Configurando Sincronização LDAP e SSO com OneLogin

This article explains how to use LDAP to import and sync OneLogin users and configure OneLogin as an SSO provider for Cato users.

SSO relies on an encrypted token from Cato and your IdP to validate that the user is authenticated and allowed to connect to the network. For more details, see SSO Authentication for Users with Cato.

Visão Geral de Alto Nível da Sincronização LDAP e SSO com OneLogin

Esta é uma visão geral de alto nível do processo para configurar e integrar o OneLogin com sua conta do Cato. Após configurar o OneLogin para sincronizar usuários com o Cato, você também pode configurá-lo como um provedor de SSO para usuários.

  1. Em OneLogin, configurar as configurações LDAP virtuais.
  2. No Aplicativo de Gerenciamento Cato, adicionar o domínio do OneLogin à sua conta.
  3. Adicionar o controlador de domínio do OneLogin ao domínio.
  4. Em OneLogin, criar uma aplicação OpenID Connect para permitir que a Cato use o OneLogin para autenticar usuários.
  5. Importar os grupos (funções do OneLogin) para sua conta.
  6. Selecionar o OneLogin como o provedor de SSO para usuários.

Nota

Nota: Para usar o OneLogin como um provedor de SSO, você deve configurar a sincronização LDAP entre o OneLogin e o Cato. Isso requer que o serviço VLDAP seja ativado na sua conta OneLogin.

Configurando as Configurações de LDAP Virtual

Para habilitar SSO e sincronização LDAP para o OneLogin e sua conta do Cato, use a janela de Autenticação no OneLogin para habilitar o LDAP virtual e desativar a autenticação multifatores (MFA). Esta janela também possui as configurações de DN de Login que você usa para configurar o domínio no Aplicativo de Gerenciamento Cato.

SSO de VPN requer que o serviço VLDAP do OneLogin esteja ativado. Se você estiver usando o OneLogin apenas para sincronização LDAP, então não precisa ativar o VLDAP.

Devido a uma limitação do OneLogin, cada sincronização LDAP está limitada a 500 usuários. Para contas com mais de 500 usuários, execute a sincronização LDAP várias vezes.

Para configurar as configurações do LDAP virtual no OneLogin:

  1. No OneLogin, na barra de menu, selecione Autenticação > VLDAP.

    OneLogin_VLDAP.png
  2. Para contas que estão usando SSO, garantir que Ativar Serviço VLDAP esteja ativado.
  3. Limpar Autenticação multifatorial para desativar MFA para sua conta OneLogin.
  4. Em Nome distinto virtual, copiar o DN virtual. Você irá inserir o DN virtual em Adicionar um Novo Domínio para o OneLogin (abaixo).
  5. Clicar em Salvar. As configurações do LDAP virtual estão configuradas.

Configurando o Aplicativo de Gerenciamento Cato para Realizar Sincronização LDAP com OneLogin

Adicione sua conta do OneLogin ao Aplicativo de Gerenciamento Cato como um novo domínio nos Serviços de Diretório. Em seguida, defina o controlador de domínio para este domínio.

Adicionando um Novo Domínio para OneLogin

Use a janela Serviços de Diretório para adicionar um novo domínio à sua conta. Em seguida, configure as configurações LDAP do OneLogin para o domínio.

Para adicionar um novo domínio do OneLogin aos Serviços de Diretório:

  1. No menu de navegação, clicar em Acesso > Serviços de Diretório.

  2. Na seção ou guia LDAP, clique em Novo.

    O painel Novo Serviço de Diretório LDAP abre.

  3. Digite o Nome do domínio no servidor LDAP.

  4. Configure as configurações de autenticação do OneLogin na seção Conexão de Autenticação LDAP em DN de Login:

    OneLogin_LDAP_Details.png
    1. Em DN de Login, colar o LDAP virtual que foi copiado acima em Configurando as Configurações do LDAP Virtual.
    2. Alterar o cn para o endereço de e-mail de sua conta OneLogin.

    3. Em DN Base, cole o LDAP virtual e exclua o cn e o ou. A captura de tela acima mostra essas configurações:

      • DN de Login: cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com
      • DN Base: dc=sample-networks,dc=onelogin,dc=com
    4. Digite a Senha do administrador para sua conta OneLogin.
    5. Ativar Usar SSL.
  5. Clicar em Salvar. O domínio OneLogin foi adicionado ao Aplicativo de Gerenciamento Cato.
  6. Clique em Testar Conexão para garantir que a Cato pode se conectar à sua conta OneLogin.

Configurando o Controlador de Domínio para OneLogin

Após configurar e salvar o domínio do OneLogin, configure as configurações para o controlador de domínio. Use a configuração de host apropriada para sua conta OneLogin:

  • EUA - ldap.us.onelogin.com
  • Europa - ldap.eu.onelogin.com

Para mais sobre as configurações do host OneLogin, consulte a documentação.

Para configurar o controlador de domínio:

  1. Na seção ou aba LDAP, edite o domínio de sua conta OneLogin.
  2. No menu de navegação Editar Serviço de Diretório LDAP, selecionar Controladores de Domínio.

  3. Na janela drop-down, selecione IP ou Host.

    OneLogin_DCOM.png

  4. Insira o host do OneLogin para os EUA ou para a Europa e clique em Adicionar.

    Como o SSL está ativado para o domínio, o host usa a porta 636.

  5. Clicar em Salvar e Fechar. O controlador de domínio foi adicionado ao domínio OneLogin.

Configurando o Aplicativo OneLogin para OpenID Connect

Crie um novo aplicativo no OneLogin que permita ao Cato usar o OneLogin para autenticar Usuários SDP. Em seguida, configure-o para conectar ao Cato.

Nota

Nota: Existe um aplicativo legado do Cato Networks no marketplace OneLogin que atualmente não é suportado. Recomendamos que você não use este aplicativo.

Criando um Novo Aplicativo

Crie um novo aplicativo Open ID Connect no OneLogin.

Para criar a aplicação OpenID Connect:

  1. Em sua conta OneLogin, no menu de opções, selecionar Aplicações > Aplicações.
  2. Clicar em Adicionar Aplicativo.
  3. Pesquisar por OpenId Connect e selecionar o aplicativo.
  4. Na janela Adicionar OpenID Connect (OIDC), digite o Nome exibido para o aplicativo.
  5. Clicar em Salvar.

Configurando o Aplicativo OpenID Connect

Configure o aplicativo OneLogin para Cato para suportar SSO para os Usuários SDP. O Cato realiza a sincronização LDAP com o OneLogin de acordo com as funções e não de acordo com os Grupos OneLogin.

Para novos Usuários SDP com Cliente Windows v5.1 e superior, há um URI de redirecionamento adicional para configurar para o aplicativo OneLogin. Este URI não é necessário para versões anteriores, ou para usuários existentes que estão atualizando para o Cliente Windows v5.1 ou superior.

Para configurar o aplicativo para conectar-se à Cato:

  1. No menu de navegação à esquerda, selecionar Configuração.

  2. Em URIs de Redirecionamento, insira estes URIs:

    • https://sso.via.catonetworks.com/auth_results
    • https://sso.proxy.catonetworks.com/auth_results
    • https://auth.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.us1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.in1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.jp1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.catonetworks.com/endsession/callback
    • https://auth.in1.catonetworks.com/endsession/callback
    • https://auth.jp1.catonetworks.com/endsession/callback
    • https://auth.us1.catonetworks.com/endsession/callback

    • (para novos usuários remotos para o Cliente Windows)

      • https://sso.ias.catonetworks.com/auth_results
      • https://169.254.255.254/auth_results
  3. No menu de navegação à esquerda, selecione SSO e configure estas configurações de SSO:
    1. Defina o Tipo de Aplicação para Web.
    2. Defina o Método de Autenticação para POST.
    3. Copie o ID do Cliente e o Segredo do Cliente. Colar essas configurações na seção Configurando OneLogin como o Provedor de SSO para Usuários SDP abaixo.
  4. Clique em Salvar.
  5. Adicione o aplicativo aos usuários e funções relevantes do OneLogin.
  6. Realize a sincronização LDAP inicial. No Aplicativo de Gerenciamento Cato, na tela Serviços de Diretório, clique em Sincronizar Agora.

Configurando OneLogin como Provedor de SSO para Usuários SDP

Na Aplicação de Gerenciamento da Cato, você pode configurar o OneLogin como o provedor global de SSO para usuários SDP e administradores da sua conta.

Para administradores, certifique-se de que o email do administrador do CMA seja o mesmo que o endereço de email no OneLogin.

Para configurar o OneLogin como provedor de SSO:

  1. No menu de navegação, selecione Acesso > Single Sign-On.
  2. Clique em Novo
  3. No menu drop-down Provedor de Identidade, selecione OneLogin.
  4. Digite um Nome.

  5. Digite estas configurações:

    • ID do Cliente - como você copiou do OneLogin acima
    • Editar Segredo do Cliente - como você copiou do OneLogin acima
    • Prefixo do Domínio OneLogin - seu domínio conforme definido em sua conta OneLogin
    • Sufixo do Domínio OneLogin - selecione onelogin.com
  6. Se você está configurando um único Provedor de Single Sign-On, ative a alternância de Padrão. Se você estiver configurando vários provedores de Single Sign-On, consulte Configuração de Múltiplos Provedores de Identidade.
  7. Clique em Aplicar.

  8. Selecione Permitir login com Single Sign-On para um ou mais tipos de usuários em sua conta:

    • Usuários do cliente SDP (defina as configurações de Validade do Token)
    • Usuários SDP sem Cliente (defina o Tipo de Cookie)
    • Administradores do Aplicativo de Gestão Cato
  9. Clique em Salvar. OneLogin está configurado como o Provedor de SSO para Usuários SDP em sua conta.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário