KeycloakでのSSOを構成する

この記事では、SDPユーザーおよびCato管理アプリケーション (CMA) 管理者向けの唯一のシングルサインオン (SSO) プロバイダーとしてKeycloakを構成する方法を説明します。

SSOは、ユーザーが認証され、ネットワークへの接続が許可されていることを確認するために、CatoおよびIdPからの暗号化されたトークンに依存しています。 詳細については、Cato利用者向けSSO認証を参照してください。

概要

KeycloakをSSOプロバイダーとして構成することで、CMA管理者とCatoクライアントで接続するリモートユーザーの認証を集約できます。 この統合により、Keycloakの資格情報を使用したログインを実施することで、アカウントのセキュリティが向上し、アイデンティティ管理が簡単になります。

Catoの各ユーザーと管理者のメールアドレスがKeycloak内の対応するメールと一致していることを確認してください。

SSOが有効になると、管理者はCMAにアクセスするためにKeycloakで認証する必要があり、管理者とユーザーの両方がCatoクライアントに接続するためにKeycloakで認証する必要があります。

SSOプロバイダーとしてKeycloakを設定する

以下の手順に従って、SSOプロバイダーとしてKeycloakを構成してください。

  1. Keycloak管理コンソールでCatoをKeycloakクライアントとして追加

  2. CMAにKeycloakホストの詳細を入力

ステップ1: KeycloakクライアントとしてCatoを追加

Keycloak管理コンソールでCatoをクライアントとして追加します。 クライアントとしてCatoを構成する過程で、Cato URIを許可リストに登録します。 このCMAのステップ2で以下の値が必要になります:

  • クライアントID

  • クライアントシークレット

この手順は変更される可能性のあるKeycloakコンソールに関連しています。 最新のKeycloakドキュメントを読むには、リソースサーバーの管理を参照してください。

KeycloakクライアントとしてCatoを追加するには:

  1. Keycloakで、Clients > Create Clientに進みます。

  2. 一般設定タブで、クライアントIDを含む基本設定を入力します。 後でCatoと統合するためにクライアントIDが必要です。

    keycloak_general.png

  3. 機能設定タブで、クライアント認証が有効になっていることを確認してください。

    keycloak_capability_config.png

  4. ログイン設定タブにおいて、有効なリダイレクトURIに以下のCato URIを入力します:

    keyCloak_login_settings.png

    • https://sso.via.catonetworks.com/auth_results

    • https://sso.ias.catonetworks.com/auth_results

    • https://sso.proxy.catonetworks.com/auth_results

    • https://169.254.255.254/auth_results

    • https://auth.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak

    • https://auth.catonetworks.com/endsession/*

    • https://auth.us1.catonetworks.com/endsession/*

  5. 保存をクリックしてKeycloakクライアントを作成します。

  6. クライアントエリアに移動して、作成したクライアントをクリックします。

  7. 認証情報タブに移動し、クライアントシークレットをコピーします。 CMAでSSOプロバイダーを作成するときにこの値が必要です。

    keycloak_client_secret.png

ステップ2: KeycloakをSSOプロバイダーとして設定

CMAで、先のステップで作成したKeycloakクライアントの詳細を入力します:

  • Keycloak URL

  • クライアントID

  • クライアントシークレット

Keycloak URLの値は、プロトコルのプレフィックスを除き、Realm名の終わりまでのURLの最初の部分です。

例えば、Keycloakにアクセスするために使用するURLがhttps://keycloak.example.com/realms/myRealm/.well-known/openid-configurationの場合、keycloak.example.com/realms/myRealmをKeycloak URLとして入力します。

Catoは<を使用してSSOのために複数のIdPを構成することをサポートしています。 CMA管理者にはデフォルトのSSOプロバイダーのみが使用され、Keycloakがデフォルトの認証方法として定義されていることを確認してください。

keycloak_cma_config.png

KeycloakをSSOプロバイダーとして構成するには:

  1. CMAのナビゲーションメニューから、アクセス > シングルサインオンをクリックします。

  2. 新規をクリックします。

  3. Identity ProviderドロップダウンメニューからKeycloakを選択します。

  4. この統合を識別するための名前を入力します。

  5. プロトコルプレフィックスを除き、Realm名までのKeycloak URLを入力します。

  6. ステップ1で作成したクライアントIDクライアントシークレットを入力します。

  7. デフォルトトグルを有効にして、CMA管理者の唯一のSSOプロバイダーとしてKeycloakを使用します。

  8. 適用をクリックします。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント