Vous pouvez configurer plusieurs fournisseurs d'identité (IdP) pour approvisionner et authentifier les utilisateurs avec SSO dans votre compte. Cet article explique comment configurer plus d'un IdP dans votre compte.
Si votre organisation gère des utilisateurs sur plusieurs IdP, ils peuvent tous être intégrés avec Cato afin que vous n'ayez pas besoin de combiner vos utilisateurs en un seul locataire. Vous pouvez approvisionner des utilisateurs à partir de plusieurs IdP (ou plusieurs locataires du même IdP), configurer plusieurs fournisseurs SSO et ensuite mapper quels utilisateurs s'authentifient avec chaque fournisseur.
Lorsqu'un utilisateur se connecte au Client Cato ou à l'Accès par navigateur, il ne voit que le fournisseur SSO configuré pour lui.
Remarque
Note : La configuration de plusieurs fournisseurs d'identité ne doit pas être utilisée comme méthode pour migrer des utilisateurs d'une instance existante d'IdP. Pour déplacer une instance existante d'un fournisseur d'identité à un autre, suivez ces instructions.
La société ABC utilise Microsoft Azure comme IdP et a fusionné avec la société XYZ qui utilise Okta comme IdP. Les deux entreprises utilisent Cato comme solution d'accès à distance. Au lieu de migrer tous les utilisateurs d'un IdP à un autre, l'entreprise commence à approvisionner des utilisateurs à la fois d'Azure et d'Okta et les configure tous les deux comme méthodes d'authentification SSO pour les utilisateurs distants. Configurer plusieurs IdP garantit que tous les utilisateurs peuvent s'authentifier dans le Client Cato sans migrer aucune donnée.
Suivez ces étapes pour configurer plusieurs IdP :
-
Configurer plusieurs répertoires SCIM
-
Configurer plusieurs fournisseurs SSO pour votre compte
-
Mapper les répertoires à un fournisseur SSO
Sur la page Accès > Services d'annuaire, cliquez sur Nouveau pour ajouter plus d'un répertoire SCIM pour approvisionner des utilisateurs à partir de plusieurs sources. Pour plus d'informations sur la manière de provisionner des utilisateurs avec SCIM, voir Provisionnement d'utilisateur SCIM. Le UPN et l'Identifiant d'objet doivent être uniques dans tous les Services d'annuaire SCIM.
Vous pouvez ajouter plus d'un fournisseur d'identité à utiliser dans votre compte. Le fournisseur désigné comme Par défaut est utilisé par admin pour se connecter à l'Application de gestion Cato. Plusieurs fournisseurs SSO ne sont pas pris en charge pour Admin pour se connecter à l'Application de gestion Cato.
Pour ajouter plusieurs fournisseurs SSO à votre compte :
-
Dans le menu de navigation, sélectionnez Accès > Authentification unique.
-
Cliquez sur Nouveau.
Le panneau Ajouter une méthode d'authentification s'ouvre.
-
Sélectionnez le fournisseur d'identité que vous souhaitez ajouter et ajoutez un nom.
-
(Optionnel) Pour faire de ce fournisseur d'identité le fournisseur par défaut pour votre compte, activez le bascule Par défaut.
-
Ajoutez les Détails d'authentification du fournisseur d'identité. Chaque fournisseur a des exigences de configuration différentes. Pour plus d'informations sur la manière de configurer un fournisseur d'identité, consultez l'article de configuration pour le fournisseur d'identité.
Note : Si votre fournisseur d'identité est Azure, cliquez sur Appliquer puis cliquez sur Enregistrer. Puis éditez l'entrée pour le Configurer le consentement Microsoft pour qu'il soit activé.
-
Sélectionnez Autoriser la connexion avec l'authentification unique pour un ou plusieurs types d'utilisateurs dans votre compte :
-
Utilisateurs du client SDP (définir les paramètres de Validité du jeton)
-
Utilisateurs SDP sans client (définir le type de cookie)
-
Administrateurs de l'application de gestion Cato
-
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Sur la page Authentification des utilisateurs, vous pouvez définir la méthode d'authentification par défaut pour vos utilisateurs. Si vous sélectionnez SSO, par défaut l'option Tous les services d'annuaire est sélectionnée. Avec cette configuration, tous les utilisateurs s'authentifient avec le fournisseur SSO par défaut. Vous pouvez changer cette configuration et mapper quel répertoire doit utiliser chaque fournisseur SSO.
Sur l'onglet Paramètres supplémentaires vous pouvez configurer le navigateur (intégré ou externe) utilisé pour l'authentification dans le Client et l'invite de ré-authentification. Pour plus d'informations, consultez Configurer la Politique d'Authentification pour les Clients Cato.
Pour mapper les répertoires à un fournisseur SSO :
-
Dans le menu de navigation, sélectionnez Accès > Authentification des utilisateurs.
-
Cliquez sur le menu déroulant Méthode par défaut et sélectionnez SSO.
-
Choisissez Services d'annuaire sélectionnés.
-
Cliquez sur Nouveau.
Le panneau Nouveau fournisseur SSO de service d'annuaire s'ouvre.
-
Cliquez sur le menu déroulant Services d'annuaire et choisissez le mode de provisionnement des utilisateurs que vous souhaitez mapper.
-
Cliquez sur le menu déroulant Fournisseur d'authentification unique et choisissez le fournisseur à utiliser.
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Vous pouvez désactiver un fournisseur d'identité qui n'est plus nécessaire dans votre compte. Après que le fournisseur d'identité soit désactivé, il ne peut plus être utilisé par les utilisateurs pour se connecter au Client Cato.
Il n'y a pas d'impact sur les utilisateurs si plusieurs fournisseurs d'identité sont configurés pour votre compte. Après qu'un utilisateur ait entré son adresse e-mail pour se connecter, le Client affiche la page de connexion du fournisseur SSO mappé à l'utilisateur.
0 commentaire
Cet article n'accepte pas de commentaires.