アカウント内で、複数のIDプロバイダー (IdP) を設定してユーザーをSSOでプロビジョニングおよび認証できます。 この記事は、アカウントで複数のIdPを設定する方法を説明します。
組織が複数のIdPでユーザーを管理している場合、それらをすべてCatoに統合することで、ユーザーを単一のテナントに統合する必要がなくなります。 複数のIdP (または同じIdPの複数テナント) からユーザーをプロビジョニングし、複数のSSOプロバイダーを設定して、それぞれのプロバイダーで認証されるユーザーをマッピングできます。
ユーザーがCatoクライアントまたはブラウザアクセスにサインインするとき、設定されたSSOプロバイダーだけが表示されます。
注意
注意: 複数のアイデンティティプロバイダーの設定は、既存のIdPインスタンスからユーザーを移行する方法として使用しないでください。 既存のインスタンスを別のIdPに移動するには、この指示に従ってください。
複数のIdPを設定するために、次の手順に従います:
-
複数のSCIMディレクトリを設定する
-
アカウントに複数のSSOプロバイダーを設定する
-
ディレクトリをSSOプロバイダーにマッピングする
アクセス > ディレクトリサービスページで、新規をクリックして、複数のソースからユーザーをプロビジョニングするための複数のSCIMディレクトリを追加します。 SCIMを使用してユーザーをプロビジョニングする方法の詳細については、SCIMユーザプロビジョニングを参照してください。 UPNとオブジェクトIDは、すべてのSCIMディレクトリサービスで一意でなければなりません。
アカウントで使用するための複数のアイデンティティプロバイダーを追加できます。 デフォルトに指定されたプロバイダーは、管理者がCMAにサインインするために使用します。 複数のSSOプロバイダーは、管理者がCMAにサインインするためにはサポートされていません。
アカウントに複数のSSOプロバイダーを追加するには:
-
ナビゲーションメニューから、アクセス > シングルサインオンを選択します。
-
新規をクリックします。
認証方式を追加するパネルが開きます。
-
追加するアイデンティティプロバイダーを選択し、名前を追加します。
-
(オプション) このアイデンティティプロバイダーをアカウントのデフォルトプロバイダーにするには、デフォルトトグルを有効にします。
-
アイデンティティプロバイダーの認証詳細を追加します。 各プロバイダーには異なる設定要件があります。 アイデンティティプロバイダーの設定方法について詳しくは、アイデンティティプロバイダーの設定記事を参照してください。
注: アイデンティティプロバイダーがAzureの場合、適用 をクリックしてから保存をクリックします。 次に、Microsoft の同意設定リンクエントリを編集して有効にします。
-
アカウント内の1つ以上のユーザータイプに対して、シングルサインオンでのログインを許可するを選択します:
-
SDPクライアントユーザ (トークンの有効期限設定を行う)
-
クライアントレスSDPユーザ (Cookieタイプを設定する)
-
Cato管理画面の管理者
-
-
適用をクリックしてから、保存をクリックします。
ユーザー認証ページで、ユーザーのデフォルト認証方法を定義できます。 SSOを選択すると、デフォルトですべてのディレクトリサービスオプションが選択されます。 この構成では、すべてのユーザーがデフォルトのSSOプロバイダーで認証されます。 この構成を変更して、各ディレクトリがどのSSOプロバイダーを使用すべきかをマッピングできます。
追加設定タブでは、クライアントでの認証に使用されるブラウザ(埋め込みまたは外部)と再認証プロンプトを設定できます。 詳しくは、Catoクライアントの認証ポリシーの構成を参照してください。
アカウントで不要になったアイデンティティプロバイダーを無効化できます。 アイデンティティプロバイダーが無効化されると、Catoクライアントへのサインインに使用できなくなります。
複数のアイデンティティプロバイダーがアカウントに設定されていても、ユーザーには影響はありません。 ユーザーがサインインするためにメールアドレスを入力すると、ユーザーにマッピングされたSSOプロバイダーのサインインページがクライアントに表示されます。
0件のコメント
記事コメントは受け付けていません。