Настройка нескольких поставщиков идентификационных данных

Вы можете настроить нескольких поставщиков идентификационных данных (IdP), чтобы предоставлять и аутентифицировать пользователей с помощью единого входа в вашей учетной записи. Эта статья объясняет, как настроить более одного IdP в вашей учетной записи.

Обзор

Если ваша организация управляет пользователями через несколько IdP, все они могут быть интегрированы с Cato, так что вам не придется объединять ваших пользователей в один арендатор. Вы можете предоставить доступ пользователям из нескольких IdP (или нескольким арендаторам с одного IdP), настроить несколько поставщиков единого входа, а затем сопоставить, какие пользователи аутентифицируются у каждого поставщика.

Когда пользователь входит в Клиент Cato или в Доступ через браузер, ему предоставляется только поставщик единого входа, настроенный для него.

Использование - Слияние компаний

Компания ABC использует Microsoft Azure как своего IdP и объединилась с компанией XYZ, которая использует Okta как своего IdP. Обe компании используют Cato как свое решение для удаленного доступа. Вместо того, чтобы мигрировать всех пользователей с одного IdP на другой, компания начинает предоставлять доступ пользователям из обоих Azure и Okta и настраивает их обоих как методы аутентификации SSO для удаленных пользователей. Настройка нескольких IdP гарантирует, что все пользователи могут аутентифицироваться в Клиенте Cato без миграции каких-либо данных.

Настройка нескольких IdP

Следуйте этим шагам, чтобы настроить несколько IdP:

Настройте несколько каталогов SCIM
Добавьте в учетную запись несколько поставщиков SSO
Сопоставьте каталоги провайдеру SSO

Шаг 1: Настройте несколько каталогов SCIM

На странице Доступ > Службы каталогов нажмите Новый, чтобы добавить более одного каталога SCIM для предоставления пользователей из нескольких источников. Для получения дополнительной информации о предоставлении пользователей с помощью SCIM смотрите Управление учетными записями пользователей SCIM. UPN и Идентификатор объекта должны быть уникальными среди всех служб каталогов SCIM.

Шаг 2: Добавьте в учетную запись нескольких поставщиков SSO

Вы можете добавить более одного поставщика идентификационных данных для использования в вашей учетной записи. Поставщик, обозначенный как По Умолчанию, используется администратором для входа в Приложение Управления Cato. Множественные поставщики SSO не поддерживаются для входа администратора в Приложение Управления Cato.

Чтобы добавить в учетную запись нескольких поставщиков SSO:

В меню навигации выберите Доступ > Единый вход.
Нажмите Новый.

Откроется панель Добавить метод аутентификации.
Выберите поставщика идентификационных данных, которого хотите добавить, и введите имя.
(Опционально) Чтобы сделать этого поставщика идентификационных данных основным для вашего аккаунта, включите переключатель По умолчанию.
Добавьте Сведения об аутентификации поставщика идентификационных данных. У каждого поставщика разные требования к конфигурации. Для получения дополнительной информации о том, как настроить поставщика идентификационных данных, прочтите статью о настройке поставщиков идентификационных данных.

Примечание: Если вашим поставщиком идентификационных данных является Azure, нажмите Применить, а затем нажмите Сохранить. Затем отредактируйте запись для Настройка согласия Microsoft, чтобы она была включена.
Выберите Разрешить вход с использованием Единого входа для одного или нескольких типов пользователей в вашей учетной записи:
- Пользователи SDP клиента (установите Настройки срока действия токена)
- Пользователи SDP без клиента (установите Тип куки)
- Администраторы приложения управления Cato
Нажмите Применить, а затем нажмите Сохранить.

Шаг 3: Свяжите каталоги с поставщиком SSO

На странице Аутентификация пользователей вы можете задать метод аутентификации по умолчанию для ваших пользователей. Если вы выберете SSO, по умолчанию будет выбрана опция Все службы каталогов. С этой конфигурацией все пользователи аутентифицируются с использованием поставщика SSO по умолчанию. Вы можете изменить эту конфигурацию и сопоставить, какой каталог должен использовать каждый поставщик SSO.

На вкладке Дополнительные настройки вы можете настроить браузер (встроенный или внешний), который используется для аутентификации в Клиенте и запросе на повторную аутентификацию. Для получения дополнительной информации см. Настройка политики аутентификации для Клиентов Cato.

Чтобы связать каталоги с поставщиком SSO:

В меню навигации выберите Доступ > Аутентификация пользователей.
Нажмите на выпадающий список Метод по умолчанию и выберите SSO.
Выберите Выбранные службы каталогов.
Нажмите Новый.

Откроется панель Новый поставщик SSO для службы каталогов.
Нажмите на выпадающий список Службы каталогов и выберите метод предоставления пользователей, которых вы хотите связать.
Нажмите на выпадающий список Поставщик единого входа и выберите поставщика, которого нужно использовать.
Нажмите Применить, затем нажмите Сохранить.

Отключение поставщика идентификационных данных

Вы можете отключить поставщика идентификационных данных, который больше не нужен в вашем аккаунте. После отключения поставщика идентификационных данных пользователи не смогут использовать его для входа в Клиент Cato.

Чтобы отключить поставщика идентификационных данных

В меню навигации выберите Доступ > Единый вход.
Нажмите на поставщика идентификационных данных, которого вы хотите отключить.
Переключите тумблер Включен на выкл.
Нажмите Применить, затем нажмите Сохранить.

Понимание качества работы пользователя

На пользователей не оказывается влияния, если несколько поставщиков идентификационных данных настроено в вашем аккаунте. После того как пользователь вводит свой адрес электронной почты для входа, Клиент отображает страницу входа поставщика SSO, связанного с пользователем.

Известные ограничения

Поддерживается только для управления учетными записями пользователей SCIM или вручную
После настройки IdP не может быть удалено.
- IdP может быть отключено