この記事では、ユーザーのためのシングルサインオン(SSO)プロバイダとしてCisco DUOを設定する方法を説明します。
SSOはCatoとIdPからの暗号化されたトークンに依存し、それによりユーザーが認証されており、ネットワークに接続する許可が与えられることを検証します。 詳細については、Cato でのユーザーのためのSSO認証 をご覧ください。
注意
注: この機能の有効化および使用に関する詳細情報については、feature-releases@catonetworks.com までご連絡ください。
DUOをSSOプロバイダとして設定すると、認証が簡素化され、ユーザーエクスペリエンスが向上します。 アカウントでSSOを有効にすると、ユーザーはSSO認証情報を使ってクライアントにログインでき、異なるセットの専用資格情報を必要としません。
次の手順に従って、DUOをSSOプロバイダーとして設定します。
- DUO管理パネルでOIDCアプリケーションを作成する
- Cato管理アプリケーションで詳細を設定する
- DUOがアカウントで使用される方法を設定する
DUO管理パネルでアプリケーションを作成し、CMAに入力するために次の値を識別します。
- OIDC探索URL
- クライアントID
- クライアントシークレット
アプリケーションを作成するには:
- DUO管理パネルにログインする。
- アプリケーション > アプリケーションに移動します。
- アプリケーションを追加をクリックします。
-
アプリケーション名を追加して、次の詳細を設定します。
- アプリケーションタイプ - OAuth 2.1 / OIDC - シングルサインオン
- ユーザーアクセス - 全てのユーザーに対して有効化を選択する
- 認可タイプ - 認証コードのチェックボックスを選択する
-
サインインリダイレクトURL - 次のURLを追加します:
-
スコープ & クレーム > メール - IdP属性
とクレームメールを使用してクレームを追加 -
スコープ & クレーム > スコープ認可 - 次のスコープを追加:
- openid
- profile
-
パブリッククライアント登録 - 次のスコープを追加:
- openid
- profile
- 保存をクリックしてください。
- メタデータセクションで、OIDC探索URLをコピーして保存し、CMAに入力できるようにします。
- 静的クライアント登録 セクションで、クライアントID と クライアントシークレット をコピーして保存し、CMAに入力できるようにします。
CMAにて、前のステップで作成したDUOアプリケーションの詳細を入力します。
- OIDC探索エンドポイントはWell-Known URLです
- クライアントID
- クライアントシークレット
DUOをSSOプロバイダーとして設定するには:
- CMAで、ナビゲーションメニューから、アクセス > シングルサインオンをクリックします。
- 新規 をクリックします。
- Identity Provider ドロップダウンメニューから Duo を選択します。
- この統合を識別する
を入力します。 - (オプション) DUOをデフォルトのSSOプロバイダーとして設定するには、デフォルトトグルを有効にします。 複数のシングルサインオンプロバイダーを設定している場合は、複数のアイデンティティプロバイダーの設定をご覧ください。
- Step 1で作成した Well-Known URL と クライアントID を入力します。
- クライアントシークレットを編集 をクリックし、Step 1で作成した値を入力します。
- 適用をクリック。
ユーザー、Cato管理アプリケーション管理者、またはその両方に対して、DUOを使用してSSOで認証する許可を選択できます。
Cato 認証トークンの有効期間を設定することもできます。 トークンの有効期限設定では、ユーザーが認証されたままになる時間を分および時間で定義します。 ログインしているユーザーは、設定された日または時間(最後のログイン後)が経過すると再認証が必要になります。
常にプロンプト オプションは、ユーザーが常にクライアントに認証する必要があることを意味します。
0件のコメント
記事コメントは受け付けていません。