Configuration de SSO Keycloak

Cet article explique comment configurer Keycloak en tant que fournisseur de Single Sign-On (SSO) unique pour les utilisateurs SDP et les administrateurs de l'Application de Management Cato (CMA).

Le SSO repose sur un token crypté de Cato et de votre fournisseur d'identité pour valider que l'utilisateur est authentifié et autorisé à se connecter au réseau. Pour plus de détails, voir Authentification SSO pour les utilisateurs avec Cato.

Vue d'ensemble

Vous pouvez configurer Keycloak en tant que fournisseur SSO pour centraliser l'authentification des administrateurs CMA et des utilisateurs distants connectés avec le Client Cato. Cette intégration améliore la sécurité des comptes et simplifie la gestion des identités en imposant la connexion avec les identifiants Keycloak.

Assurez-vous que l'adresse e-mail de chaque utilisateur et administrateur dans Cato correspond à l'e-mail correspondant dans Keycloak.

Une fois le SSO activé, les administrateurs doivent s'authentifier via Keycloak pour accéder à la CMA, et les administrateurs et utilisateurs doivent s'authentifier via Keycloak pour se connecter avec le Client Cato.

Configuration de Keycloak en tant que fournisseur SSO

Suivez ces étapes pour configurer Keycloak en tant que fournisseur SSO:

  1. Ajoutez Cato en tant que client Keycloak dans votre console d'administration Keycloak

  2. Entrez les détails de votre hôte Keycloak dans la CMA

Étape 1 : Ajouter Cato en tant que client Keycloak

Dans la console d'administration Keycloak, ajoutez Cato en tant que client. Autoriser les URIs Cato dans le cadre de la configuration de Cato en tant que client. Vous aurez besoin de ces valeurs pour la CMA à l'étape 2:

  • ID client

  • Secret client

Cette procédure réfère à la console Keycloak, sujette à changement. Pour lire la documentation Keycloak la plus récente, voir Gestion des serveurs de ressources.

Pour ajouter Cato en tant que client Keycloak:

  1. Dans Keycloak, allez à Clients > Créer Client.

  2. Dans l'onglet Paramètres généraux, entrez les paramètres de base, y compris un ID client. Vous aurez besoin de l'ID client pour intégrer avec Cato plus tard.

    keycloak_general.png

  3. Dans l'onglet Configuration des capacités, assurez-vous que Authentification client est activée.

    keycloak_capability_config.png

  4. Dans l'onglet Paramètres de connexion, entrez les URIs Cato suivants dans URIs de redirection valides:

    keyCloak_login_settings.png

    • https://sso.via.catonetworks.com/auth_results

    • https://sso.ias.catonetworks.com/auth_results

    • https://sso.proxy.catonetworks.com/auth_results

    • https://169.254.255.254/auth_results

    • https://auth.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.catonetworks.com/endsession/*

    • https://auth.us1.catonetworks.com/endsession/*

  5. Cliquez sur Sauvegarder pour créer le client Keycloak.

  6. Allez dans la zone Client et cliquez sur le client que vous venez de créer.

  7. Accédez à l'onglet Informations d'identification et copiez le Secret Client. Vous aurez besoin de cette valeur lorsque vous créez le fournisseur SSO dans la CMA.

    keycloak_client_secret.png

Étape 2 : Configurez Keycloak comme votre fournisseur SSO

Dans la CMA, entrez les détails de votre client Keycloak que vous avez créé à l'étape précédente:

  • URL de Keycloak

  • ID Client

  • Secret Client

La valeur pour l'URL de Keycloak est le début de l'URL jusqu'à la fin du nom de domaine, sans HTTPS.

Par exemple, si l'URL que vous utilisez pour accéder à Keycloak est https://keycloak.example.com/realms/myRealm/.well-known/openid-configuration, vous entreriez keycloak.example.com/realms/myRealm comme votre URL de Keycloak.

Cato supporte l'utilisation de plusieurs fournisseurs d'identité pour le SSO pour votre compte. Seul le fournisseur SSO par défaut est utilisé pour les administrateurs CMA, assurez-vous de définir Keycloak comme méthode d'authentification Défaut.

keycloak_cma_config.png

Pour configurer Keycloak comme votre fournisseur SSO:

  1. Dans la CMA, depuis le menu de navigation, cliquez sur Accès > Single Sign-On.

  2. Cliquez sur Nouveau.

  3. Dans le menu déroulant Fournisseur d'Identité, sélectionnez Keycloak.

  4. Entrez un Nom pour identifier cette intégration.

  5. Entrez votre URL Keycloak sans le préfixe de protocole et seulement jusqu'à votre nom de domaine.

  6. Entrez l'ID Client et le Secret Client qui ont été créés à l'étape 1.

  7. Activez le basculement Défaut pour utiliser Keycloak comme unique fournisseur SSO pour les administrateurs CMA.

  8. Cliquez sur Appliquer.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire