Configuración de Azure SSO para tu cuenta

Este artículo explica cómo configurar Azure como el proveedor de Inicio de Sesión Único (SSO) para Usuarios SDP, usuarios sin cliente, y administradores de la Aplicación de Gestión de Cato en su cuenta.

Inicio de sesión único (SSO) se basa en un token cifrado de Cato y su IdP para validar que el usuario está autenticado y tiene permiso para conectarse a la red. Para más detalles, consulte Autenticación de SSO para Usuarios con Cato.

Para más información sobre cómo habilitar el SSO para la cuenta, consulte Configurar el SSO y el Subdominio de la Cuenta.

Configurando el Inicio de Sesión Único

Con el Inicio de sesión único (SSO) de Cato, puede permitir a los usuarios de Cato usar sus credenciales de Proveedor de Identidad (IdP) existentes sin la necesidad de credenciales dedicadas de Cato Networks. Los usuarios pueden conectarse a Cato usando su dirección de correo electrónico o Nombre principal del usuario (UPN) tal como está definido en Azure.

Resumen del SSO con Tu Cuenta de Cato

Después de establecer una cadena de confianza entre Cato, el IdP y el directorio de usuarios de tu empresa, Cato confía en el IdP para la autenticación de usuarios.

SSO de Cato admite estos sistemas operativos Cliente:

  • Windows
  • macOS
  • iOS
  • Android
  • Linux

Limitaciones Conocidas

  • Azure en China no es "soportado"

Preparándose para Configurar el SSO con Azure

Antes de establecer confianza con Azure, asegúrese de completar estos requisitos previos:

  • Debe tener privilegios de Administrador Global o Administrador de Roles Privilegiados para Azure, usando el mismo correo electrónico para Azure y el CMA

    Nota: La integración fallará si el administrador del CMA no tiene una cuenta de Entra ID.

  • Para LDAP, Azure debe estar sincronizado con su directorio de usuario en su cuenta Cato.

  • Para usuarios SDP creados manualmente, se admite Inicio de sesión único (SSO) para Clientes de Windows v5.x, macOS v5.x y Linux v5.x

    • Para iOS y Android, solo los usuarios que se importaron de su organización a Cato usando procedimientos de aprovisionamiento LDAP o SCIM pueden utilizar el SSO.
  • El Perfil de cada usuario de Azure debe tener una dirección de Correo electrónico válida.

Configurando el inicio de sesión único (SSO) con Microsoft

Esta sección explica cómo configurar SSO con Microsoft Azure desde la Aplicación de Gestión de Cato.

Azure.png

Para configurar SSO con Microsoft para su cuenta:

  1. Desde el menú de navegación, seleccione Acceso > Inicio de Sesión Único.
  2. Haga clic en Nuevo.
  3. Desde el menú desplegable Proveedor de Identidad, seleccione Microsoft Azure.
  4. Introduzca un Nombre.
  5. Haz clic en Aplicar y, en la página de Inicio de Sesión Único, haz clic en Guardar.
  6. En la página de Inicio de Sesión Único, haga clic en el proveedor que acaba de crear.

  7. Haz clic en Set up Microsoft Consent.

    La ventana emergente de Permisos solicitados se muestra.

    Nota: Haz clic en aplicar y, a continuación, haz clic en Guardar. Luego edita la entrada para el Enlace de Configuración de Consentimiento de Microsoft para ser habilitado.

    Permission_requested.png
  8. En la ventana emergente de Permisos solicitados, haga clic en Aceptar. Consulte a continuación para más información. 
  9. Si el CMA solicita asociar su tenant Azure con su cuenta Cato, haga clic en Confirmar.
  10. Si está configurando un solo proveedor de Autenticación Única, habilite el interruptor Predeterminado. Si está configurando múltiples proveedores de Autenticación Única, consulte Configuración de Múltiples Proveedores de Identidad.
  11. Haga clic en Aplicar.

  12. Selecciona Permitir inicio de sesión con Single Sign-On para uno o más tipos de usuarios en tu cuenta:

    • Usuarios del Cliente SDP (establezca la configuración de Validez del Token)
    • Usuarios SDP sin Cliente (establezca el tipo de cookie)
    • Administradores de la Aplicación de Gestión de Cato
  13. Haz clic en Guardar. La configuración de SSO Azure para su cuenta está configurada

Conceder Permisos de Cato

Esta sección explica cómo usar la Aplicación de Gestión de Cato para habilitar SSO con Microsoft Azure AD u Office 365.

Para identificar a los usuarios, Cato requiere consentimiento para acceder a los datos del usuario. Como parte del proceso de configuración, un administrador debe otorgar a la aplicación SSO de Cato acceso a los datos en nombre de tus usuarios. Esto no proporciona derechos de administrador en el inquilino de Azure. Para más información, consulta la documentación de Microsoft.

Otorgar consentimiento administrativo a nivel de inquilino para Cato requiere que inicies sesión en Azure como un usuario autorizado para dar consentimiento en nombre de la organización (un Administrador Global o Administrador de Funciones Privilegiadas). Para más información, consulta la documentación de Microsoft.

Para los usuarios Cliente SDP, cuando configuras la validez del Token defines en Días o Horas la cantidad de tiempo que los usuarios permanecen autenticados. Los usuarios que están conectados deben reautenticarse cuando se alcanza la duración que defines en Días o Horas (desde la última vez que iniciaron sesión). La opción Siempre Solicitar significa que los usuarios siempre deben autenticarse en el Cliente.

Permisos Requeridos

Para habilitar el SSO, Cato requiere que se otorguen los siguientes permisos. Estos permisos son solicitados automáticamente por Cato durante el proceso de configuración. No necesita crear manualmente una Aplicación Empresarial.

Azure.png

Nombre de API Valor del reclamo Permiso
Microsoft Graph correo electrónico Ver dirección de correo electrónico de los usuarios
Microsoft Graph offline_access Mantener acceso a los datos a los que le has dado acceso
Microsoft Graph openid Registrar a los usuarios
Microsoft Graph perfil Ver perfil básico de usuarios
Microsoft Graph Usuario. Leer Iniciar sesión y leer el perfil del usuario

Solución de problemas de las conexiones de inicio de sesión único (SSO) de Azure

Problema

Causa probable

Resolución

AADSTS50105: El usuario conectado no está asignado a ningún rol ...

La configuración de la aplicación Azure Active Directory para la aplicación Cato no está configurada correctamente.

  1. Acceda a su cuenta en el portal de Microsoft Azure.

  2. En el menú, haga clic en Servicios de Directorio Azure.

  3. En el submenú, bajo ADMINISTRAR, haga clic en Aplicaciones de empresa.

  4. En el submenú, bajo ADMINISTRAR, haga clic en Todas las aplicaciones.

  5. En el panel derecho, en la lista de aplicaciones, haga clic en Cato Cloud.

  6. En el submenú, bajo ADMINISTRAR, haga clic en Propiedades.

  7. En el panel derecho, en el parámetro ¿Requerida asignación de usuario?, haga clic en No.

  8. Usando el cliente, vuelva a autenticar en el VPN de Cato.

El usuario introduce credenciales y regresa a la página de inicio de sesión sin autenticar.

El Perfil de este usuario de Azure no tiene una dirección de Correo electrónico válida.

Agregue la dirección de correo electrónico válida al Perfil de Azure para este usuario.

AADSTS90008: El usuario o administrador no ha consentido usar la aplicación

No ha proporcionado a Cato el consentimiento para acceder a los datos del usuario en su tenant Azure

Proporcione a Cato el consentimiento para acceder a los datos del usuario. Para más información, consulte Actualización Requerida para el Inicio de Sesión Único con Azure.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 5

0 comentarios