Configuration de la synchronisation LDAP et SSO avec OneLogin

Cet article explique comment utiliser LDAP pour importer et synchroniser les utilisateurs OneLogin et configurer OneLogin en tant que fournisseur SSO pour les utilisateurs Cato.

SSO repose sur un jeton chiffré de Cato et de votre IdP pour valider que l'utilisateur est authentifié et autorisé à se connecter au réseau. Pour plus de détails, voir Authentification SSO pour les utilisateurs avec Cato.

Aperçu général de haut niveau de la synchronisation LDAP et SSO avec OneLogin

Ceci est un aperçu général du processus pour configurer et intégrer OneLogin avec votre compte Cato. Après avoir configuré OneLogin pour synchroniser les utilisateurs avec Cato, vous pouvez également configurer OneLogin comme fournisseur de SSO pour les utilisateurs.

  1. Dans OneLogin, configurez les paramètres LDAP virtuels.

  2. Dans l'Application de Gestion Cato, ajoutez le domaine OneLogin à votre compte.

  3. Ajoutez le contrôleur de domaine OneLogin au domaine.

  4. Dans OneLogin, créez une application OpenID Connect pour permettre à Cato d'utiliser OneLogin pour authentifier les utilisateurs.

  5. Importez les groupes (rôles OneLogin) sur votre compte.

  6. Sélectionnez OneLogin comme fournisseur de SSO pour les utilisateurs.

Remarque

Note : Pour utiliser OneLogin comme fournisseur SSO, vous devez configurer la synchronisation LDAP entre OneLogin et Cato. Ceci nécessite que le service VLDAP soit activé sur votre compte OneLogin.

Configuration des paramètres LDAP virtuels

Pour activer SSO et la synchronisation LDAP pour OneLogin et votre compte Cato, utilisez la fenêtre Authentification dans OneLogin pour activer le LDAP virtuel et désactiver l'authentification multi-facteurs (MFA). Cette fenêtre contient également les paramètres DN de connexion que vous utilisez pour configurer le domaine dans l'Application de Gestion Cato.

Le SSO VPN nécessite que le service VLDAP de OneLogin soit activé. Si vous utilisez OneLogin uniquement pour la synchronisation LDAP, alors vous n'avez pas besoin d'activer VLDAP.

En raison d'une limitation de OneLogin, chaque synchronisation LDAP est limitée à 500 utilisateurs. Pour les comptes avec plus de 500 utilisateurs, exécutez plusieurs fois la synchronisation LDAP.

Pour configurer les paramètres LDAP virtuels dans OneLogin :

  1. Dans OneLogin, depuis la barre de menu, sélectionnez Authentification > VLDAP.

    OneLogin_VLDAP.png

  2. Pour les comptes utilisant le SSO, assurez-vous que Activer le Service VLDAP est activé.

  3. Effacez Authentification multi-facteurs pour désactiver MFA pour votre compte OneLogin.

  4. Dans Nom distingué virtuel, copiez le DN Virtuel. Vous saisirez le DN virtuel dans Add a New Domain for OneLogin (ci-dessous).

  5. Cliquez sur Enregistrer. Les paramètres LDAP virtuels sont configurés.

Configuration de l'Application de Gestion Cato pour effectuer la synchronisation LDAP avec OneLogin

Ajoutez votre compte OneLogin à l'Application de Gestion Cato en tant que nouveau domaine dans les Services de Répertoire. Définissez ensuite le contrôleur de domaine pour ce domaine.

Ajout d'un Nouveau Domaine pour OneLogin

Utilisez la fenêtre Services de Répertoire pour ajouter un nouveau domaine à votre compte. Configurez ensuite les paramètres LDAP de OneLogin pour le domaine.

Pour ajouter un nouveau domaine OneLogin aux Services de Répertoire :

  1. Depuis le menu de navigation, cliquez sur Accès > Services de Répertoire.

  2. Depuis la section ou l'onglet LDAP, cliquez sur Nouveau.

    Le panneau Nouveau Service de Répertoire s'ouvre.

  3. Entrez le Nom du domaine dans le serveur LDAP.

  4. Configurez les paramètres d'authentification de OneLogin dans la section Connexion d'Authentification LDAP dans DN de Connexion :

    OneLogin_LDAP_Details.png

    1. Dans DN de Connexion, collez le LDAP virtuel que vous avez copié ci-dessus dans Configuration des Paramètres LDAP Virtuels.

    2. Changez le cn en l'adresse e-mail de votre compte OneLogin.

    3. Dans Base DN, collez le LDAP virtuel et supprimez le cn et ou. La capture d'écran ci-dessus montre ces paramètres :

      • DN de Connexion : cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com

      • Base DN : dc=sample-networks,dc=onelogin,dc=com

    4. Entrez le Mot de Passe administrateur pour votre compte OneLogin.

    5. Activez Utiliser SSL.

  5. Cliquez sur Enregistrer. Le domaine OneLogin est ajouté à l'Application de Gestion Cato.

  6. Cliquez sur Tester la Connexion pour vous assurer que Cato peut se connecter à votre compte OneLogin.

Configuration du Contrôleur de Domaine pour OneLogin

Après avoir configuré et enregistré le domaine OneLogin, configurez les paramètres pour le contrôleur de domaine. Utilisez le paramètre d'hôte approprié pour votre compte OneLogin :

  • États-Unis - ldap.us.onelogin.com

  • Europe - ldap.eu.onelogin.com

Pour plus d'informations sur les paramètres d'hôte OneLogin, consultez la documentation OneLogin.

Pour configurer le contrôleur de domaine :

  1. Depuis la section ou l'onglet LDAP, éditez le domaine pour votre compte OneLogin.

  2. Depuis le menu de navigation Éditer le Service de Répertoire, sélectionnez Contrôleurs de Domaine.

  3. Depuis la fenêtre déroulante, sélectionnez IP ou Hôte.

    OneLogin_DCOM.png

  4. Entrez l'hôte OneLogin pour les États-Unis ou l'Europe et cliquez sur Ajouter.

    Étant donné que SSL est activé pour le domaine, l'hôte utilise le port 636.

  5. Cliquez sur Enregistrer et Fermer. Le contrôleur de domaine est ajouté au domaine OneLogin.

Configuration de l'Application OneLogin pour OpenID Connect

Créez une nouvelle application dans OneLogin qui permet à Cato d'utiliser OneLogin pour authentifier les utilisateurs SDP. Ensuite, configurez-la pour se connecter à Cato.

Remarque

Note : Il existe une application héritée de Cato Networks dans le marché OneLogin qui n'est actuellement pas prise en charge. Nous vous recommandons de ne pas utiliser cette application.

Création d'une Nouvelle Application

Créez une nouvelle application Open ID Connect dans OneLogin.

Pour créer l'application OpenID Connect :

  1. Dans votre compte OneLogin, depuis la barre de menu, sélectionnez Applications > Applications.

  2. Cliquez sur Ajouter une Application.

  3. Recherchez OpenId Connect et sélectionnez l'application.

  4. Dans la fenêtre Ajouter OpenID Connect (OIDC), entrez le Nom d'Affichage pour l'application.

  5. Cliquez sur Enregistrer.

Configuration de l'Application OpenID Connect

Configurez l'application OneLogin à Cato pour prendre en charge le SSO pour les utilisateurs SDP. Cato effectue la synchronisation LDAP avec OneLogin selon les rôles et non selon les groupes OneLogin.

Pour les nouveaux utilisateurs SDP avec Windows Client v5.1 et supérieur, il y a un URI de redirection supplémentaire à configurer pour l'application OneLogin. Cet URI n'est pas requis pour les versions antérieures, ou pour les utilisateurs existants qui mettent à niveau vers le Windows Client v5.1 ou supérieur.

Pour configurer l'application pour se connecter à Cato:

  1. Dans le menu de navigation de gauche, sélectionnez Configuration.

  2. Dans URIs de Redirection, entrez ces URIs:

    • https://sso.via.catonetworks.com/auth_results

    • https://auth.catonetworks.com/oauth2/broker/code/onelogin

    • https://auth.us1catonetworks.com/oauth2/broker/code/onelogin

    • https://auth.in1catonetworks.com/oauth2/broker/code/onelogin

    • (pour les nouveaux utilisateurs SDP Windows Client v5.1 et supérieur)

      • https://sso.ias.catonetworks.com/auth_results

      • https://169.254.255.254/auth_results

  3. Dans le menu de navigation de gauche, sélectionnez SSO, et configurez ces paramètres SSO:

    1. Définissez le Type d'Application sur Web.

    2. Définissez la Méthode d'Authentification sur POST.

    3. Copiez le ID de Client et le Secret de Client. Collez ces paramètres dans la section Configuring OneLogin as the SSO Provider for SDP Users ci-dessous.

  4. Cliquez sur Enregistrer.

  5. Ajoutez l'application aux utilisateurs et rôles OneLogin concernés.

  6. Effectuez la synchronisation LDAP initiale. Dans l'Application de gestion Cato, sur l'écran Services de l'annuaire, cliquez sur Synchroniser maintenant.

Configurer OneLogin comme le fournisseur SSO pour les utilisateurs SDP

Dans l'Application de gestion Cato, vous pouvez configurer OneLogin comme le fournisseur SSO global pour les utilisateurs SDP de votre compte.

Pour configurer OneLogin comme fournisseur SSO:

  1. Dans le menu de navigation, sélectionnez Accès > Connexion Unique.

  2. Cliquez sur Nouveau

  3. Dans le menu déroulant Fournisseur d'identité, sélectionnez OneLogin.

  4. Entrez un Nom.

  5. Entrez ces paramètres:

    • ID de Client - comme vous l'avez copié de OneLogin ci-dessus

    • Modifier Secret de Client - comme vous l'avez copié de OneLogin ci-dessus

    • Préfixe du Domaine OneLogin - votre domaine tel que défini dans votre compte OneLogin

    • Suffxe du Domaine OneLogin - sélectionnez onelogin.com

  6. Si vous configurez un unique fournisseur de Connexion Unique, activez la bascule Par Défaut. Si vous configurez plusieurs fournisseurs d'authentification unique, consultez Configuring Multiple Identity Providers.

  7. Cliquez sur Appliquer.

  8. Sélectionnez Autoriser la connexion avec Connexion Unique pour un ou plusieurs types d'utilisateurs dans votre compte:

    • Utilisateurs du client SDP (réglez les paramètres de Validité du jeton)

    • Utilisateurs SDP sans client (réglez le type de cookie)

    • Administrateurs de l'Application de gestion Cato

  9. Cliquez sur Enregistrer. OneLogin est configuré comme le fournisseur SSO pour les utilisateurs de SDP de votre compte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire