Configuración de múltiples proveedores de identidad

Puede configurar múltiples proveedores de identidad (IdPs) para aprovisionar y autenticar a los usuarios con SSO en su cuenta. Este artículo explica cómo configurar más de un IdP en su cuenta.

Visión general

Si su organización gestiona usuarios a través de múltiples IdPs, todos pueden integrarse con Cato para que no necesite combinar sus usuarios en un solo inquilino. Puede aprovisionar usuarios de múltiples IdPs (o múltiples inquilinos del mismo IdP), configurar múltiples proveedores SSO y luego mapear qué usuarios se autentican con cada proveedor.

Cuando un usuario inicia sesión en el Cliente Cato, o en Acceso al navegador, solo se les presenta el proveedor SSO configurado para ellos.

Caso de uso - Fusión de empresas

La empresa ABC utiliza Microsoft Azure como su IdP y se ha fusionado con la empresa XYZ, que utiliza Okta como su IdP. Ambas empresas usan Cato como su solución de acceso remoto. En lugar de migrar a todos los usuarios de un IdP a otro, la empresa comienza a aprovisionar usuarios de ambos Azure y Okta y los configura ambos como métodos de autenticación SSO para los usuarios remotos. Configurar múltiples IdPs asegura que todos los usuarios puedan autenticarse en el Cliente Cato sin migrar ningún dato.

Configuración de múltiples IdPs

Siga estos pasos para configurar múltiples IdPs:

  1. Configure múltiples directorios SCIM

  2. Configure múltiples proveedores SSO en su cuenta

  3. Mapee directorios a un proveedor SSO

Paso 1: Configure múltiples directorios SCIM

Directory_Services.png

En la página de Acceso > Servicios de Directorio, haga clic en Nuevo para agregar más de un directorio SCIM para aprovisionar usuarios de múltiples fuentes. Para más información sobre cómo aprovisionar usuarios con SCIM, consulte Aprovisionamiento de usuarios con SCIM. El UPN y el ID del objeto deben ser únicos en todos los servicios de directorio SCIM.

Paso 2: Agregar múltiples proveedores SSO a su cuenta

Puede agregar más de un proveedor de identidad para usar en su cuenta. El proveedor designado como Predeterminado es utilizado por el administrador para iniciar sesión en la CMA. No se admiten múltiples proveedores SSO para que el administrador inicie sesión en la CMA.

Multiple_providers.png

Para agregar múltiples proveedores SSO a su cuenta:

  1. Desde el menú de navegación, seleccione Acceso > Single Sign-On.

  2. Haga clic en Nuevo.

    Se abre el panel de Agregar Método de Autenticación.

  3. Seleccione el proveedor de identidad que desea agregar y agregue un nombre.

  4. (Opcional) Para hacer de este proveedor de identidad el proveedor predeterminado para su cuenta, habilite el interruptor de Predeterminado.

  5. Agregue los Detalles de Autenticación del proveedor de identidad. Cada proveedor tiene diferentes requisitos de configuración. Para más información sobre cómo configurar un proveedor de identidad, consulte el artículo de configuración para el proveedor de identidad.

    Nota: Si su proveedor de identidad es Azure, haga clic en Aplicar y luego haga clic en Guardar. Luego edite la entrada para que el enlace Configurar consentimiento de Microsoft esté habilitado.

  6. Seleccione Permitir inicio de sesión con Single Sign-On para uno o más tipos de usuarios en su cuenta:

    • Usuarios de Cliente SDP (configure las opciones de Validez del Token)

    • Usuarios de SDP sin cliente (configure el tipo de cookie)

    • Administradores de la Aplicación de Gestión de Cato

  7. Haga clic en Aplicar y luego haga clic en Guardar.

Paso 3: Mapee directorios a un proveedor SSO

En la página de Autenticación de Usuarios, puede definir el método de autenticación predeterminado para sus usuarios. Si selecciona SSO, por defecto se selecciona la opción Todos los Servicios de Directorio. Con esta configuración, todos los usuarios se autentican con el proveedor SSO predeterminado. Puede cambiar esta configuración y mapear qué directorio debería usar cada proveedor SSO.

En la pestaña de Configuraciones adicionales puede configurar el navegador (integrado o externo) que se usa para la autenticación en el Cliente y el aviso de Re-autenticación. Para más información, consulte Configuración de la Política de Autenticación para Clientes Cato.

User_Authentication.png

Para mapear directorios a un proveedor SSO:

  1. Desde el menú de navegación, seleccione Acceso > Autenticación de Usuarios.

  2. Haga clic en el menú desplegable de Método Predeterminado y seleccione SSO.

  3. Elija Servicios de Directorio Seleccionados.

  4. Haga clic en Nuevo.

    Se abre el panel Nuevo Proveedor de Servicios de Directorio SSO.

  5. Haga clic en el menú desplegable de Servicios de Directorio y elija el método de aprovisionamiento de los usuarios que desea mapear.

  6. Haga clic en el menú desplegable de Proveedor de Single Sign-On y elija el proveedor que se utilizará.

  7. Haga clic en Aplicar y luego haga clic en Guardar.

Deshabilitar un proveedor de identidad

Puede deshabilitar un proveedor de identidad que ya no es necesario en su cuenta. Después de que el proveedor de identidad sea deshabilitado, no podrá ser utilizado por los usuarios para iniciar sesión en el Cliente Cato.

Disable.png

Para deshabilitar un proveedor de identidad

  1. Desde el menú de navegación, seleccione Acceso > Single Sign-On.

  2. Haga clic en el proveedor de identidad que desea deshabilitar.

  3. Cambie el interruptor de Habilitado a apagado.

  4. Haga clic en Aplicar y luego haga clic en Guardar.

Entendiendo la experiencia del usuario

No hay impacto en los usuarios si se configuran múltiples proveedores de identidad para su cuenta. Después de que un usuario ingresa su dirección de correo electrónico para iniciar sesión, el Cliente muestra la página de inicio de sesión del proveedor SSO asignado al usuario.

Limitaciones conocidas

  • Soportado solo para aprovisionamiento de usuarios SCIM o manual

  • Una vez configurado, un IdP no se puede eliminar.

    • Un IdP puede ser deshabilitado

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios