複数のIdentity Providerの設定

アカウント内でSSOを用いてユーザーをプロビジョニングおよび認証するために、複数のIdentity Provider(IdP)を設定することができます。 この記事では、アカウントで複数のIdPを設定する方法を説明します。

概要

組織が複数のIdPを通じてユーザーを管理している場合、それらすべてをCatoと統合できるため、ユーザーを単一のテナントに統合する必要がありません。 複数のIdP(または同じIdPの複数のテナント)からユーザーをプロビジョニングし、複数のSSOプロバイダーを設定し、それぞれのプロバイダーで認証するユーザーをマッピングできます。

ユーザーがCatoクライアントまたはブラウザアクセスにサインインすると、そのユーザーに対して構成されたSSOプロバイダーのみが表示されます。

使用例 - 会社の合併

会社ABCはIdPとしてMicrosoft Azureを使用しており、IdPとしてOktaを使用する会社XYZと合併しました。 両社はCatoをリモートアクセスソリューションとして使用しています。 すべてのユーザーを一方のIdPから他方に移行するのではなく、AzureおよびOktaの両方からユーザーをプロビジョニングし、リモートユーザーのためのSSO認証方法として設定し始めます。 複数のIdPを設定すると、データを移行せずにすべてのユーザーがCatoクライアントで認証できるようになります。

複数のIdPの設定

複数のIdPを設定するには次の手順に従います:

  1. 複数のSCIMディレクトリを構成

  2. アカウントに複数のSSOプロバイダーを構成

  3. ディレクトリをSSOプロバイダーにマッピング

ステップ1:複数のSCIMディレクトリの設定

Directory_Services.png

アクセス > ディレクトリサービスページで、新規をクリックして複数のソースからユーザーをプロビジョニングするためにSCIMディレクトリを追加します。 SCIMでユーザーをプロビジョニングする方法の詳細については、SCIMユーザープロビジョニングをご覧ください。 すべてのSCIMディレクトリサービスにおいて、UPNとオブジェクトIDは一意でなければなりません。

ステップ2:アカウントに複数のSSOプロバイダーを追加

アカウントで使用するために複数のIdentity Providerを追加できます。 デフォルトとして指定されたプロバイダは、管理者がCato管理画面にサインインするために使用します。 管理者がCMAにサインインするために複数のSSOプロバイダーはサポートされていません。

Multiple_providers.png

アカウントに複数のSSOプロバイダーを追加するには:

  1. ナビゲーションメニューからアクセス > シングルサインオンを選択します。

  2. 新規をクリックします。

    認証方式を追加するパネルが開きます。

  3. 追加したいアイデンティティプロバイダを選択し、名前を追加します。

  4. (任意)このアイデンティティプロバイダをアカウントのデフォルトプロバイダにするには、デフォルトトグルを有効にします。

  5. アイデンティティプロバイダの認証の詳細を追加します。 各プロバイダーには異なる構成要件があります。 アイデンティティプロバイダの構成方法について詳しくは、アイデンティティプロバイダ用の構成記事を参照してください。

    注意: アイデンティティプロバイダーがAzureの場合は、適用をクリックし、その後保存をクリックします。 その後、Microsoft の同意設定リンクを有効にするためのエントリを編集します。

  6. アカウント内の1つ以上のユーザータイプに対してシングルサインオンでのログインを許可するを選択します:

    • SDPクライアントユーザ(トークンの有効期限設定を設定)

    • クライアントレスSDPユーザ(Cookieタイプを設定)

    • Cato 管理画面の管理者

  7. 適用をクリックし、その後保存をクリックします。

ステップ 3: ディレクトリをSSO プロバイダーにマッピング

ユーザー認証ページで、ユーザーのデフォルト認証方法を定義できます。 SSOを選択すると、デフォルトですべてのディレクトリサービスオプションが選択されます。 この構成では、すべてのユーザーがデフォルトのSSOプロバイダーで認証されます。 この構成を変更し、各ディレクトリがどのSSOプロバイダを使用するかをマップすることができます。

追加設定タブでは、クライアントでの認証に使用されるブラウザ(組み込みまたは外部)と再認証プロンプトを構成できます。 詳細情報は、Catoクライアントの認証ポリシーの設定を参照してください。

User_Authentication.png

To map directories to an SSO provider:

  1. ナビゲーションメニューからアクセス > ユーザー認証を選択します。

  2. デフォルトメソッドドロップダウンをクリックし、SSOを選択します。

  3. 選択されたディレクトリサービスを選択します。

  4. 新規作成をクリックします。

    新しいディレクトリサービス SSO プロバイダーパネルが開きます。

  5. ディレクトリサービスドロップダウンをクリックし、マップしたいユーザーのプロビジョニング方法を選択します。

  6. シングルサインオンプロバイダードロップダウンをクリックし、使用するプロバイダーを選択します。

  7. 適用をクリックし、その後保存をクリックします。

Identity Providerを無効にする

アカウントで不要になったIdentity Providerを無効にすることができます。 Identity Providerが無効化されると、ユーザーはCatoクライアントにサインインする際に使用できなくなります。

Disable.png

Identity Providerを無効にするために

  1. ナビゲーションメニューからアクセス > シングルサインオンを選択します。

  2. 無効にしたいIdentity Providerをクリックします。

  3. 有効トグルをオフにします。

  4. 適用をクリックし、その後保存をクリックします。

ユーザーエクスペリエンスの理解

アカウントに複数のIdentity Providerが構成されている場合でも、ユーザーに影響はありません。 ユーザーがサインイン用にメールアドレスを入力した後、クライアントはユーザーにマップされたSSOプロバイダーのサインインページを表示します。

既知の制限

  • Supported for SCIM or manual user provisioning only

  • 一度構成されると、IdPは削除できません。

    • An IdP can be disabled

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント