy.catonetworks.com/auth_results
    • https://auth.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.us1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.in1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.jp1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.catonetworks.com/endsession/callback
    • https://auth.in1.catonetworks.com/endsession/callback
    • https://auth.jp1.catonetworks.com/endsession/callback
    • https://auth.us1.catonetworks.com/endsession/callback

    • (para nuevos usuarios remotos para Cliente Windows)

      • https://sso.ias.catonetworks.com/auth_results
      • https://169.254.255.254/auth_results
  3. Desde el menú de navegación a la izquierda, selecciona SSO, y configura estos ajustes de SSO:
    1. Ajusta el Tipo de Aplicación a Web.
    2. Ajusta el Método de Autenticación a POST.
    3. Copia el ID de Cliente y el Secreto de Cliente. Pegar estas configuraciones en la sección Configuración de OneLogin como el Proveedor de SSO para Usuarios SDP abajo.
  4. Haz clic en Guardar.
  5. Añade la aplicación a los usuarios y roles relevantes de OneLogin.
  6. Realiza la sincronización LDAP inicial. En la Aplicación de Gestión de Cato, en la pantalla de Servicios de Directorio, haz clic en Sincronizar Ahora.

Configurando OneLogin como el Proveedor de SSO para Usuarios SDP

En la Aplicación de Gestión de Cato, puede configurar OneLogin como el proveedor global de SSO para usuarios y administradores de SDP en su cuenta.

Para los administradores, asegúrese de que el correo electrónico del administrador de CMA sea el mismo que la dirección de correo electrónico en OneLogin.

Para configurar OneLogin como el proveedor de SSO:

  1. Desde el menú de navegación, selecciona Acceso > Inicio de Sesión Único.
  2. Haz clic en Nuevo
  3. Desde el menú desplegable de Proveedor de Identidad, selecciona OneLogin.
  4. Introduce un Nombre.

  5. Introduce estos ajustes:

    • ID de Cliente - como copiaste de OneLogin anteriormente
    • Editar Secreto de Cliente - como copiaste de OneLogin anteriormente
    • Prefijo del Dominio de OneLogin - tu dominio como se definió en tu cuenta de OneLogin
    • Sufijo del Dominio de OneLogin - selecciona onelogin.com
  6. Si estás configurando un único proveedor de Inicio de Sesión Único, habilita el interruptor Por Defecto. Si está configurando múltiples proveedores de Autenticación Única, consulte Configuración de Múltiples Proveedores de Identidad.
  7. Haga clic en Aplicar.

  8. Seleccione Permitir inicio de sesión con inicio de sesión único para uno o más tipos de usuarios en su cuenta:

    • Usuarios del cliente SDP (configurar la configuración de Validez del token)
    • Usuarios SDP sin cliente (configurar el tipo de cookie)
    • Administradores de la aplicación de gestión de Cato
  9. Haz clic en Guardar. OneLogin está configurado como el proveedor de SSO para los usuarios de SDP en su cuenta.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios