Вы можете настроить несколько поставщиков идентификационных данных (IdP) для предоставления и аутентификации пользователей с SSO в вашей учетной записи. Эта статья объясняет, как настроить более одного IdP в вашей учетной записи.
Если ваша организация управляет пользователями в нескольких IdP, они могут быть интегрированы с Cato, чтобы вам не пришлось объединять своих пользователей в единого тенанта. Вы можете предоставлять пользователей из нескольких IdP (или нескольких тенантов из одного IdP), настроить нескольких поставщиков SSO, а затем указать, какие пользователи будут аутентифицироваться с каждым провайдером.
Когда пользователь входит в Клиент Cato или Доступ через браузер, ему показывается только тот поставщик SSO, который настроен для него.
Примечание
Примечание: Настройка нескольких поставщиков идентификационных данных не должна использоваться как метод миграции пользователей из существующей инстанции IdP. Чтобы переместить существующую инстанцию из одного IdP в другой, следуйте этим инструкциям.
Компания ABC использует Microsoft Azure в качестве своего IdP и объединилась с компанией XYZ, которая использует Okta в качестве своего IdP. Обе компании используют Cato как решение для удаленного доступа. Вместо того чтобы мигрировать всех пользователей из одного IdP в другой, компания начинает предоставлять пользователей из обоих Azure и Okta и настраивает их обоих как методы аутентификации SSO для удаленных пользователей. Настройка нескольких IdP обеспечивает возможность аутентификации всех пользователей в Клиенте Cato без миграции данных.
Следуйте этим шагам для настройки нескольких IdP:
-
Настройка нескольких SCIM-директорий
-
Настройка нескольких поставщиков SSO для вашей учетной записи
-
Сопоставление директорий с поставщиком SSO
На странице Доступ > Службы каталогов нажмите Новый, чтобы добавить более одной SCIM-директории для предоставления пользователей из нескольких источников. Для получения дополнительной информации о том, как предоставлять пользователей с SCIM, см. Управление учетными записями пользователей SCIM. UPN и идентификатор объекта должны быть уникальными для всех SCIM-служб каталогов.
Вы можете добавить более одного поставщика идентификационных данных для использования в вашей учетной записи. Поставщик, назначенный как По умолчанию, используется администратором для входа в Приложение Управления Cato. Несколько поставщиков SSO не поддерживаются для входа администратора в Приложение Управления Cato.
Чтобы добавить несколько поставщиков SSO в вашу учетную запись:
-
Из меню навигации выберите Доступ > Единый вход.
-
Нажмите Новый.
Откроется панель Добавить метод аутентификации.
-
Выберите поставщика идентификационных данных, которого хотите добавить, и добавьте имя.
-
(По желанию) Чтобы сделать этого поставщика основным для вашей учетной записи, включите переключатель По умолчанию.
-
Добавьте Сведения об аутентификации поставщика идентификационных данных. Каждый поставщик имеет различные требования к конфигурации. Для получения дополнительной информации о том, как настроить поставщика идентификационных данных, смотрите статью конфигурации для поставщика идентификационных данных.
Примечание: Если ваш поставщик идентификационных данных — Azure, нажмите Применить и затем нажмите Сохранить. Затем отредактируйте запись Настройка согласия Microsoft, чтобы она была включена.
-
Выберите Разрешить вход с использованием Единого входа для одного или нескольких типов пользователей в вашей учетной записи:
-
Пользователи SDP клиента (установите параметры Срок действия токена)
-
Пользователи SDP без клиента (установите тип куки)
-
Администраторы приложения управления Cato
-
-
Нажмите Применить, а затем нажмите Сохранить.
На странице Аутентификация пользователей вы можете задать метод аутентификации по умолчанию для ваших пользователей. Если вы выберите SSO, по умолчанию будет выбрана опция Все службы каталогов. С этой настройкой все пользователи будут аутентифицироваться с помощью поставщика SSO по умолчанию. Вы можете изменить эту настройку и указать, какая директория должна использовать каждого поставщика SSO.
На вкладке Дополнительные настройки вы можете настроить браузер (встроенный или внешний), который будет использоваться для аутентификации в Клиенте и запроса на повторную аутентификацию. Для получения дополнительной информации смотрите Настройка Политики аутентификации для Клиентов Cato.
Чтобы сопоставить директории с поставщиком SSO:
-
Из меню навигации выберите Доступ > Аутентификация пользователей.
-
Нажмите на выпадающее меню Метод по умолчанию и выберите SSO.
-
Выберите Выбранные службы каталогов.
-
Нажмите Новый.
Откроется панель Новый поставщик SSO для службы каталогов.
-
Нажмите на выпадающее меню Службы каталогов и выберите метод предоставления пользователей, которых вы хотите сопоставить.
-
Нажмите на выпадающее меню Поставщик единого входа и выберите провайдера, который будет использоваться.
-
Нажмите Применить, а затем нажмите Сохранить.
Вы можете отключить поставщика идентификационных данных, который больше не нужен в вашей учетной записи. После того как поставщик идентификационных данных будет отключен, пользователи не смогут использовать его для входа в Клиент Cato.
Для пользователей не будет никакого воздействия, если для вашей учетной записи настроены несколько поставщиков идентификационных данных. После того как пользователь вводит свой адрес электронной почты для входа, Клиент отображает страницу входа поставщика SSO, соответствующую пользователю.
0 комментариев
Статья закрыта для комментариев.