Configuration d'Azure SSO pour votre compte

Cet article explique comment configurer Azure en tant que fournisseur d'authentification unique (SSO) pour les utilisateurs SDP, les utilisateurs sans client et les admins de l'application de gestion Cato dans votre compte.

L'authentification unique (SSO) repose sur un jeton chiffré de Cato et votre IdP pour valider que l'utilisateur est Authentifié et autorisé à se connecter au Réseau. Pour plus de détails, voir Authentification SSO pour les utilisateurs avec Cato.

Pour plus d'informations sur l'activation de l'authentification unique pour le compte, voir Configuration de l'authentification unique et du sous-domaine pour le compte.

Configurer l'Authentification Unique

Avec le Single Sign-On (SSO) de Cato, vous pouvez autoriser les utilisateurs de Cato à utiliser leurs identifiants de fournisseur d'identité (IdP) existants sans besoin d'identifiants dédiés de Cato Networks. Les utilisateurs peuvent se connecter à Cato en utilisant leur adresse e-mail ou le Nom principal de l'utilisateur (UPN) tel que défini dans Azure.

Vue d'ensemble du SSO avec votre compte Cato

Après qu'une chaîne de confiance est établie entre Cato, l'IdP et le répertoire des utilisateurs de votre entreprise, Cato fait confiance à l'IdP pour l'authentification des utilisateurs.

Cato SSO prend en charge ces systèmes d'exploitation Client :

  • Windows
  • macOS
  • iOS
  • Android
  • Linux

Limitations Connues

  • Azure en Chine n'est pas pris en charge

Préparation à la configuration du SSO avec Azure

Avant d'établir la confiance avec Azure, assurez-vous de remplir ces préalables :

  • Vous devez avoir des privilèges d'Administrateur Global ou d'Administrateur de Rôle Privilégié pour Azure, en utilisant le même email pour Azure et le CMA

    Note : L'intégration échouera si l'admin CMA n'a pas de compte Entra ID.

  • Pour LDAP, Azure doit être synchronisé avec votre annuaire d'utilisateurs dans votre compte Cato.

  • Pour les utilisateurs SDP créés manuellement, le SSO est pris en charge pour les Clients Windows v5.x, macOS v5.x, et Linux v5.x

    • Pour iOS et Android, seuls les utilisateurs importés de votre organisation vers Cato en utilisant le provisionnement LDAP ou SCIM peuvent utiliser la SSO.
  • Le Profil de chaque utilisateur Azure doit contenir une Adresse Email valide.

Configuration de SSO avec Microsoft

Cette section explique comment configurer SSO avec Microsoft Azure depuis l'Application de gestion Cato.

Azure.png

Pour configurer SSO avec Microsoft pour votre compte :

  1. Depuis le menu de navigation, sélectionnez Accès > Single Sign-On.
  2. Cliquez sur Nouveau.
  3. Depuis le menu déroulant Fournisseur d'identité, sélectionnez Microsoft Azure.
  4. Entrez un Nom.
  5. Cliquez sur Appliquer et sur la page Single Sign-On, cliquez sur Sauvegarder.
  6. Sur la page Single Sign-On, cliquez sur le fournisseur que vous venez de créer.

  7. Cliquez sur Configurer le Consentement Microsoft.

    La fenêtre contextuelle Permissions demandées s'affiche.

    Remarque : Cliquez sur Appliquer puis sur Enregistrer. Puis éditez l'entrée pour le Lien de configuration du consentement de Microsoft pour qu'il soit activé.

    Permission_requested.png
  8. Dans la fenêtre pop-up Autorisations demandées, cliquez sur Accepter. Voir ci-dessous pour plus d'informations. 
  9. Si vous êtes invité par le CMA à associer votre locataire Azure avec votre compte Cato, cliquez sur Confirmer.
  10. Si vous configurez un seul fournisseur d'Authentification Unique, activez le bouton Défaut. Si vous configurez plusieurs fournisseurs d'Authentification Unique, consultez Configuration des Fournisseurs d'Identité Multiples.
  11. Cliquez sur Appliquer.

  12. Sélectionnez Autoriser la connexion avec Single Sign-On pour un ou plusieurs types d'utilisateurs dans votre compte :

    • Utilisateurs du client SDP (définir les paramètres de Validité du Jeton)
    • Utilisateurs SDP sans client (définir le type de Cookie)
    • Administrateurs de l'application de gestion Cato
  13. Cliquez sur Sauvegarder. Les paramètres Azure SSO pour votre compte sont configurés

Accorder les Autorisations Cato

Cette section explique comment utiliser l'Application de gestion Cato pour activer SSO avec Microsoft Azure AD ou Office 365.

Pour identifier les utilisateurs, Cato nécessite le consentement pour accéder aux données de l'utilisateur. Dans le cadre du processus de configuration, un administrateur doit accorder à l'application SSO de Cato l'accès aux données au nom de vos utilisateurs. Cela n'accorde pas de droits d'administrateur sur le locataire Azure. Pour plus d'informations, voir la documentation Microsoft.

Accorder le consentement administratif à l'échelle du locataire pour Cato nécessite que vous vous connectiez à Azure en tant qu'utilisateur autorisé à consentir au nom de l'organisation (un Administrateur Global ou Administrateur de Rôle Privilégié). Pour plus d’informations, voir la documentation Microsoft.

Pour les utilisateurs du Client SDP, lorsque vous configurez les paramètres de validité du Token, vous définissez en Jours ou Heures le temps pendant lequel les utilisateurs restent authentifiés. Les utilisateurs connectés doivent se réauthentifier lorsque la durée que vous définissez en Jours ou Heures (depuis leur dernière connexion) est atteinte. L'option Toujours demander signifie que les utilisateurs doivent toujours s'authentifier sur le Client.

Autorisations Requises

Pour activer le SSO, Cato exige l'octroi des autorisations suivantes. Ces autorisations sont automatiquement demandées par Cato lors du processus de configuration. Vous n'avez pas besoin de créer manuellement une Application Entreprise.

Azure.png

Nom de l'API Valeur de la revendication Permission
Microsoft Graph email Voir l'adresse email des utilisateurs
Microsoft Graph offline_access Maintenir l'accès aux données pour lesquelles vous avez donné l'accès
Microsoft Graph openid Connecter l'utilisateur
Microsoft Graph profile Voir le profil de base des utilisateurs
Microsoft Graph User.Read Se connecter et lire le profil utilisateur

Dépannage des connexions SSO Azure

Problème

Cause probable

Résolution

AADSTS50105 : L'utilisateur connecté n'est pas assigné à un rôle ...

Les paramètres de l'application Azure Active Directory pour l'application Cato ne sont pas configurés correctement.

  1. Accédez à votre compte dans le portail Microsoft Azure.

  2. Dans le menu, cliquez sur Services d'annuaire Azure.

  3. Dans le sous-menu, sous GÉRER, cliquez sur Applications d'entreprise.

  4. Dans le sous-menu, sous GÉRER, cliquez sur Toutes les applications.

  5. Dans le panneau de droite, dans la liste des applications, cliquez sur Cato Cloud.

  6. Dans le sous-menu, sous GÉRER, cliquez sur Propriétés.

  7. Dans le panneau de droite, dans le paramètre Assignation d'utilisateur requise?, cliquez sur Non.

  8. En utilisant le client, réauthentifiez-vous au VPN Cato.

L'utilisateur entre les informations d'identification et est renvoyé à la page de connexion sans authentification

Le Profil de cet utilisateur Azure ne possède pas une Adresse Email valide.

Ajoutez l'adresse email valide au Profil Azure pour cet utilisateur.

AADSTS90008 : L'utilisateur ou l'administrateur n'a pas consenti à utiliser l'application

Vous n'avez pas fourni à Cato le consentement pour accéder aux données de l'utilisateur dans votre locataire Azure

Fournissez à Cato le consentement pour accéder aux données de l'utilisateur. Pour plus d'informations, consultez Mise à jour requise pour l'Authentification Unique avec Azure.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 5

0 commentaire