Настройка синхронизации LDAP и SSO с OneLogin

Эта статья объясняет, как использовать LDAP для импорта и синхронизации пользователей OneLogin и настроить OneLogin в качестве поставщика SSO для пользователей Cato.

SSO полагается на зашифрованные токены от Cato и вашего IdP для подтверждения аутентификации пользователя и разрешения подключения к сети. Для получения более подробной информации см. Аутентификация SSO для пользователей Cato.

Высокоуровневый обзор синхронизации LDAP и SSO с OneLogin

Это высокоуровневый обзор процесса настройки и интеграции OneLogin с вашим аккаунтом Cato. После того как вы настроили OneLogin для синхронизации пользователей с Cato, вы также можете настроить OneLogin в качестве поставщика SSO для пользователей.

  1. В OneLogin настройте виртуальные Настройки LDAP.
  2. В Приложении Управления Cato добавьте домен OneLogin в свою Учетную запись.
  3. Добавьте контроллер домена OneLogin в домен.
  4. В OneLogin создайте приложение OpenID Connect, чтобы позволить Cato использовать OneLogin для Аутентификация пользователей.
  5. Импортируйте группы (роли OneLogin) в свою Учетную запись.
  6. Выберите OneLogin в качестве Поставщик SSO для Пользователи.

Примечание

Примечание: Чтобы использовать OneLogin в качестве поставщика SSO, необходимо настроить синхронизацию LDAP между OneLogin и Cato. Для этого требуется, чтобы служба VLDAP была включена в вашем аккаунте OneLogin.

Настройка виртуальных настроек LDAP

Чтобы включить SSO и синхронизацию LDAP для OneLogin и вашего аккаунта Cato, используйте окно Аутентификация в OneLogin, чтобы включить виртуальный LDAP и отключить многофакторную аутентификацию (MFA). Это окно также имеет настройки DN входа, которые вы используете для настройки домена в Приложении управления Cato.

SSO для VPN требует, чтобы служба VLDAP в OneLogin была включена. Если вы используете OneLogin только для синхронизации LDAP, то вам не нужно включать VLDAP.

Из-за ограничений OneLogin каждая синхронизация LDAP ограничена 500 пользователями. Для аккаунтов с более чем 500 пользователями запускайте синхронизацию LDAP несколько раз.

Для Настроить виртуальные Настройки LDAP в OneLogin:

  1. В OneLogin на панели меню выберите Аутентификация > VLDAP.

    OneLogin_VLDAP.png
  2. Для назначенных СSO учетные записи убедитесь, что Включить VLDAP Сервис включен.
  3. Очистите Многофакторная Аутентификация, чтобы отключить MFA для вашей Учетная запись OneLogin.
  4. В Виртуальное отличительное имя скопируйте Виртуальный DN. Вы введете виртуальный DN вДобавление нового домена для OneLogin (ниже).
  5. Нажмите Сохранить. Виртуальные Настройки LDAP настроены.

Настройка приложения управления Cato для выполнения синхронизации LDAP с OneLogin

Добавьте свою учетную запись OneLogin в Приложение управления Cato в качестве нового домена в Службах каталогов. Затем определите контроллер домена для этого домена.

Добавление нового домена для OneLogin

Используйте окно Службы каталогов, чтобы добавить новый домен в ваш аккаунт. Затем настройте настройки LDAP OneLogin для домена.

Добавить новый домен OneLogin в Службы каталогов:

  1. В меню навигации нажмите Доступ к облаку > Службы каталогов.

  2. Из раздела или вкладки LDAP и нажмите Новый.

    The New Directory Service panel opens.

  3. Введите Имя домена на сервере LDAP.

  4. Настройте параметры аутентификации OneLogin в разделе Соединение аутентификации LDAP в Имя входа DN:

    OneLogin_LDAP_Details.png
    1. В Имя входа DN вставьте виртуальный LDAP, который вы скопировали выше в Настройка виртуальных Настройок LDAP.
    2. Измените cn на Адрес электронной почты для вашей Учетная запись OneLogin.

    3. В Базовый DN вставьте виртуальный LDAP и удалите cn и ou. Скриншот выше показывает эти настройки:

      • Имя входа DN: cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com
      • Базовый DN: dc=sample-networks,dc=onelogin,dc=com
    4. Введите администратор Пароль для вашей Учетная запись OneLogin.
    5. Включите Использовать SSL.
  5. Нажмите Сохранить. Домен OneLogin добавлен в Приложение Управления Cato.
  6. Нажмите Тест соединения, чтобы убедиться, что Cato может подключиться к вашей Учетная запись OneLogin.

Настройка контроллера домена для OneLogin

После настройки и сохранения домена OneLogin настройте параметры для контроллера домена. Используйте подходящую для вашей учетной записи OneLogin настройку хоста:

  • США - ldap.us.onelogin.com
  • Европа - ldap.eu.onelogin.com

Для получения дополнительной информации о хост Настройки OneLogin, смотрите документацию.

Настроить контроллер домена:

  1. Из LDAP раздела или вкладки, Редактировать домен для вашей Учетная запись OneLogin.
  2. Из Редактировать Служба каталогов LDAP меню навигации выберите Контроллеры домена.

  3. Из выпадающего окна выберите IP или Хост.

    OneLogin_DCOM.png

  4. Введите хост OneLogin для США или Европы и нажмите Добавить.

    Поскольку SSL включен для домена, хост использует порт 636.

  5. Нажмите Сохранить и закрыть. Контроллер домена добавлен в домен OneLogin.

Настройка приложения OneLogin для OpenID Connect

Создайте новое приложение в OneLogin, которое позволит Cato использовать OneLogin для аутентификации Пользователей SDP. Затем настройте его для подключения к Cato.

Примечание

Примечание: В маркетплейсе OneLogin есть устаревшее приложение Cato Networks, которое в настоящее время не поддерживается. Рекомендуем не использовать это приложение.

Создание нового приложения

Создайте новое приложение Open ID Connect в OneLogin.

Создать приложение OpenID Connect:

  1. В своей Учетная запись OneLogin из строки меню выберите Приложения > Приложения.
  2. Нажмите Добавить Приложение.
  3. Поиск OpenId Connect и выберите Приложение.
  4. В окне Добавить OpenID Connect (OIDC) введите Отображаемое имя для Приложение.
  5. Нажмите Сохранить.

Настройка приложения OpenID Connect

Настройте приложение OneLogin для Cato, чтобы поддерживать SSO для Пользователей SDP. Cato выполняет синхронизацию LDAP с OneLogin по ролям, а не по группам OneLogin.

Для новых Пользователей SDP с Клиентом для Windows версии 5.1 и выше необходимо настроить дополнительный URI перенаправления для приложения OneLogin. Этот URI не требуется для более ранних версий или для существующих пользователей, обновляющихся до Клиента для Windows версии 5.1 или выше.

Настроить Приложение на подключение к Cato:

  1. Из меню навигации слева выберите Конфигурация.

  2. В URIs перенаправления введите эти URIs:

    • https://sso.via.catonetworks.com/auth_results
    • https://sso.proxy.catonetworks.com/auth_results
    • https://auth.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.us1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.in1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.jp1.catonetworks.com/oauth2/broker/code/onelogin
    • https://auth.catonetworks.com/endsession/callback
    • https://auth.in1.catonetworks.com/endsession/callback
    • https://auth.jp1.catonetworks.com/endsession/callback
    • https://auth.us1.catonetworks.com/endsession/callback

    • (для новых удаленных пользователей Клиента для Windows)

      • https://sso.ias.catonetworks.com/auth_results
      • https://169.254.255.254/auth_results
  3. В левом меню навигации выберите SSO и настройте эти параметры SSO:
    1. Установите Тип приложения на Web.
    2. Установите Метод аутентификации на POST.
    3. Скопируйте ID клиента и Секретный ключ клиента. Вставьте эти Настройки вНастройка OneLogin в качестве поставщика SSO для пользователей SDP раздел ниже.
  4. Нажмите Сохранить.
  5. Добавьте приложение к соответствующим пользователям и ролям OneLogin.
  6. Выполните начальную синхронизацию LDAP. В приложении управления Cato на экране Службы каталогов нажмите Синхронизировать сейчас.

Настройка OneLogin в качестве поставщика SSO для пользователей SDP

В приложении управления Cato вы можете настроить OneLogin в качестве глобального провайдера SSO для пользователей и администраторов SDP в вашем аккаунте.

Для администраторов убедитесь, что адрес электронной почты администратора CMA совпадает с адресом электронной почты в OneLogin.

Чтобы настроить OneLogin в качестве поставщика SSO:

  1. Из меню навигации выберите Доступ > Единый вход.
  2. Нажмите Новый
  3. Из раскрывающегося меню Поставщик идентификационных данных выберите OneLogin.
  4. Введите Имя.

  5. Введите данные настройки:

    • ID клиента - как вы скопировали из OneLogin выше
    • Изменить секретный ключ клиента - как вы скопировали из OneLogin выше
    • Префикс домена OneLogin - ваш домен, определенный в вашей учетной записи OneLogin
    • Суффикс домена OneLogin - выберите onelogin.com
  6. Если вы настраиваете одного поставщика Единого входа, активируйте переключатель По умолчанию. Если вы настраиваете нескольких поставщиков Единого входа, см. Настройка нескольких поставщиков идентификационных данных.
  7. Нажмите Применить.

  8. Выберите Разрешить вход с использованием Единого входа для одного или нескольких типов пользователей в вашем аккаунте:

    • Пользователи SDP клиента (установите настройки Срок действия токена)
    • Пользователи SDP без клиента (установите Тип куки)
    • Администраторы приложения управления Cato
  9. Нажмите Сохранить. OneLogin настроен как поставщик SSO для пользователей SDP в вашем аккаунте.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев