この記事では、アカウント内のユーザーのためのシングルサインオン(SSO)と、Cato管理アプリケーションおよびブラウザアクセス用サブドメインの構成方法について説明します。
アクセス > シングルサインオン 画面では、アカウントのために1つのシングルサインオン (SSO) プロバイダーを選ぶことができます。 このSSOプロバイダーを使用して、ユーザーをCatoクライアント、ブラウザアクセス、およびCato管理アプリケーションの管理者に認証することができます。
サポートされているSSOプロバイダーのリストについては、シングルサインオン を参照してください。
アカウント内のユーザーに対して異なるSSO認証設定を選択することができます。 ユーザーはSSOプロバイダー、およびCatoユーザー認証情報のいずれかを使用して認証することができます。
Cato管理画面の管理者の場合、SSOプロバイダーのユーザ名(管理者のメールアドレス)が認証プロセスの一部として使用されます。 Cato管理画面の管理者とSSOプロバイダーアカウントで同じメールアドレスを使用していることを確認してください。
アカウント用に複数のSSOプロバイダーを設定することができます。 詳細については、複数のアイデンティティプロバイダーの設定を参照してください。
注意
注意: SDPユーザー、クライアントレスSDP、Cato管理画面の管理者のために異なる認証設定を選ぶことができますが、全て同じSSOプロバイダーを利用します。
Cato 管理画面の管理者向けSSO認証の有効化について詳しくは、管理者の認証設定の構成を参照してください。
アカウントのカスタムサブドメインを作成することで、ユーザーが会社のログインウィンドウを簡単に識別できるようにします。 Cato管理画面とクライアントレスSDPポータルの両方で同じサブドメインを使用します。 以下を参照して、Catoサブドメインの設定を行います。
注意
注意: アカウントのSSOプロバイダーとして構成する前に、AzureとOktaでSSOアプリを設定してください。 さらに詳しくは次を参照してください:
シングルサインオンウィンドウを使用して、アカウントのユーザーを認証するためにSSOプロバイダーを設定します。 Microsoft AzureとOktaでSSO設定を行うには、管理者権限が必要です。 AzureとOkta SSOの設定に関する詳細については、該当するMicrosoftおよびOktaのドキュメントを参照してください。
シングルサインオンを無効にすると、ユーザーはCatoのユーザー資格情報でのみ認証できます。
どのドメインがSSOで認証できるかを設定することができます。 特定のドメインに基づいたアクセス制限は、アカウントのセキュリティを強化します。
最高のセキュリティプラクティスとして、SSOトークンの有効期限を最大30日間に設定することをお勧めします。 SSOセッションの動作について詳しくは、Windows SDPクライアントのSSOセッション動作を参照してください。
追加のセキュリティのために、常時プロンプト機能を有効にすることができ、Cato Cloudに接続する際にはエンドユーザーがIdPに認証を要求されます。 これには、Cato Cloudから切断されたときも含まれ、例えば、クライアントがあるPoPから別のPoPに移動する際などです。
エンドユーザーが再認証される前に、デバイスがCato Cloudに継続的に接続できる最大時間を設定します。 常時プロンプトが有効な場合、エンドユーザーが切断して再接続するとき、認証が強制される前に全期間が適用されます。
注意
注意: 切断時、Cato Cloudに再接続した場合、エンドユーザーは認証された状態が2分間の猶予期間で維持されます。
重要
重要: アカウントのSSOプロバイダとしてAzureおよびOktaを構成する前に、SSOアプリを構成していることを確認してください。 詳細情報については、次を参照してください:
アカウントのユーザーを認証するためにSSOプロバイダーを設定するには、シングルサインオンウィンドウを使用します。 Microsoft AzureおよびOktaでSSO設定を構成するには、管理者の権限が必要です。 AzureおよびOkta SSOの設定については、関連するMicrosoftおよびOktaのドキュメントを参照してください。
シングルサインオンを無効化すると、ユーザーはCatoのユーザー認証情報のみで認証できます。
どのドメインがSSOで認証を許可されているかを構成することができます。 特定のドメインに基づいてアクセスを制限することは、アカウントのセキュリティを高めます。
アカウントのSSOプロバイダー設定を構成するには:
-
ナビゲーションメニューからアクセス > シングルサインオンを選択します。
-
新規作成をクリックします。
SSOプロバイダーの設定の1つで続行します。 詳細情報は、シングルサインオンを参照してください。
-
1つのシングルサインオンプロバイダーを設定している場合は、デフォルトトグルを有効にします。 複数のシングルサインオンプロバイダーを設定する場合は、複数のアイデンティティプロバイダーの設定を参照してください。
-
適用をクリックします。
-
アカウントの1つまたは複数のユーザ種類に対して、シングルサインオンでのログインを許可するを選択します:
-
SDPクライアントユーザ(トークンの有効期限設定を設定)
-
クライアントレスSDPユーザ(Cookieタイプを設定)
-
Cato管理画面の管理者
-
-
保存をクリックしてください。 SSO設定がアカウントに対して設定されました。
シングルサインオン ウィンドウを使用して、Cato管理アプリケーションおよびクライアントレスSDPポータルのサブドメインを設定します。 各ログインウィンドウのURLも確認できます。
Catoサブドメインは、sample.comのようなトップレベルドメイン(TLD)をサポートしていません。 サブドメインには文字と数字を使用できます。 サブドメイン内でダッシュは有効な文字ですが、SDPユーザーポータルのURLには無効です。
注意
注: アカウントのサブドメインを変更した場合、Cato管理アプリケーションおよびSDPユーザーポータルへの全てのログインは新しいサブドメインを使用する必要があります。
アカウント用のサブドメインを設定するには:
-
ナビゲーションメニューから、アクセス > シングルサインオンをクリックします。
-
Catoサブドメイン セクションに、アカウント用のサブドメインを入力します。
-
保存をクリックしてください。
管理者は、アカウントのサブドメインを含むURL https:/<subdomain>.cc.catonetworks.com を使用してCato管理アプリケーションにログインできます。
もし管理者がURL https://cc.catonetworks.com でログインした場合、サブドメインを識別するための追加のウィンドウがあります。
0件のコメント
サインインしてコメントを残してください。