Configurando múltiples proveedores de identidad

Puedes configurar varios proveedores de identidad (IdP) para aprovisionar y autenticar usuarios con Inicio de Sesión Único (SSO) en tu cuenta. Este artículo explica cómo configurar más de un IdP en tu cuenta.

Resumen

Si tu organización gestiona usuarios en varios IdP, todos pueden integrarse con Cato para que no sea necesario combinar a tus usuarios en un solo tenant. Puedes aprovisionar usuarios de múltiples IdP (o múltiples tenants del mismo IdP), configurar múltiples proveedores de SSO y luego mapear qué usuarios se autentican con cada proveedor.

Cuando un usuario inicia sesión en el Cliente de Cato, o Acceso por Navegador, solo se le presenta el Proveedor de SSO configurado para él.

Nota

Nota: Configurar múltiples proveedores de identidad no debe utilizarse como método para migrar usuarios de una instancia de IdP existente. Para mover una instancia existente de un IdP a otro, siga estas instrucciones.

Caso de uso - Fusión de empresas

La empresa ABC utiliza Microsoft Azure como su IdP y se ha fusionado con la empresa XYZ, que utiliza Okta como su IdP. Ambas empresas utilizan Cato como su solución de acceso remoto. En lugar de migrar a todos los usuarios de un IdP a otro, la empresa comienza a aprovisionar usuarios de ambos Azure y Okta, y los configura ambos como métodos de autenticación SSO para usuarios remotos. Configurar múltiples IdP asegura que todos los usuarios puedan autenticarse en el Cliente Cato sin migrar ningún dato.

Configurando múltiples IdP

Sigue estos pasos para configurar múltiples IdP:

Configura múltiples directorios SCIM
Configura múltiples proveedores de SSO en tu cuenta
Mapea directorios a un proveedor de SSO

Paso 1: Configurar múltiples directorios SCIM

En la página Acceso > Servicios de Directorio, haz clic en Nuevo para añadir más de un directorio SCIM para aprovisionar usuarios desde múltiples fuentes. Para más información sobre cómo aprovisionar usuarios con SCIM, consulta Aprovisionamiento de Usuarios SCIM. El UPN y el ID de Objeto deben ser únicos en todos los Servicios de Directorio SCIM.

Paso 2: Añadir múltiples proveedores de SSO a tu cuenta

Puedes añadir más de un proveedor de identidad para ser utilizado en tu cuenta. El proveedor designado como Predeterminado es utilizado por el administrador para iniciar sesión en la CMA. Múltiples proveedores de SSO no son compatibles para que el administrador inicie sesión en la CMA.

Para agregar múltiples proveedores de SSO a tu cuenta:

Desde el menú de navegación, selecciona Acceso > Inicio de Sesión Único.
Haz clic en Nuevo.

El panel Agregar Método de Autenticación se abre.
Selecciona el proveedor de identidad que deseas añadir y añade un nombre.
(Opcional) Para hacer de este proveedor de identidad el proveedor predeterminado para tu cuenta, activa el alternador Predeterminado.
Agrega los Detalles de autenticación del proveedor de identidad. Cada proveedor tiene diferentes requisitos de configuración. Para más información sobre cómo configurar un proveedor de identidad, consulta el artículo de configuración para el proveedor de identidad.

Nota: Si tu proveedor de identidad es Azure, haz clic en Aplicar y luego haz clic en Guardar. Luego edita la entrada para habilitar el Enlace de Configurar el Consentimiento de Microsoft.
Selecciona Permitir inicio de sesión con Inicio de Sesión Único para uno o más tipos de usuarios en tu cuenta:
- Usuarios del cliente SDP (configura los ajustes de Validez del token)
- Usuarios SDP sin Cliente (configura el Tipo de cookie)
- Administradores de la Aplicación de Gestión de Cato
Haz clic en Aplicar y luego haz clic en Guardar.

Paso 3: Mapear directorios a un proveedor de SSO

En la página Autenticación de Usuario, puedes definir el método de autenticación predeterminado para tus usuarios. Si seleccionas SSO, por defecto se selecciona la opción Todos los Servicios de Directorio. Con esta configuración, todos los usuarios se autentican con el proveedor de SSO predeterminado. Puedes cambiar esta configuración y mapear qué directorio debe usar cada proveedor de SSO.

En la pestaña Configuración adicional puedes configurar el navegador (embebido o externo) que se utiliza para autenticar en el Cliente y la solicitud de re-autenticación. Para más información, consulte Configurar la Política de Autenticación para Clientes de Cato.

Para mapear directorios a un proveedor de SSO:

Desde el menú de navegación, selecciona Acceso > Autenticación de Usuario.
Haz clic en el desplegable Método Predeterminado y selecciona SSO.
Elige Servicios de Directorio Seleccionados.
Haz clic en Nuevo.

El panel Nuevo proveedor de SSO de servicio de directorio se abre.
Haz clic en el desplegable Servicios de Directorio y elige el método de aprovisionamiento de los usuarios que deseas mapear.
Haz clic en el desplegable Proveedor de inicio de sesión único y elige el proveedor a utilizar.
Haz clic en Aplicar y luego haz clic en Guardar.

Desactivar un proveedor de identidad

Puedes desactivar un proveedor de identidad que ya no sea necesario en tu cuenta. Después de desactivar el proveedor de identidad, los usuarios no podrán utilizarlo para iniciar sesión en el Cliente Cato.

Para desactivar un proveedor de identidad

Desde el menú de navegación, selecciona Acceso > Inicio de Sesión Único.
Haz clic en el proveedor de identidad que deseas desactivar.
Apaga el alternador Activado.
Haz clic en Aplicar y luego haz clic en Guardar.

Entendiendo la experiencia del usuario

No hay impacto en los usuarios si se configuran múltiples proveedores de identidad para tu cuenta. Después de que un usuario ingresa su dirección de correo electrónico para iniciar sesión, el Cliente muestra la página de inicio de sesión del proveedor de SSO asignado al usuario.

Limitaciones conocidas

Soportado solo para aprovisionamiento de usuarios SCIM o manual
Una vez configurado, un IdP no puede ser eliminado.
- Un IdP puede ser deshabilitado