Configurando Keycloak SSO

Este artículo explica cómo configurar Keycloak como el único proveedor de Inicio de sesión único (SSO) para usuarios de SDP y administradores de la Aplicación de Gestión Cato (CMA).

SSO se basa en un token cifrado de Cato y su IdP para validar que el usuario está autenticado y permitido para conectarse a la red. Para más detalles, consulte Autenticación SSO para Usuarios con Cato.

Visión general

Puede configurar Keycloak como el proveedor de SSO para centralizar la autenticación tanto para administradores de CMA como para usuarios remotos que se conectan con el Cliente Cato. Esta integración mejora la seguridad de las cuentas y simplifica la gestión de identidades al imponer el inicio de sesión mediante credenciales de Keycloak.

Asegúrese de que la dirección de correo electrónico de cada usuario y administrador en Cato coincida con el correo electrónico correspondiente en Keycloak.

Una vez habilitado el SSO, los administradores deben autenticarse a través de Keycloak para acceder a la CMA, y tanto administradores como usuarios deben autenticarse a través de Keycloak para conectarse con el Cliente Cato.

Configurando Keycloak como un Proveedor de SSO

Siga estos pasos para configurar Keycloak como un proveedor de SSO:

  1. Agregue Cato como un cliente de Keycloak en su consola de administración de Keycloak

  2. Ingrese los detalles de su Host de Keycloak en la CMA

Paso 1: Agregar Cato como Cliente de Keycloak

En la consola de administración de Keycloak, agregue Cato como cliente. Permita las URIs de Cato como parte de la configuración de Cato como cliente. Necesitará estos valores para la CMA en el paso 2:

  • ID de cliente

  • secreto del cliente

Este procedimiento se refiere a la consola de Keycloak, que está sujeta a cambios. Para leer la documentación más reciente de Keycloak, consulte Administración de Servidores de Recursos.

Para agregar Cato como un cliente de Keycloak:

  1. En Keycloak, vaya a Clientes > Crear Cliente.

  2. En la pestaña Configuración General, ingrese la configuración básica, incluido un ID de cliente. Necesitará el ID de cliente para integrarse con Cato más tarde.

    keycloak_general.png

  3. En la pestaña Configuración de capacidad, asegúrese de que Autenticación de Cliente esté habilitada.

    keycloak_capability_config.png

  4. En la pestaña Configuración de inicio de sesión, ingrese las siguientes URIs de Cato en URIs de redirección válidas:

    keyCloak_login_settings.png

    • https://sso.via.catonetworks.com/auth_results

    • https://sso.ias.catonetworks.com/auth_results

    • https://sso.proxy.catonetworks.com/auth_results

    • https://169.254.255.254/auth_results

    • https://auth.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.catonetworks.com/endsession/*

    • https://auth.us1.catonetworks.com/endsession/*

  5. Haga clic en Guardar para crear el cliente de Keycloak.

  6. Vaya al área de Cliente y haga clic en el cliente que acaba de crear.

  7. Vaya a la pestaña Credenciales y copie el Secreto del Cliente. Necesitará este valor cuando cree el proveedor de SSO en la CMA.

    keycloak_client_secret.png

Paso 2: Configurar Keycloak como su Proveedor de SSO

En la CMA, ingrese los detalles de su cliente Keycloak que creó en el paso anterior:

  • URL de Keycloak

  • ID de Cliente

  • Secreto de Cliente

El valor para la URL de Keycloak es el comienzo de la URL hasta el final del nombre del reino, sin HTTPS.

Por ejemplo, si la URL que utiliza para acceder a Keycloak es https://keycloak.example.com/realms/myRealm/.well-known/openid-configuration, ingresaría keycloak.example.com/realms/myRealm como su URL de Keycloak.

Cato soporta el uso de múltiples IdPs para SSO para su cuenta. Solo el proveedor de SSO predeterminado se utiliza para administradores de CMA, asegúrese de definir Keycloak como el método de autenticación Predeterminado.

keycloak_cma_config.png

Para configurar Keycloak como su proveedor de SSO:

  1. En la CMA, desde el menú de navegación, haga clic en Acceso > Inicio de sesión único.

  2. Haga clic en Nuevo.

  3. Desde el menú desplegable Proveedor de Identidad, seleccione Keycloak.

  4. Ingrese un Nombre para identificar esta integración.

  5. Ingrese su URL de Keycloak sin el prefijo del protocolo y solo hasta el nombre de su reino.

  6. Ingrese el ID de Cliente y el Secreto del Cliente que fueron creados en el paso 1.

  7. Habilite el cambio Predeterminado para usar Keycloak como el único proveedor de SSO para administradores de CMA.

  8. Haga clic en Aplicar.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios