Vous pouvez configurer plusieurs fournisseurs d'identité (IdP) pour provisionner et authentifier les utilisateurs avec le SSO dans votre compte. Cet article explique comment configurer plus d'un IdP dans votre compte.
Si votre organisation gère des utilisateurs sur plusieurs IdP, ils peuvent tous être intégrés à Cato pour que vous n'ayez pas à combiner vos utilisateurs en un seul locataire. Vous pouvez provisionner des utilisateurs à partir de plusieurs IdP (ou de plusieurs locataires à partir du même IdP), configurer plusieurs fournisseurs de SSO puis mapper quels utilisateurs s'authentifient avec chaque fournisseur.
Lorsqu'un utilisateur se connecte au Client Cato, ou à l'accès par navigateur, il ne lui est présenté que le fournisseur de SSO configuré pour lui.
Remarque
Note : La configuration de plusieurs fournisseurs d'identité ne doit pas être utilisée comme méthode pour migrer les utilisateurs d'une instance IdP existante. Pour déplacer une instance existante d'un IdP à un autre, suivez ces instructions.
La société ABC utilise Microsoft Azure comme IdP et a fusionné avec la société XYZ qui utilise Okta comme IdP. Les deux sociétés utilisent Cato comme solution d'accès à distance. Au lieu de migrer tous les utilisateurs d'un IdP à un autre, la société commence à provisionner des utilisateurs à partir d'Azure et d'Okta, et les configure tous deux comme méthodes d'authentification SSO pour les utilisateurs distants. La configuration de plusieurs IdP garantit que tous les utilisateurs peuvent s'authentifier dans le Client Cato sans migrer aucune donnée.
Suivez ces étapes pour configurer plusieurs IdP :
-
Configurer plusieurs répertoires SCIM
-
Configurer plusieurs fournisseurs de SSO dans votre compte
-
Mapper les répertoires à un fournisseur de SSO
Sur la page Accès > Services d'annuaire, cliquez sur Nouveau pour ajouter plus d'un répertoire SCIM pour provisionner des utilisateurs à partir de plusieurs sources. Pour plus d'informations sur la façon de provisionner des utilisateurs avec SCIM, voir Provisionnement d'utilisateur SCIM. L'UPN et l'ID d'objet doivent être uniques dans tous les services d'annuaire SCIM.
Vous pouvez ajouter plus d'un fournisseur d'identité à utiliser dans votre compte. Le fournisseur désigné comme Par défaut est utilisé par l'administrateur pour se connecter à l'application de gestion Cato. Plusieurs fournisseurs de SSO ne sont pas pris en charge pour que l'administrateur se connecte à l'application de gestion Cato.
Pour ajouter plusieurs fournisseurs de SSO à votre compte :
-
Dans le menu de navigation, sélectionnez Accès > Authentification unique.
-
Cliquez sur Nouveau.
Le panneau Ajouter une méthode d'authentification s'ouvre.
-
Sélectionnez le fournisseur d'identité que vous souhaitez ajouter et ajoutez un nom.
-
(Optionnel) Pour faire de ce fournisseur d'identité le fournisseur par défaut pour votre compte, activez la bascule Par défaut.
-
Ajoutez les Détails d'authentification du fournisseur d'identité. Chaque fournisseur a des exigences de configuration différentes. Pour plus d'informations sur la façon de configurer un fournisseur d'identité, consultez l'article de configuration pour le fournisseur d'identité.
Note : Si votre fournisseur d'identité est Azure, cliquez sur Appliquer puis cliquez sur Enregistrer. Ensuite, modifiez l'entrée pour que le Lien de consentement Microsoft soit activé.
-
Sélectionnez Autoriser la connexion avec l'authentification unique pour un ou plusieurs types d'utilisateurs dans votre compte :
-
Utilisateurs du client SDP (définissez les paramètres de validité du jeton)
-
Utilisateurs SDP sans client (définissez le type de cookie)
-
Administrateurs de l'application de gestion Cato
-
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Sur la page Authentification des utilisateurs, vous pouvez définir la méthode d'authentification par défaut pour vos utilisateurs. Si vous sélectionnez SSO, par défaut l'option Tous les services d'annuaire est sélectionnée. Avec cette configuration, tous les utilisateurs s'authentifient avec le fournisseur de SSO par défaut. Vous pouvez changer cette configuration et mapper quel répertoire doit utiliser chaque fournisseur de SSO.
Dans l'onglet Paramètres supplémentaires, vous pouvez configurer le navigateur (intégré ou externe) utilisé pour l'authentification dans le Client et l'invite de ré-authentification. Pour plus d'informations, voir Configurer la politique d'authentification pour les clients Cato.
Pour mapper les répertoires à un fournisseur de SSO :
-
Dans le menu de navigation, sélectionnez Accès > Authentification des utilisateurs.
-
Cliquez sur le menu déroulant Méthode par défaut et sélectionnez SSO.
-
Choisissez Services d'annuaire sélectionnés.
-
Cliquez sur Nouveau.
Le panneau Nouveau fournisseur SSO de service d'annuaire s'ouvre.
-
Cliquez sur le menu déroulant Services d'annuaire et choisissez la méthode de provisionnement des utilisateurs que vous souhaitez mapper.
-
Cliquez sur le menu déroulant Fournisseur d'authentification unique et choisissez le fournisseur à utiliser.
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Vous pouvez désactiver un fournisseur d'identité qui n'est plus nécessaire dans votre compte. Une fois le fournisseur d'identité désactivé, il ne peut pas être utilisé par les utilisateurs pour se connecter au Client Cato.
Il n'y a aucun impact sur les utilisateurs si plusieurs fournisseurs d'identité sont configurés pour votre compte. Après qu'un utilisateur a saisi son adresse e-mail pour se connecter, le Client affiche la page de connexion du fournisseur de SSO mappé à l'utilisateur.
0 commentaire
Cet article n'accepte pas de commentaires.