Este artigo explica como configurar o Keycloak como o único provedor de Single Sign-On (SSO) para usuários SDP e administradores do Cato Management Application (CMA).
SSO depende de um token criptografado da Cato e do seu IdP para validar que o usuário está autenticado e permitido a conectar-se à rede. Para mais detalhes, veja Autenticação SSO para Usuários com Cato.
Você pode configurar o Keycloak como o provedor SSO para centralizar a autenticação de ambos os administradores do CMA e usuários remotos conectando-se com o Cliente Cato. Esta integração melhora a segurança das contas e simplifica a gestão de identidades ao impor login por meio das credenciais do Keycloak.
Certifique-se de que o endereço de e-mail de cada usuário e admin na Cato corresponde ao e-mail correspondente no Keycloak.
Uma vez que o SSO esteja habilitado, os admins devem autenticar-se através do Keycloak para acessar o CMA, e tanto admins como usuários devem autenticar-se através do Keycloak para conectar-se com o Cliente Cato.
Siga estes passos para configurar o Keycloak como um provedor SSO:
-
Adicione o Cato como um cliente Keycloak no console de administração do Keycloak.
-
Insira os detalhes do seu Host Keycloak no CMA.
No console de administração do Keycloak, adicione o Cato como um cliente. Permita os URIs do Cato como parte da configuração do Cato como um cliente. Você precisará destes valores para o CMA no passo 2:
-
ID do cliente
-
segredo do cliente
Este procedimento refere-se ao console do Keycloak, que está sujeito a alterações. Para ler a documentação mais recente do Keycloak, veja Gerenciando Servidores de Recursos.
Para adicionar o Cato como um cliente Keycloak:
-
No Keycloak, vá para Clientes > Criar Cliente.
-
Na aba configurações Gerais, insira as configurações básicas, incluindo um ID de cliente. Você precisará do ID do cliente para integrar-se com o Cato mais tarde.
-
Na aba Configuração de capacidades, certifique-se de que a Autenticação do cliente está habilitada.
-
Na aba Configurações de Login, insira os seguintes URIs da Cato em URIs de redirecionamento válidos:
-
https://sso.via.catonetworks.com/auth_results
-
https://sso.ias.catonetworks.com/auth_results
-
https://sso.proxy.catonetworks.com/auth_results
-
https://169.254.255.254/auth_results
-
https://auth.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.catonetworks.com/endsession/*
-
https://auth.us1.catonetworks.com/endsession/*
-
-
Clique em Salvar para criar o cliente Keycloak.
-
Vá para a área Cliente e clique no cliente que você acabou de criar.
-
Vá para a aba Credenciais e copie o Segredo do Cliente. Você precisará desse valor quando criar o provedor SSO no CMA.
No CMA, insira os detalhes para seu cliente Keycloak que você criou no passo anterior:
-
URL do Keycloak
-
ID do Cliente
-
Segredo do Cliente
O valor para o URL do Keycloak é o início do URL até o final do nome do reino, sem HTTPS.
Por exemplo, se o URL que você usa para acessar o Keycloak é https://keycloak.example.com/realms/myRealm/.well-known/openid-configuration, você deverá inserir keycloak.example.com/realms/myRealm como seu URL do Keycloak.
Cato suporta o uso de múltiplos IdPs para SSO para sua conta. Apenas o provedor SSO padrão é usado para admins do CMA, certifique-se de definir o Keycloak como o método de autenticação Padrão.
Para configurar o Keycloak como seu provedor SSO:
-
No CMA, no menu de navegação, clique em Acesso > Single Sign On.
-
Clique em Novo.
-
No menu suspenso Provedor de Identidade, selecione Keycloak.
-
Insira um Nome para identificar esta integração.
-
Insira seu URL do Keycloak sem o prefixo do protocolo e apenas até o nome do seu reino.
-
Insira o ID do Cliente e o Segredo do Cliente que foram criados no passo 1.
-
Habilite a opção Padrão para usar o Keycloak como o único provedor SSO para admins do CMA.
-
Clique em Aplicar.
0 comentário
Artigo fechado para comentários.