アカウントのAzure SSOの設定

この記事では、Azure をアカウント内の SDP ユーザー、クライアントなしユーザー、および Cato 管理アプリケーション (CMA) の管理者に対するシングルサインオン (SSO) プロバイダとして設定する方法を説明します。

SSO relies on an encrypted token from Cato and your IdP to validate that the user is authenticated and allowed to connect to the network. 詳細については、ユーザーの Cato による SSO 認証を参照してください。

アカウントに対して SSO を有効にする方法については、SSO の設定とサブドメインのアカウント設定を参照してください。

シングルサインオンの設定

Cato シングルサインオン (SSO) を使用すると、Cato ユーザーが Cato Networks からの専用資格情報を必要とせずに、既存の Identity Provider (IdP) の資格情報を使用して認証できます。ユーザーは、Azure で定義されたメールアドレスまたはユーザープリンシパル名 (UPN) を使用して Cato に接続できます。

Cato アカウントでの SSO の概要

Cato、Identity Provider、および会社のユーザーディレクトリ間で信頼のチェーンが確立された後、Catoはユーザー認証のためにIdentity Providerを信頼します。

Cato SSOはこれらのクライアントオペレーティングシステムをサポートしています：

Windows
macOS
iOS
Android
Linux

既知の制限事項

中国におけるAzureはサポートされていません

Azure との SSO 設定の準備

Azureとの信頼を確立する前に、次の事前条件を完了してください。

Azure へのグローバル管理者または特権ロール管理者権限が必要であり、Azure と CMA の両方に同じ電子メールを使用します。

注: CMA 管理者が Entra ID アカウントを持っていない場合、統合は失敗します。
LDAPの場合、AzureはCatoアカウント内のユーザーディレクトリと同期する必要があります。
手動で作成されたSDPユーザーの場合、Windows v5.x、macOS v5.x、およびLinux v5.xのクライアントにSSOがサポートされています。
- iOSおよびAndroidの場合、組織からLDAPまたはSCIMプロビジョニングを使用してCatoにインポートされたユーザーのみがSSOを利用できます。
各Azureユーザーのためのプロフィールには有効な電子メールアドレスが必要です。

MicrosoftとのSSOの設定

このセクションでは、Cato管理画面からMicrosoft AzureでSSOを設定する方法を説明します。

アカウント用にMicrosoftでSSOを構成するために：

ナビゲーションメニューからアクセス > シングルサインオンを選択します。
クリックします新規。
Identity ProviderドロップダウンメニューからMicrosoft Azureを選択します。
名前を入力します。
適用をクリックし、シングルサインオンのページで保存をクリックします。
シングルサインオンのページで、作成したプロバイダをクリックします。
Microsoft の同意設定をクリックします。

要求された権限のポップアップウィンドウが表示されます。

注意: 適用をクリックし、その後保存をクリックします。その後、Microsoft の同意設定 のエントリを編集して有効にする。
権限要求ポップアップウィンドウで、承認するをクリックします。詳細については、以下をご確認ください。
CMAによってAzureテナントをCatoアカウントに関連付けるよう求められた場合は、確認をクリックします。
一つのシングルサインオンプロバイダを構成している場合、デフォルトトグルを有効にしてください。複数のシングルサインオンプロバイダーを構成している場合は、複数のアイデンティティプロバイダーの設定を参照してください。
適用をクリックします。
アカウント内の1つ以上のユーザータイプに対して、シングルサインオンでのログインを許可する を選択します：
- SDPクライアントユーザ（トークンの有効期限の設定を行う）
- クライアントレスSDPユーザ（Cookieタイプを設定）
- Cato管理画面の管理者
保存をクリックしてください。アカウントのAzure SSO設定が構成されました

Cato権限を付与する

このセクションでは、Cato管理画面を使用してMicrosoft Azure ADまたはOffice 365でSSOを有効化する方法を説明します。

ユーザーを識別するためには、Catoがユーザーデータにアクセスすることへの同意が必要です。設定プロセスの一環として、管理者はCato SSOアプリケーションにユーザーを代表してデータへのアクセスを許可する必要があります。これによりAzureテナントでの管理者権限が付与されることはありません。詳細については、Microsoftのドキュメントをご覧ください。

Catoにテナント全体の管理者同意を与えるには、組織を代表して同意する権限を持つユーザー（グローバル管理者または特権ロール管理者）としてAzureにサインインする必要があります。詳細情報については、Microsoft のドキュメントを参照してください。

SDPクライアントユーザがトークンの有効期限設定を構成する場合、ユーザが認証されたままでいる時間を日または時間単位で定義します。ログインしているユーザーは、日または時間単位（最後にログインしてから）で定義した期間に達した時に再認証が必要になります。 常時プロンプトオプションは、ユーザーがクライアントで常に認証する必要があることを意味します。

必要な権限

SSO を有効化するには、Cato が次の権限を付与する必要があります。これらの権限は、設定プロセス中に Cato によって自動的に要求されます。エンタープライズアプリケーションを手動で作成する必要はありません。

API名	クレーム値	権限
Microsoft Graph	電子メール	ユーザーのメールアドレスを表示する
Microsoft Graph	offline_access	付与されたデータへのアクセスを維持する
Microsoft Graph	openid	ユーザーをサインインさせる
Microsoft Graph	プロフィール	ユーザーの基本プロフィールを表示する
Microsoft Graph	User.Read	サインインしてユーザープロフィールを参照する

Azure SSO接続のトラブルシューティング

問題	考えられる原因	解決策
AADSTS50105: サインインしたユーザーがロールに割り当てられていません…	CatoアプリケーションのAzure Active Directoryアプリケーション設定が正しく構成されていません。	Microsoft Azureポータルでアカウントにアクセスします。メニューでAzureディレクトリサービスをクリックします。サブメニューの管理の下で、エンタープライズアプリケーションをクリックします。サブメニューの管理の下で、すべてのアプリケーションをクリックします。右パネルのアプリケーション一覧で、Cato Cloudをクリックします。サブメニューの管理の下で、プロパティをクリックします。右パネルでパラメーターユーザーの割り当てが必要ですか?の下で、いいえをクリックします。クライアントを使用して、Cato VPNに再認証します。
ユーザーが資格情報を入力し、認証せずにログインページに戻される	このAzureユーザーのためのプロフィールは有効な電子メールアドレスを持っていません。	このユーザーのAzureプロフィールに有効な電子メールアドレスを追加します。
AADSTS90008: ユーザーまたは管理者がアプリケーションを使用する許可をしていません	AzureテナントのユーザーデータへのアクセスをCatoに許可していません	ユーザーのデータへのアクセスをCatoに許可します。詳細情報は、Azure とのシングルサインオンに必要な更新を参照してください。