Azure SSO를 계정에 구성

이 글은 Azure를 단일 사인온(SSO) 공급업체로 구성하여 SDP 사용자, 클라이언트 없는 사용자, Cato 관리 애플리케이션(CMA) 관리자를 계정에 활용하는 방법을 설명합니다.

SSO는 Cato 및 귀하의 IdP에서 암호화된 토큰을 사용하여 사용자가 인증되었으며 네트워크에 연결할 수 있는지 확인합니다. 더 많은 세부 정보는 Cato 사용자용 SSO 인증을 참조하세요.

계정에 대해 SSO를 활성화하는 방법에 대한 자세한 내용은 계정의 SSO 및 서브도메인 구성을 참조하세요.

단일 사인온 구성하기

Cato 단일 사인온(SSO)을 사용하면 Cato Networks에서 별도의 자격 증명이 필요 없이 Cato 사용자가 기존의 신원 공급자(IdP) 자격 증명을 사용할 수 있습니다. 사용자는 Azure에 정의된 대로 이메일 주소 또는 사용자 계정 이름(UPN)을 사용하여 Cato에 연결할 수 있습니다.

Cato 계정의 SSO 개요

Cato, 신원 공급자 및 회사의 사용자 디렉토리 간에 신뢰 체인이 설정되면, Cato는 신원 공급자를 사용자 인증에 신뢰합니다.

Cato SSO는 다음 클라이언트 운영 체제를 지원합니다:

  • Windows
  • macOS
  • iOS
  • Android
  • Linux

서비스 제한 사항

  • 중국에서는 Azure가 지원되지 않습니다

Azure와 함께 SSO 구성을 준비 중

Azure와 신뢰 관계를 설정하기 전에 다음 필요 조건을 완료했는지 확인하십시오.

  • Azure와 CMA에 같은 이메일을 사용하여 Azure에 대해 글로벌 관리자 또는 사용자 지정 역할 관리자 권한이 있어야 합니다.

    참고: 관리자에게 Entra ID 계정이 없는 경우 통합이 실패합니다.

  • LDAP를 위해 Azure는 Cato 계정의 사용자 디렉토리와 동기화되어야 합니다

  • 수동으로 생성된 SDP 사용자에 대해서는 Windows v5.x, macOS v5.x, Linux v5.x 클라이언트에 대해 SSO가 지원됩니다.

    • iOS 및 Android에서는 LDAP 또는 SCIM 프로비저닝을 통해 조직에서 Cato로 가져온 사용자만 SSO를 사용할 수 있습니다
  • 각 Azure 사용자의 프로필에는 유효한 이메일 주소가 있어야 합니다

Microsoft와 SSO 구성

This section explains how to configure SSO with Microsoft Azure from the Cato Management Application.

Azure.png

계정에 대해 Microsoft SSO를 구성합니다:

  1. 탐색 메뉴에서 클라우드 액세스 > 단일 사인온을 선택하세요.
  2. 새로 클릭하세요.
  3. 신원 공급자 드롭다운 메뉴에서 Microsoft Azure를 선택하세요.
  4. 이름을 입력하세요.
  5. 적용을 클릭하고 단일 사인온 페이지에서 저장을 클릭하세요.
  6. 단일 사인온 페이지에서 방금 생성한 공급업체를 클릭하세요.

  7. Click Set up Microsoft Consent.

    The Permissions requested pop up window is displayed.

    Note: Click Apply and then click Save. Then edit the entry for the Setup Microsoft Consent link to be enabled.

    Permission_requested.png
  8. 권한 요청됨 팝업 창에서 수락을 클릭하세요. 더 많은 정보를 참고하세요. 
  9. CMA에서 Azure 테넌트를 Cato 계정과 연결하라는 메시지가 표시되면 확인을 클릭하세요.
  10. 단일 사인온 공급업체 하나를 구성 중인 경우 기본 설정 토글을 활성화하세요. 여러 단일 사인온 공급업체를 구성 중인 경우 여러 컨설턴트 공급자 구성을 참조하세요.
  11. 적용을 클릭하세요.

  12. Select Allow login with Single Sign-On for one or more types of users in your account:

    • SDP 클라이언트 사용자 (토큰 유효성 설정)
    • 클라이언트리스 SDP 사용자 (쿠키 유형 설정)
    • Cato 관리 애플리케이션 관리자
  13. 저장을 클릭하세요. 귀하의 계정에 대해 Azure SSO 설정이 구성되었습니다

Cato 권한 부여

이 섹션은 Microsoft Azure AD 또는 Office 365와 SSO를 활성화하기 위해 Cato 관리 애플리케이션을 사용하는 방법을 설명합니다.

사용자를 식별하기 위해 Cato는 사용자 데이터에 대한 접근 동의를 요구합니다. 구성 과정의 일부로, 관리자는 사용자를 대신하여 데이터에 접근할 수 있도록 Cato SSO 애플리케이션에 권한을 부여해야 합니다. 이는 Azure 테넌트에 대한 관리자 권한을 제공하지 않습니다. 자세한 내용은 Microsoft 문서를 참조하세요.

Cato를 위해 테넌트 전역 관리자 동의를 부여하려면 조직을 대표하여 동의할 권한이 있는 사용자(글로벌 관리자 또는 특권 역할 관리자)로 Azure에 로그인해야 합니다. 자세한 내용은 Microsoft 문서를 참조하세요.

SDP 클라이언트 사용자에 대해서는, 토큰 유효 기간 설정을 구성하여 또는 시간 단위로 사용자가 인증된 상태를 유지하는 시간을 정의합니다. 로그인한 사용자는 또는 시간(마지막 로그인 후) 단위로 설정한 기간이 도달하면 다시 인증해야 합니다. 항상 프롬프트 옵션은 사용자가 클라이언트에서 항상 인증해야 함을 의미합니다.

필수 권한

SSO를 활성화하려면 Cato에서 다음 권한을 부여받아야 합니다. 이 권한들은 구성 과정 중 자동으로 Cato에 의해 요청됩니다. Enterprise Application을 직접 생성할 필요가 없습니다.

Azure.png

API 이름 클레임 값 권한
Microsoft Graph 이메일 사용자의 이메일 주소 보기
Microsoft Graph offline_access 부여된 데이터에 대한 액세스 유지
Microsoft Graph openid 사용자 로그인
Microsoft Graph 프로필 사용자의 기본 프로필 보기
Microsoft Graph User.Read 로그인 및 사용자 프로필 읽기

Azure SSO 연결 문제 해결

이슈

예상 원인

해결책

AADSTS50105: 로그인한 사용자가 역할에 할당되지 않았습니다 ...

Cato 애플리케이션에 대한 Azure Active Directory 애플리케이션 설정이 올바르게 구성되지 않음

  1. Microsoft Azure 포털에서 계정에 액세스하십시오.

  2. 메뉴에서 Azure Directory Services를 클릭하세요.

  3. 하위 메뉴에서 관리 아래에서 엔터프라이즈 애플리케이션을 클릭하십시오.

  4. 하위 메뉴에서 관리 아래에서 모든 애플리케이션을 클릭하세요.

  5. 오른쪽 패널에서 애플리케이션 목록에서 Cato Cloud를 클릭하세요.

  6. 하위 메뉴에서 관리 아래에서 속성을 클릭하세요.

  7. 오른쪽 패널에서 사용자 할당 필요? 매개변수에서 아니오를 클릭하세요.

  8. 클라이언트를 사용하여 Cato VPN에 다시 인증하십시오.

사용자가 자격 증명을 입력하고 인증하지 않고 로그인 페이지로 돌아갑니다

이 Azure 사용자의 프로필에는 유효한 이메일 주소가 없습니다.

이 사용자의 Azure 프로필에 유효한 이메일 주소를 추가하세요.

AADSTS90008: 사용자 또는 관리자가 애플리케이션 사용에 동의하지 않았습니다.

Azure 테넌트에 있는 사용자의 데이터에 액세스하도록 Cato에 동의하지 않았습니다.

사용자의 데이터에 액세스하도록 Cato에게 동의합니다. 더 많은 정보는 Azure와 함께 단일 사인온 업데이트 요구 사항을 참조하십시오.

도움이 되었습니까?

5명 중 2명이 도움이 되었다고 했습니다.

댓글 0개