アカウントでSSOを使用してユーザーをプロビジョニングし、認証するために、複数のアイデンティティプロバイダー(IdP)を設定できます。 この記事では、アカウントで複数のIdPを設定する方法を説明します。
組織が複数のIdP間でユーザーを管理する場合、すべてのユーザーを1つのテナントに統合する必要がないように、すべてのIdPをCatoに統合できます。 複数のIdP(または同じIdPからの複数のテナント)からユーザーをプロビジョニングし、複数のSSOプロバイダーを設定して、各プロバイダーで認証するユーザーをマップできます。
ユーザーがCatoクライアントまたはブラウザアクセスにサインインすると、設定済みのSSOプロバイダーのみが提示されます。
注意
注意: 既存のIdPインスタンスからユーザーを移行する方法として複数のアイデンティティプロバイダーの設定を使用すべきではありません。 既存インスタンスを別のIdPに移動するには、こちらの指示に従ってください。
複数のIdPを設定する手順は以下の通りです:
-
複数のSCIMディレクトリを設定する
-
アカウントに複数のSSOプロバイダーを設定する
-
ディレクトリをSSOプロバイダーにマップする
アクセス > ディレクトリサービスページで、新規をクリックして、複数のソースからユーザーをプロビジョニングするためのSCIMディレクトリを追加します。 SCIMでのユーザーのプロビジョニング方法に関する詳細については、SCIMユーザーのプロビジョニングをご覧ください。 UPNとオブジェクトIDは、すべてのSCIMディレクトリサービスで一意である必要があります。
アカウントで使用するためのアイデンティティプロバイダーを複数追加できます。 デフォルトとして指定されたプロバイダーは、管理者がCato管理画面にサインインするために使用されます。 管理者がCato管理画面にサインインするための複数のSSOプロバイダーはサポートされていません。
アカウントに複数のSSOプロバイダーを追加するには:
-
ナビゲーションメニューからアクセス > シングルサインオンを選択します。
-
新規をクリックします。
認証方式を追加するパネルが開きます。
-
追加するアイデンティティプロバイダーを選択し、名前を追加します。
-
(オプション)このアイデンティティプロバイダーをアカウントのデフォルトプロバイダーにするには、デフォルトトグルを有効にします。
-
アイデンティティプロバイダーの認証の詳細を追加します。 各プロバイダーには異なる構成要件があります。 アイデンティティプロバイダーの設定方法に関する詳細については、アイデンティティプロバイダーの設定記事をご覧ください。
注意: アイデンティティプロバイダーがAzureである場合、適用をクリックしてから 保存をクリックします。 次に、 Setup Microsoft Consentリンクのエントリを編集して有効にします。
-
アカウント内の1つ以上の種類のユーザーに対して、シングルサインオンのログインを許可を選択してください。
-
SDPクライアントユーザ(トークンの有効期限設定を設定)
-
クライアントレスSDPユーザ(クッキータイプを設定)
-
Cato管理画面の管理者
-
-
適用をクリックしてから保存をクリックします。
ユーザー認証ページで、ユーザーのデフォルトの認証方法を定義できます。 SSOを選択すると、デフォルトですべてのディレクトリサービスオプションが選択されます。 この構成では、すべてのユーザーがデフォルトのSSOプロバイダーで認証されます。 この構成を変更して、どのディレクトリがそれぞれのSSOプロバイダーを使用するかをマップすることができます。
追加設定タブで、クライアントで認証に使用されるブラウザ(組み込みまたは外部)と再認証プロンプトを設定できます。 詳細については、Catoクライアントの認証ポリシーの設定を参照してください。
アカウントで不要になったアイデンティティプロバイダーを無効にすることができます。 アイデンティティプロバイダーが無効化されると、ユーザーがCatoクライアントにサインインするために使用することができなくなります。
アカウントで複数のアイデンティティプロバイダーが設定されている場合でも、ユーザーへの影響はありません。 ユーザーがメールアドレスを入力してサインインした後、クライアントはそのユーザーにマップされたSSOプロバイダーのサインインページを表示します。
0件のコメント
記事コメントは受け付けていません。