DUO SSOの設定

この記事では、ユーザーのためのシングルサインオン（SSO）プロバイダとしてCisco DUOを設定する方法を説明します。

SSOはCatoとIdPからの暗号化されたトークンに依存し、それによりユーザーが認証されており、ネットワークに接続する許可が与えられることを検証します。詳細については、Cato でのユーザーのためのSSO認証をご覧ください。

概要

DUOをSSOプロバイダとして設定すると、認証が簡素化され、ユーザーエクスペリエンスが向上します。アカウントでSSOを有効にすると、ユーザーはSSO認証情報を使ってクライアントにログインでき、異なるセットの専用資格情報を必要としません。

次の手順に従って、DUOをSSOプロバイダーとして設定します。

DUO 管理者パネルで、以下のプロセスを通じてアプリケーションを作成し、CMA に入力する以下の値を特定します：

アプリケーションを作成するには:

DUO管理パネルにログインする。
アプリケーション > アプリケーションに移動します。
アプリケーションを追加をクリックします。
OAuth OIDC アプリケーションを検索し、そのオプションを選択します。
アプリケーション名を追加して、次の詳細を設定します。
- ユーザーアクセス - 全てのユーザーに対して有効化を選択する
- 付与タイプ (一般タブ) - 認証コードのチェックボックスにチェックを入れます
- サインインリダイレクトURL - 次のURLを追加します：
- 範囲と主張 > スコープ承認 (アクセスポリシータブ) - 次の範囲を追加します：
  - openid
  - profile
  - email
- パブリッククライアント登録 (クライアントタブ) - 次の範囲を追加します：
  - openid
  - profile
  - email
保存をクリックしてください。
メタデータセクションで、OIDC探索URLをコピーして保存し、CMAに入力できるようにします。
静的クライアント登録 セクションで、クライアントID と クライアントシークレット をコピーして保存し、CMAに入力できるようにします。

CMA で、前のステップで作成した DUO アプリケーションの詳細を入力します。

DUOをSSOプロバイダーとして設定するには：

CMAで、ナビゲーションメニューから、アクセス > シングルサインオンをクリックします。
新規をクリックします。
Identity Provider ドロップダウンメニューから Duo を選択します。
この統合を識別するを入力します。
（オプション） DUOをデフォルトのSSOプロバイダーとして設定するには、デフォルトトグルを有効にします。複数のシングルサインオンプロバイダーを設定している場合は、複数のアイデンティティプロバイダーの設定をご覧ください。
OIDC 探索 URL を Well-Known URL およびステップ1で作成した クライアント ID として入力します。
クライアントシークレットを編集 をクリックし、Step 1で作成した値を入力します。
適用をクリック。

ユーザー、Cato管理アプリケーション管理者、またはその両方に対して、DUOを使用してSSOで認証する許可を選択できます。

Cato 認証トークンの有効期間を設定することもできます。 トークンの有効期限設定では、ユーザーが認証されたままになる時間を分および時間で定義します。ログインしているユーザーは、設定された日または時間（最後のログイン後）が経過すると再認証が必要になります。

常にプロンプト オプションは、ユーザーが常にクライアントに認証する必要があることを意味します。

アカウント内でDUOの使用方法を設定するには：

アクセス > シングルサインオンページで、どのユーザーがSSOで認証できるか、また必要に応じて、トークンの有効期限、クッキータイプ、および期間設定を定義します。
保存をクリックしてください