Este artigo explica como configurar o Azure como o Provedor de Single Sign-On (SSO) para Usuários SDP, usuários sem cliente e Administradores do Aplicativo de Gerenciamento Cato (CMA) na sua conta.
SSO relies on an encrypted token from Cato and your IdP to validate that the user is authenticated and allowed to connect to the network. Para mais detalhes, veja Autenticação SSO para Usuários com Cato.
Para mais informações sobre habilitar SSO para a conta, veja Configurando SSO e o Subdomínio para a Conta.
Com o Cato Single Sign-On (SSO), você pode permitir que os usuários da Cato usem suas credenciais de Provedor de Identidade (IdP) existentes sem a necessidade de credenciais dedicadas da Cato Networks. Os usuários podem se conectar à Cato usando seu endereço de e-mail ou UPN (User Principal Name) conforme definido no Azure.
Após uma cadeia de confiança ser estabelecida entre o Cato, o IdP, e o diretório de usuários da sua empresa, o Cato confia no IdP para Autenticação de Usuário.
O Cato SSO suporta estes Sistemas Operacionais de Cliente:
- Windows
- macOS
- iOS
- Android
- Linux
Antes de estabelecer confiança com Azure, certifique-se de que você complete estes pré-requisitos:
-
Você deve ter privilégios de Administrador Global ou Administrador de Função Privilegiada para Azure, usando o mesmo email para Azure e o CMA
Nota: A integração falhará se o administrador do CMA não tiver uma conta ID Entra.
- Para LDAP, o Azure deve estar sincronizado com o diretório de usuários da sua conta Cato
-
Para usuários SDP criados manualmente, SSO é suportado para Windows v5.x, macOS v5.x, e Linux v5.x Clientes
- Para iOS e Android, apenas usuários que foram importados da sua organização para o Cato usando provisionamento LDAP ou SCIM podem usar SSO.
- O Perfil de cada usuário Azure deve ter um endereço de Email válido.
Esta seção explica como configurar o SSO com Microsoft Azure do Aplicativo de Gerenciamento Cato.
Para configurar SSO com a Microsoft para sua conta:
- No menu de navegação, selecione Acesso > Single Sign-On.
- Clique em Novo.
- No menu suspenso do Provedor de Identidade, selecione Microsoft Azure.
- Insira um Nome.
- Clique em Aplicar e na página de Single Sign On, clique em Salvar.
- Na página de Single Sign On, clique no provedor que você acabou de criar.
-
Clique em Configurar consentimento da Microsoft.
A janela de pop-up de Permissões solicitadas é exibida.
Nota: Clique Aplicar e depois clique Salvar. Em seguida, edite a entrada para o Configurar consentimento da Microsoft para estar habilitado.
- Na janela pop-up Permissões Solicitadas, clique em Aceitar. Veja abaixo para mais informações.
- Se solicitado pelo CMA para associar seu locatário Azure à sua conta Cato, clique em Confirmar.
- Se você estiver configurando um único provedor de Single Sign-On, ative a opção Padrão. Se você estiver configurando vários provedores de Single Sign-On, consulte Configuração de Múltiplos Provedores de Identidade
- Clique em Aplicar.
-
Selecione Permitir login com Single Sign-On para um ou mais tipos de usuários em sua conta:
- Usuários do Cliente SDP (defina as configurações de Validade do Token)
- Usuários SDP sem Cliente (defina o tipo de Cookie)
- Administradores do Aplicativo de Gerenciamento Cato
- Clique em Salvar. As configurações de SSO do Azure para sua conta estão configuradas
Esta seção explica como usar o Aplicativo de Gerenciamento Cato para ativar o SSO com Microsoft Azure AD ou Office 365.
Para identificar Usuários, o Cato requer o consentimento para acessar os Dados do Usuário. Como parte do processo de configuração, um administrador deve conceder ao Aplicativo SSO da Cato acesso aos Dados em nome dos seus usuários. Isso não concede direitos administrativos ao locatário do Azure. Para mais informações, consulte a documentação da Microsoft.
Conceder consentimento administrativo em todo o locatário para o Cato requer que você faça login no Azure como um usuário autorizado a consentir em nome da organização (um Administrador Global ou Administrador de Função Privilégiada). Para mais informações, consulte a documentação da Microsoft.
Para Usuários do Cliente SDP, quando você configura as Configurações de Validade do Token que você define em Dias ou Horas, a quantidade de tempo que os usuários permanecem autenticados. Usuários que estão logados devem se reautenticar quando a duração que você definiu em Dias ou Horas (desde a última vez que eles logaram) foi alcançada. As opções Sempre Solicitar significam que os usuários devem sempre autenticar-se no Cliente.
Para ativar o SSO, a Cato requer que as seguintes permissões sejam concedidas. Essas permissões são solicitadas automaticamente pela Cato durante o processo de configuração. Você não precisa criar manualmente uma Aplicação Empresarial.
| Nome da API | Valor da reivindicação | Permissão |
|---|---|---|
| Microsoft Graph | Visualizar endereço de e-mail dos usuários | |
| Microsoft Graph | offline_access | Manter acesso aos dados para os quais você deu permissão |
| Microsoft Graph | openid | Permitir que usuários entrem |
| Microsoft Graph | perfil | Visualizar perfil básico dos usuários |
| Microsoft Graph | User.Read | Entrar e ler perfil do usuário |
|
Problema |
Causa Provável |
Resolução |
|---|---|---|
|
AADSTS50105: O usuário que entrou não está atribuído a uma função ... |
As configurações do Cato na Aplicação do Azure Active Directory não estão corretas. |
|
|
Usuário insere credenciais e retorna para a página de login sem autenticar |
O Perfil deste usuário Azure não possui um endereço de Email válido. |
Adicione o endereço de email válido ao Perfil Azure deste usuário. |
|
AADSTS90008: O usuário ou administrador não consentiu em usar a aplicação |
Você não deu consentimento ao Cato para acessar os dados do usuário no seu locatário Azure |
Forneça consentimento ao Cato para acessar os dados do usuário. Para mais informações, consulte Atualização Necessária para Single Sign-On com Azure. |
0 comentário
Por favor, entre para comentar.