あなたのアカウントのためのOkta SSOを設定する

この記事は、SDPユーザ、クライアントレスユーザ、およびCato管理画面の管理者に対して、Oktaをシングルサインオン(SSO)プロバイダーとして設定する方法を説明します。

SSOは、ユーザーが認証され、ネットワークへの接続が許可されていることを検証するために、CatoとIdPからの暗号化されたトークンに依存しています。 詳細については、CatoユーザーのためのSSO認証を参照してください。

アカウントでSSOを有効にする方法については、アカウントのSSOとサブドメインの設定を参照してください。

CatoアカウントでのSSOの概要

Cato、アイデンティティプロバイダー、およびあなたの会社のユーザーディレクトリ間で信頼の鎖が確立された後、Catoはユーザー認証のためにアイデンティティプロバイダーを信頼します。

Cato SSOはこれらのクライアントオペレーティングシステムをサポートしています:

  • Windows

  • macOS

  • iOS

  • Android

  • Linux

対応している機能

Cato NetworksのOkta SSOは、サービスプロバイダによる認証フローをサポートしています。 この認証フローが発生するのは以下の場合です。

OktaでのSSO設定の準備

Oktaと信頼を確立する前に、以下の前提条件を完了してください:

  • あなたはOktaの管理者権限を持っている必要があります

  • Oktaはあなたのユーザーディレクトリと同期されている必要があります。

  • 手動で作成されたSDPユーザーに対して、SSOはWindows v5.x、macOS v5.x、およびLinux v5.xクライアントをサポートします

    • iOSおよびAndroidでは、ディレクトリサービスまたはSCIMプロビジョニングを使用して組織からCatoにインポートされたユーザーのみがSSOを使用できます。

既知の制限事項

  • macOS デバイスでは、トークンの有効期限が切れてデバイスが再起動すると、クライアントは自動的に再認証しません。 ユーザーは手動でパスワードを入力して再認証する必要があります。

OktaをSSOプロバイダーとして設定する

Cato Networks SSOのためのOktaアプリを追加し、次にOktaクライアントIDとクライアントシークレットを設定します。 その後、Cato管理画面を設定して、あなたのアカウントのためにOktaをSSOプロバイダーとして使用します。

SDPクライアントユーザに対して、トークンの有効期間設定を構成するときに、または時間でユーザーが認証され続ける時間を定義します。 ログインしているユーザーは、または時間で定義した期間(最後にログインしたときから)が経過すると再認証が必要です。 常時プロンプトオプションは、ユーザーが常にクライアントに認証しなければならないことを意味します。

アカウントのSSOプロバイダーとしてOktaを設定するには:

  1. Oktaアカウントの管理者権限を有効にし、Oktaポータルのメニューバーから管理者をクリックします。

  2. Oktaのアプリケーションウィンドウで、アプリカタログを閲覧をクリックし、Catoポータルを検索します。

  3. 統合を追加をクリックします。

  4. Catoポータルを追加ウィンドウで、ユーザーにアプリケーションアイコンを表示しないを選択します。

  5. 完了をクリックします。

  6. アサインメントタブで、アプリケーションに対してPeopleとGroupsを割り当てます。

  7. 割り当てるをクリックします。

  8. サインオン > 設定ウィンドウには、OktaアカウントのクライアントIDクライアントシークレットが表示されます。

    Okta3.png

    このウィンドウは開いたままにしておき、クライアントIDとクライアントシークレットをCato管理アプリケーションにコピーする必要があります。

  9. 保存をクリックしてください。 Oktaは、CatoアカウントのSSOプロバイダーとして設定されています。

  10. 新しいタブまたはウィンドウで、Cato管理アプリケーションを開きます。

  11. ナビゲーションメニューからアクセス > シングルサインオンを選択します。

  12. 新規をクリックします。

  13. Identity Providerドロップダウンメニューから、Oktaを選択します。

    SSO_Okta.png

  14. 名前を入力します。

  15. Oktaウィンドウから以下の設定をコピーし、Cato管理画面に貼り付けます:

    • クライアントID

    • クライアントシークレット

  16. アカウントのOktaドメインプレフィックスとサフィックスを入力します。

  17. 1つのシングルサインオンプロバイダーを設定している場合、デフォルトトグルを有効にします。 複数のシングルサインオンプロバイダーを設定する場合は、複数のアイデンティティプロバイダーの設定を参照してください。

  18. 適用をクリックします。

  19. アカウント内の1つ以上の種類のユーザーに対して、シングルサインオンでのログインを許可する を選択します:

    • SDPクライアントユーザ(トークンの有効期間設定を行う)

    • クライアントレスSDPユーザ(Cookieタイプを設定する)

    • Cato管理画面の管理者

  20. 保存をクリックしてください。 OktaがアカウントのSSOプロバイダーとして設定されています。

SSOを使用したブラウザーアクセスポータルの利用

ブラウザアクセスポータルにログインする際は、Oktaを選択して接続し、Oktaの資格情報を入力します。 Oktaに正常にログインすると、ブラウザーアクセスポータルにリダイレクトされ、ポータルからアプリケーションを選択できます。

SSOを使用してブラウザーアクセスポータルにログインするには、SSOドメインへのアクセスを許可する必要があります。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント