OneLoginでのLDAP同期とSSOの設定

This article explains how to use LDAP to import and sync OneLogin users and configure OneLogin as an SSO provider for Cato users.

SSO relies on an encrypted token from Cato and your IdP to validate that the user is authenticated and allowed to connect to the network. For more details, see SSO Authentication for Users with Cato.

OneLoginでのLDAP同期とSSOの概要

これは、OneLoginをCatoアカウントと統合するためのプロセスの概要です。 OneLoginをCatoと同期するように設定した後、ユーザーのSSOプロバイダーとしてOneLoginを設定することもできます。

  1. OneLoginでバーチャルLDAP設定を設定します。
  2. Cato管理画面で、OneLoginドメインをアカウントに追加します。
  3. ドメインにOneLoginドメインコントローラを追加します。
  4. OneLoginで、OpenID Connectアプリケーションを作成し、CatoがOneLoginを使用してユーザーを認証できるようにします。
  5. グループ(OneLoginロール)をアカウントにインポートします。
  6. ユーザーのSSOプロバイダーとしてOneLoginを選択します。

注意

注意: OneLoginをSSOプロバイダーとして使用するには、OneLoginとCatoの間でLDAP同期を構成する必要があります。 これには、OneLoginアカウントでVLDAPサービスが有効である必要があります。

仮想LDAP設定の構成

OneLoginの制限により、各LDAP同期は500ユーザーに制限されています。 このウィンドウには、Cato管理アプリケーションでドメインを構成する際に使用するログインDN設定も含まれています。

VPN SSOは、OneLogin VLDAPサービスが有効になっている必要があります。 OneLoginをLDAP同期のみに使用している場合、VLDAPを有効にする必要はありません。

OneLoginの制限により、各LDAP同期は500ユーザーに制限されています。 500人以上のユーザーがいるアカウントの場合は、LDAP同期を複数回実行します。

OneLoginでバーチャルLDAP設定を設定するには:

  1. OneLoginで、メニューバーから認証 > VLDAPを選択します。

    OneLogin_VLDAP.png
  2. SSOを使用しているアカウントの場合、VLDAPサービスを有効にするが有効であることを確認してください。
  3. OneLoginアカウントの2要素認証を無効化するにはクリアします。
  4. バーチャル識別名で、バーチャルDNをコピーします。 OneLoginの新しいドメインを追加する(以下)でバーチャルDNを入力します。
  5. 保存をクリックしてください。 バーチャルLDAP設定が設定済みです。

OneLoginとのLDAP同期を行うためのCato管理画面の設定

OneLoginアカウントをディレクトリサービス内の新しいドメインとしてCato管理画面に追加します。 次に、このドメインのドメインコントローラーを定義します。

OneLoginに新しいドメインを追加する

ディレクトリサービスウィンドウを使用して、アカウントに新しいドメインを追加します。 次に、ドメインのためのOneLogin LDAP設定を行います。

ディレクトリサービスに新しいOneLoginドメインを追加するには:

  1. ナビゲーションメニューから、アクセス > ディレクトリサービスをクリックします。

  2. LDAPセクションまたはタブで、新規作成をクリックします。

    Directoryサービスを追加パネルが開きます。

  3. LDAPサーバーでドメインの名前を入力します。

  4. ログインDNLDAP認証接続セクションでOneLogin認証設定を行います:

    OneLogin_LDAP_Details.png
    1. ログインDNで、上記のバーチャルLDAP設定の設定でコピーしたバーチャルLDAPを貼り付けます。
    2. cnをOneLoginアカウントのメールアドレスに変更します。

    3. ベースDNに仮想LDAPを貼り付け、cnouを削除します。 上のスクリーンショットは、これらの設定を示しています:

      • Login DN: cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com
      • Base DN: dc=sample-networks,dc=onelogin,dc=com
    4. OneLoginアカウントの管理者パスワードを入力します。
    5. SSLを使用するを有効にします。
  5. 保存をクリックしてください。 OneLoginドメインはCato管理画面に追加されています。
  6. 接続テストをクリックして、CatoがOneLoginアカウントに接続できることを確認します。

OneLoginのためのドメインコントローラーの設定

OneLoginドメインを設定して保存したら、ドメインコントローラーの設定を行います。 あなたのOneLoginアカウントに適したホスト設定を使用してください:

  • 米国 - ldap.us.onelogin.com
  • ヨーロッパ - ldap.eu.onelogin.com

OneLoginホスト設定について詳しくは、OneLoginドキュメントを参照してください。

ドメインコントローラを設定するには:

  1. LDAPセクションまたはタブから、OneLoginアカウントのドメインを編集します。
  2. ディレクトリサービスを編集ナビゲーションメニューから、ドメインコントローラーを選択します。

  3. ドロップダウンウィンドウからIPまたはホストを選択します。

    OneLogin_DCOM.png

  4. 米国またはヨーロッパのOneLoginホストを入力し、追加をクリックします。

    ドメインに対してSSLが有効化されているため、ホストはポート636を使用します。

  5. 保存して閉じるをクリックしてください。 ドメインコントローラがOneLoginドメインに追加されています。

OpenID ConnectのためのOneLoginアプリケーションの設定

CatoがOneLoginを使用してSDPユーザーを認証できるようにする新しいアプリをOneLoginで作成します。 その後、Catoに接続するように設定します。

注意

注意: OneLoginマーケットプレイスには、現在サポートされていないレガシーのCato Networksアプリが存在します。 このアプリを使用しないことをお勧めします。

新しいアプリの作成

OneLoginで新しいOpenID Connectアプリケーションを作成します。

OpenID Connectアプリケーションを作成するには:

  1. OneLoginアカウントで、メニューバーからアプリケーション > アプリケーションを選択します。
  2. アプリを追加をクリックします。
  3. OpenId Connectを検索し、アプリを選択します。
  4. OpenID Connect (OIDC)を追加ウィンドウで、アプリの表示名を入力します。
  5. 保存をクリックしてください。

OpenID Connectアプリケーションの設定

OneLoginアプリをCato用に設定し、SDPユーザーに対するSSOをサポートします。 CatoはOneLoginグループではなく、役割に基づいてOneLoginとLDAP同期を行います。

Windowsクライアントv5.1以上の新しいSDPユーザー用に、OneLoginアプリのリダイレクトURIを追加で設定する必要があります。 このURIは、以前のバージョンまたはWindowsクライアントv5.1以上にアップグレードする既存のユーザーには必要ありません。

Catoに接続するためのアプリを設定するには:

  1. 左側のナビゲーションメニューから、設定を選択します。

  2. リダイレクトURIにこれらのURIを入力します:

    • https://sso.via.catonetworks.com/auth_results
    • https://sso.proxy.catonetworks.com/auth_results
    • https://auth.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.us1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.in1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.jp1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.catonetworks.com/endsession/callback
    • https://auth.in1.catonetworks.com/endsession/callback
    • https://auth.jp1.catonetworks.com/endsession/callback
    • https://auth.us1.catonetworks.com/endsession/callback

    • (新規リモートユーザー向けのWindowsクライアント)

      • https://sso.ias.catonetworks.com/auth_results
      • https://169.254.255.254/auth_results
  3. 左側のナビゲーションメニューからSSOを選択し、次のSSO設定を行ってください:
    1. アプリケーションタイプWebに設定します。
    2. 認証方法POSTに設定します。
    3. クライアントIDクライアントシークレットをコピーします。 以下のOneLoginをSDPユーザーのSSOプロバイダーとして設定するセクションにこれらの設定を貼り付けます。
  4. 保存をクリックしてください。
  5. 関連するOneLoginユーザーおよび役割にアプリケーションを追加します。
  6. 初期LDAP同期を実行します。 Cato管理画面のディレクトリサービス画面で、今すぐ同期するをクリックします。

SDPユーザー向けSSOプロバイダーとしてOneLoginの設定

Cato管理アプリケーションでは、アカウント内のSDPユーザーと管理者のために、OneLoginをグローバルSSOプロバイダーとして設定できます。

管理者の場合、CMA管理者のメールがOneLoginのメールアドレスと同じであることを確認してください。

OneLoginをSSOプロバイダーとして設定するには:

  1. ナビゲーションメニューからアクセス > シングルサインオンを選択します。
  2. 新規をクリック
  3. Identity Provider ドロップダウンメニューから OneLoginを選択します。
  4. 名前を入力します。

  5. これらの設定を入力します:

    • クライアントID - 上記のOneLoginからコピーしたもの
    • クライアントシークレットを編集する - 上記のOneLoginからコピーしたもの
    • OneLoginドメインプレフィックス - OneLoginアカウントで定義されたドメイン
    • OneLoginドメインサフィックス - onelogin.comを選択
  6. シングルサインオンプロバイダーを1つ構成している場合は、デフォルトトグルを有効にします。 複数のシングルサインオンプロバイダーを設定している場合は、複数のアイデンティティプロバイダーの設定を参照してください。
  7. 適用をクリックします。

  8. アカウント内の一つ以上の種類のユーザーに対してシングルサインオンでのログインを許可するを選択します:

    • SDPクライアントユーザ(トークンの有効性 設定を設定する)
    • クライアントレスSDPユーザ(Cookieタイプを設定する)
    • Cato管理画面の管理者
  9. 保存をクリックしてください。 OneLoginは、アカウント内のSDPユーザのSSOプロバイダーとして設定済みです。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント