ForgeRock SSOの設定

この記事は、ForgeRockを唯一のシングルサインオン（SSO）プロバイダとして設定する方法を説明します。

SSOは、CatoおよびIdPからの暗号化されたトークンに依存して、ユーザーが認証され、ネットワークに接続できることを検証します。詳細については、SSO Authentication for Users with Catoを参照してください。

概要

ForgeRockをSSOプロバイダーとして設定することで、認証が簡略化され、ユーザーエクスペリエンスが向上します。アカウントにSSOが設定されている場合、ユーザーはSSOの資格情報を使用してCatoクライアントにログインでき、別の専用の資格情報セットは必要ありません。

ForgeRockをSSOプロバイダーとして設定する手順は次のとおりです。

ForgeRockの管理コンソールで、OIDCクライアントを追加してください。

この手順はForgeRockコンソールに関するもので、変更される可能性があります。

ForgeRock クライアントとして Cato を追加するには:

ForgeRock のトップレベル領域に移動して、アプリケーション > OAuth 2.0 > クライアントの下で、クライアントを追加をクリックします。
コアタブで基本設定を入力し、クライアントシークレットを含めます。後で Cato と統合するためにクライアントシークレットが必要になります。
Redirect URIsフィールドに、次のCato URIsを入力します:
クライアントのユーザーSSO用:
- https://sso.via.catonetworks.com/auth_results
- https://sso.ias.catonetworks.com/auth_results
- https://sso.proxy.catonetworks.com/auth_results
CMAの管理者SSO用:
- https://auth.catonetworks.com/oauth2/broker/code/forgerock
- https://auth.us1.catonetworks.com/oauth2/broker/code/forgerock
- https://auth.jp1.catonetworks.com/oauth2/broker/code/forgerock
- https://auth.in1.catonetworks.com/oauth2/broker/code/forgerock
- https://auth.us1.catonetworks.com/endsession/
- https://auth.catonetworks.com/endsession/
- https://auth.in1.catonetworks.com/endsession/
- https://auth.jp1.catonetworks.com/endsession/
ScopesおよびDefault Scopesフィールドに、email、openid、およびprofileを入力します。
AdvancedタブのToken Endpoint Authentication Methodフィールドで、client_secret_postが選択されていることを確認してください。
SaveをクリックしてForgeRockクライアントを作成します。

CMAで、前のステップで作成したForgeRockクライアントの詳細を入力してください:

ForgeRockをSSOプロバイダーとして設定するには:

CMAのナビゲーションメニューから、Access > Single Sign Onをクリックします。
新規をクリックします。
Identity Provider ドロップダウンメニューから、ForgeRockを選択します。
この統合を識別するための名前を入力してください。
次のように既知のURLを入力してください:

https://<AM_HOST>:<PORT>/<AM_DEPLOYMENT_URI>/oauth2/.well-known/openid-configuration?realm=<REALM_PATH>
ステップ1で作成したクライアントIDとクライアントシークレットを入力してください。
1つのシングルサインオンプロバイダを設定する場合、デフォルトトグルを有効にします。

複数のシングルサインオンプロバイダを設定する場合は、複数のアイデンティティプロバイダーの設定を参照してください。
適用をクリックします。