Настройка нескольких поставщиков идентификационных данных

Вы можете настроить несколько поставщиков идентификационных данных (IdP) для предоставления и аутентификации пользователей с помощью SSO в вашей учетной записи. Эта статья объясняет, как настроить более одного IdP в вашей учетной записи.

Обзор

Если ваша организация управляет пользователями через несколько IdP, все они могут быть интегрированы с Cato, чтобы вам не нужно было объединять пользователей в одного арендатора. Вы можете предоставлять пользователей из нескольких IdP (или множества арендаторов от одного IdP), настроить нескольких провайдеров SSO и затем сопоставить, какие пользователи аутентифицируются с каждым провайдером.

Когда пользователь входит в Клиент Cato или Доступ через браузер, он видит только настроенного для него Поставщика SSO.

Примечание

Примечание: Настройка нескольких поставщиков идентификационных данных не должна использоваться как метод для миграции пользователей из существующего экземпляра IdP. Чтобы переместить существующий экземпляр от одного IdP к другому, следуйте этим инструкциям.

Пример использования - Слияние компаний

Компания ABC использует Microsoft Azure в качестве своего IdP и объединилась с компанией XYZ, которая использует Okta в качестве своего IdP. Обе компании используют Cato в качестве своего решения для удаленного доступа. Вместо того чтобы мигрировать всех пользователей от одного IdP к другому, компания начинает предоставление пользователей из обоих Azure и Okta и настраивает их обоих как методы аутентификации SSO для удаленных пользователей. Настройка нескольких IdP обеспечивает возможность для всех пользователей аутентифицироваться в Клиенте Cato без миграции данных.

Настройка нескольких IdP

Следуйте этим шагам, чтобы настроить несколько IdP:

  1. Настроить несколько каталогов SCIM

  2. Настроить нескольких поставщиков SSO для вашей учетной записи

  3. Сопоставьте каталоги с поставщиком SSO

Шаг 1: Настройка нескольких каталогов SCIM

Directory_Services.png

На странице Доступ > Службы каталогов щёлкните Новый, чтобы добавить более одного каталога SCIM для предоставления пользователей из нескольких источников. Для получения дополнительной информации о предоставлении пользователей с SCIM, смотрите Управление учетными записями пользователей SCIM. UPN и идентификатор объекта должны быть уникальными по всем службам каталогов SCIM.

Шаг 2: Добавление нескольких поставщиков SSO в вашу учетную запись

Вы можете добавить более одного поставщика идентификационных данных для использования в вашей учетной записи. Поставщик, назначенный как по умолчанию, используется администратором для входа в Приложение Управления Cato. Несколько поставщиков SSO не поддерживаются для входа администратора в Приложение Управления Cato.

Multiple_providers.png

Чтобы добавить несколько поставщиков SSO в вашу учетную запись:

  1. Из меню навигации выберите Доступ > Единый вход.

  2. Щёлкните Новый.

    Открывается панель Добавить метод аутентификации.

  3. Выберите поставщика идентификационных данных, которого хотите добавить, и введите имя.

  4. (Опционально) Чтобы сделать этого поставщика идентификационных данных поставщиком по умолчанию для вашей учетной записи, включите переключатель По умолчанию.

  5. Добавьте Сведения об аутентификации поставщика идентификационных данных. У каждого поставщика разные требования к конфигурации. Для получения дополнительной информации о настройке поставщика идентификационных данных смотрите статью по конфигурации для поставщика идентификационных данных.

    Примечание: Если ваш поставщик идентификационных данных — Azure, нажмите Применить, а затем нажмите Сохранить. Затем редактируйте запись для Настройка согласия Microsoft, чтобы она была включена.

  6. Выберите Разрешить вход с использованием Единого входа для одного или нескольких типов пользователей в вашей учетной записи:

    • Пользователи SDP клиента (установите настройки Срок действия токена)

    • Пользователи SDP без клиента (установите тип куки)

    • Администраторы приложения управления Cato

  7. Щёлкните Применить, а затем Сохранить.

Шаг 3: Сопоставление каталогов с поставщиком SSO

На странице Аутентификация пользователей вы можете определить метод аутентификации по умолчанию для ваших пользователей. Если вы выбираете SSO, по умолчанию выбран параметр Все службы каталогов. С такой конфигурацией все пользователи аутентифицируются через SSO провайдера по умолчанию. Вы можете изменить эту конфигурацию и сопоставить, какой каталог должен использовать каждого провайдера SSO.

На вкладке Дополнительные настройки вы можете настроить (встроенный или внешний) браузер, который используется для аутентификации в Клиенте, и запрос на повторную аутентификацию. Для получения дополнительной информации см. Настройка Политики аутентификации для Клиентов Cato.

User_Authentication.png

Чтобы сопоставить каталоги с поставщиком SSO:

  1. Из меню навигации выберите Доступ > Аутентификация пользователей.

  2. Щёлкните раскрывающееся меню Метод по умолчанию и выберите SSO.

  3. Выберите Выбранные службы каталогов.

  4. Щёлкните Новый.

    Открывается панель Новый поставщик SSO для службы каталогов.

  5. Щёлкните раскрывающееся меню Службы каталогов и выберите метод предоставления пользователей, которых вы хотите сопоставить.

  6. Щёлкните раскрывающееся меню Поставщик единого входа и выберите провайдера для использования.

  7. Щёлкните Применить, а затем Сохранить.

Отключение поставщика идентификационных данных

Вы можете отключить поставщика идентификационных данных, который больше не нужен в вашей учетной записи. После отключения поставщика идентификационных данных, пользователи не смогут использовать его для входа в Клиент Cato.

Disable.png

Чтобы отключить поставщика идентификационных данных

  1. Из меню навигации выберите Доступ > Единый вход.

  2. Щёлкните на поставщике идентификационных данных, которого вы хотите отключить.

  3. Переключите ползунок Включено в положение "выкл.".

  4. Щёлкните Применить, а затем Сохранить.

Понимание пользовательского опыта

На пользователей не оказывает влияние, если для вашей учетной записи настроено несколько поставщиков идентификационных данных. После того как пользователь вводит свой адрес электронной почты для входа, Клиент отображает страницу входа поставщика SSO, сопоставленного с пользователем.

Известные ограничения

  • Поддерживается только для SCIM или ручного предоставления пользователей

  • После настройки IdP не может быть удалён.

    • IdP может быть отключен

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев