Configuración de múltiples proveedores de identidad

Puede configurar múltiples proveedores de Identidad (IdPs) para aprovisionar y autenticar usuarios con Inicio de sesión único (SSO) en su Cuenta. Este artículo explica cómo configurar más de un IdP en su cuenta.

Resumen

Si su organización gestiona usuarios a través de múltiples IdPs, todos pueden integrarse con Cato para que no necesite combinar sus usuarios en un único inquilino. Puede aprovisionar usuarios desde múltiples IdPs (o múltiples inquilinos desde el mismo IdP), configurar múltiples proveedores de SSO y luego mapear qué usuarios se autentican con cada proveedor.

Cuando un usuario inicie sesión en el Cliente Cato, o Acceso por Navegador, solo se le presentará el proveedor de SSO configurado para él.

Nota

Nota: Configurar múltiples proveedores de identidad no debe usarse como un método para migrar usuarios de una instancia de IdP existente. Para mover una instancia existente de un IdP a otro, siga estas instrucciones.

Caso de Uso - Fusión de Compañías

La empresa ABC utiliza Microsoft Azure como su IdP y se ha fusionado con la empresa XYZ que utiliza Okta como su IdP. Ambas empresas utilizan Cato como su solución de acceso remoto. En lugar de migrar todos los usuarios de un IdP a otro, la empresa comienza a aprovisionar usuarios tanto desde Azure como desde Okta y los configura como métodos de autenticación SSO para usuarios remotos. Configurar múltiples IdPs asegura que todos los usuarios puedan autenticarse en el Cliente Cato sin migrar ningún dato.

Configuración de múltiples IdPs

Siga estos pasos para configurar múltiples IdPs:

Configurar múltiples directorios SCIM
Configure múltiples proveedores de SSO en su cuenta
Mapear directorios a un proveedor de SSO

Paso 1: Configure múltiples directorios SCIM

En la página Acceso > Servicios de Directorio, haga clic en Nuevo para agregar más de un directorio SCIM para aprovisionar usuarios desde múltiples fuentes. Para obtener más información sobre cómo aprovisionar usuarios con SCIM, consulte Aprovisionamiento de Usuarios SCIM. El UPN y el ID de objeto deben ser únicos en todos los Servicios de Directorio SCIM.

Paso 2: Agregar múltiples proveedores de SSO a su Cuenta

Puede agregar más de un proveedor de identidad para ser utilizado en su cuenta. El proveedor designado como Predeterminado es utilizado por el administrador para iniciar sesión en la Aplicación de Gestión de Cato. No se admiten múltiples proveedores de SSO para que el administrador inicie sesión en la Aplicación de Gestión de Cato.

Para agregar múltiples proveedores de SSO a su cuenta:

En el menú de navegación, seleccione Acceso > Inicio de Sesión Único.
Haga clic en Nuevo.

Se abre el panel Agregar método de autenticación.
Seleccione el proveedor de identidad que desea agregar y agregue un nombre.
(Opcional) Para hacer de este proveedor de identidad el proveedor predeterminado para su cuenta, habilite el toggle Predeterminado.
Agregue los Detalles de autenticación del proveedor de identidad. Cada proveedor tiene distintos requisitos de configuración. Para obtener más información sobre cómo configurar un proveedor de identidad, consulte el artículo de configuración para el proveedor de identidad.

Nota: Si su proveedor de identidad es Azure, haga clic en Aplicar y luego haga clic en Guardar. Luego edite la entrada para el Setup Microsoft Consent link para que esté habilitada.
Seleccione Permitir inicio de sesión con Inicio de Sesión Único para uno o más tipos de usuarios en su cuenta:
- Usuarios del cliente SDP (establecer las configuraciones de Validez del Token)
- Usuarios SDP sin Cliente (establecer el tipo de cookie)
- Administradores de la Aplicación de Gestión de Cato
Haga clic en Aplicar y luego haga clic en Guardar.

Paso 3: Mapear Directorios a un Proveedor de SSO

En la página Autenticación de Usuario, puede definir el método de autenticación predeterminado para sus usuarios. Si selecciona SSO, por defecto se selecciona la opción Todos los Servicios de Directorio. Con esta configuración, todos los usuarios se autentican con el proveedor de SSO predeterminado. Puede cambiar esta configuración y mapear qué directorio debe usar cada proveedor de SSO.

En la pestaña Configuración adicional puede configurar el navegador (integrado o externo) que se utiliza para autenticar en el Cliente y la solicitud de re-autenticación. Para más información, consulte Configuración de la Política de Autenticación para Clientes Cato.

Para mapear directorios a un proveedor de SSO:

En el menú de navegación, seleccione Acceso > Autenticación de Usuario.
Haga clic en el menú desplegable Método Predeterminado y seleccione SSO.
Elija Servicios de Directorio Seleccionados.
Haga clic en Nuevo.

Se abre el panel Nuevo proveedor de SSO de servicio de directorio.
Haga clic en el menú desplegable Servicios de Directorio y elija el método de aprovisionamiento de los usuarios que desea mapear.
Haga clic en el menú desplegable Proveedor de inicio de sesión único y elija el proveedor a utilizar.
Haga clic en Aplicar y luego haga clic en Guardar.

Deshabilitar un proveedor de identidad

Puede deshabilitar un proveedor de identidad que ya no sea necesario en su cuenta. Después de deshabilitar el proveedor de identidad, no se podrá utilizar para que los usuarios inicien sesión en el Cliente Cato.

Para deshabilitar un proveedor de identidad

En el menú de navegación, seleccione Acceso > Inicio de Sesión Único.
Haga clic en el proveedor de identidad que desea deshabilitar.
Apague el toggle Activado.
Haga clic en Aplicar y luego haga clic en Guardar.

Entendiendo la Experiencia del Usuario

No hay impacto en los usuarios si se configuran múltiples proveedores de identidad para su cuenta. Después de que un usuario ingresa su dirección de correo electrónico para iniciar sesión, el Cliente muestra la página de inicio de sesión del proveedor de SSO asignado al usuario.

Limitaciones Conocidas

Soportado solo para aprovisionamiento de usuarios SCIM o manual
Una vez configurado, un IdP no puede ser eliminado.
- Un IdP puede ser deshabilitado