Keycloak SSOの構成

この記事は、SDPユーザーおよびCato管理画面管理者用の唯一のシングルサインオン(SSO)プロバイダーとしてKeycloakを構成する方法を説明します。

SSOはCatoとあなたのIdPからの暗号化されたトークンに依存して、ユーザーが認証されネットワークに接続することが許可されることを検証します。 詳細については、Catoのユーザー向けSSO認証をご覧ください。

概要

KeycloakをSSOプロバイダーとして構成することで、管理画面管理者の認証が簡素化され、セキュリティが強化されます。 アカウント用にSSOを有効にすると、管理者はKeycloakの資格情報だけを使用して管理画面にログインできます。

管理画面の管理者のメールアドレスがKeycloakのメールアドレスと同じであることを確認してください。

この統合はCatoクライアントによるリモートアクセスには対応していません。

SSOプロバイダーとしてのKeycloakの構成

以下の手順に従って、SSOプロバイダーとしてKeycloakを構成します。

  1. Keycloak管理コンソールにCatoをKeycloakクライアントとして追加

  2. 管理画面にKeycloakホストの詳細を入力

ステップ1: KeycloakクライアントとしてCatoを追加

Keycloak管理コンソールでCatoをクライアントとして追加します。 クライアントとしてCatoを構成する一環として、Cato URIを許可リストに追加します。 管理画面では、次の値がステップ2で必要です。

  • クライアントID

  • クライアントシークレット

この手順は変更される可能性があるKeycloakコンソールを参照しています。 最新のKeycloakドキュメントを読むには、リソースサーバーの管理を参照してください。

KeycloakクライアントとしてCatoを追加するには:

  1. Keycloakで、クライアント > クライアント作成を開きます。

  2. 一般設定タブで、クライアントIDを含む基本設定を入力します。 後でCatoと統合するためにクライアントIDが必要です。

    keycloak_general.png

  3. 機能設定タブで、クライアント認証が有効になっていることを確認します。

    keycloak_capability_config.png

  4. ログイン設定タブで、有効なリダイレクトURIに次のCato URIを入力します。

    keyCloak_login_settings.png

    • https://sso.via.catonetworks.com/auth_results

    • https://sso.ias.catonetworks.com/auth_results

    • https://sso.proxy.catonetworks.com/auth_results

    • https://169.254.255.254/auth_results

    • https://auth.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.catonetworks.com/endsession/*

    • https://auth.us1.catonetworks.com/endsession/*

  5. 保存をクリックしてKeycloakクライアントを作成します。

  6. クライアントエリアに移動し、先ほど作成したクライアントをクリックします。

  7. クレデンシャルタブに移動し、クライアントシークレットをコピーします。 管理画面でSSOプロバイダーを作成するときに、この値が必要です。

    keycloak_client_secret.png

ステップ2: KeycloakをSSOプロバイダーとして構成する

管理画面で、前のステップで作成したKeycloakクライアントの詳細を入力します。

  • Keycloak URL

  • クライアントID

  • クライアントシークレット

Keycloak URLの値は、HTTPSを除いたURLの最初からRealm名までです。

例えば、KeycloakにアクセスするためのURLがhttps://keycloak.example.com/realms/myRealm/.well-known/openid-configurationの場合、keycloak.example.com/realms/myRealmをKeycloak URLとして入力します。

CatoはアカウントでのSSOのために複数のIdPの使用をサポートします。 管理画面管理者にはデフォルトSSOプロバイダーのみが使用され、Keycloakをデフォルトの認証方法として定義することを確認してください。

keycloak_cma_config.png

KeycloakをSSOプロバイダーとして構成するには:

  1. 管理画面で、ナビゲーションメニューからアクセス > シングルサインオンをクリックします。

  2. 新規をクリックします。

  3. アイデンティティプロバイダードロップダウンメニューからKeycloakを選択します。

  4. この統合を識別するための名前を入力します。

  5. プロトコルプレフィックスなしで、Realm名までのKeycloak URLを入力してください。

  6. ステップ1で作成されたクライアントIDクライアントシークレットを入力します。

  7. デフォルトトグルを有効にして、管理画面管理者用にKeycloakを唯一のSSOプロバイダーとして使用します。

  8. 適用をクリックします。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント