В этой статье объясняется, как настроить Keycloak в качестве единственного провайдера единого входа (SSO) для пользователей SDP и администраторов Cato Management Application (CMA).
SSO опирается на зашифрованный токен от Cato и вашего IdP для подтверждения аутентификации пользователя и разрешения подключения к сети. Для получения дополнительной информации см. Аутентификация SSO для пользователей с Cato.
Вы можете настроить Keycloak в качестве провайдера SSO, чтобы централизовать аутентификацию для администраторов CMA и удаленных пользователей, подключающихся через клиент Cato. Эта интеграция повышает безопасность учетной записи и упрощает управление идентификацией путем принуждения к входу с помощью учетных данных Keycloak.
Убедитесь, что адрес электронной почты каждого пользователя и администратора в Cato совпадает с соответствующим адресом в Keycloak.
После включения SSO администраторы должны проходить аутентификацию через Keycloak для доступа к CMA, а и администраторы, и пользователи должны проходить аутентификацию через Keycloak для подключения через клиент Cato.
Следуйте этим шагам, чтобы настроить Keycloak как провайдера SSO:
-
Добавьте Cato как клиент Keycloak в вашей консоли администратора Keycloak.
-
Введите данные о вашем хосте Keycloak в CMA.
В консоли администратора Keycloak добавьте Cato как клиента. Включите URI Cato как часть конфигурации Cato как клиента. Вам понадобятся эти значения для CMA на шаге 2:
-
ID клиента
-
Секрет клиента
Эта процедура относится к консоли Keycloak, которая может измениться. Чтобы просмотреть последнюю документацию Keycloak, см. Управление сервером ресурсов.
Чтобы добавить Cato как клиент Keycloak:
-
В Keycloak перейдите к Clients > Create Client.
-
На вкладке Общие настройки введите базовые настройки, включая ID клиента. Вам понадобится ID клиента для интеграции с Cato позже.
-
На вкладке Capability config убедитесь, что Аутентификация клиента включена.
-
На вкладке Настройки входа введите следующие URI Cato в Допустимые URI редиректа:
-
https://sso.via.catonetworks.com/auth_results
-
https://sso.ias.catonetworks.com/auth_results
-
https://sso.proxy.catonetworks.com/auth_results
-
https://169.254.255.254/auth_results
-
https://auth.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.catonetworks.com/endsession/*
-
https://auth.us1.catonetworks.com/endsession/*
-
-
Нажмите Сохранить для создания клиента Keycloak.
-
Перейдите в область Клиент и нажмите на клиента, которого вы только что создали.
-
Перейдите на вкладку Полномочия и скопируйте Секрет клиента. Это значение понадобится для создания провайдера SSO в CMA.
В CMA введите данные для вашего клиента Keycloak, созданного на предыдущем шаге:
-
URL Keycloak
-
ID клиента
-
Секрет клиента
Значение URL Keycloak — это начало URL до конца имени Realm, без HTTPS.
Например, если URL, который вы используете для доступа к Keycloak, https://keycloak.example.com/realms/myRealm/.well-known/openid-configuration, вы должны ввести keycloak.example.com/realms/myRealm в качестве вашего URL Keycloak.
Cato поддерживает использование нескольких IdP для SSO для вашей учетной записи. Только провайдер SSO по умолчанию используется для администраторов CMA, убедитесь, что вы определили Keycloak в качестве Метода аутентификации по умолчанию.
Чтобы настроить Keycloak как ваш провайдер SSO:
-
В CMA, в меню навигации, нажмите Доступ > Единый вход.
-
Нажмите Создать.
-
В выпадающем меню Провайдер идентификации выберите Keycloak.
-
Введите Название для идентификации этой интеграции.
-
Введите ваш URL Keycloak без префикса протокола и только до вашего имени Realm.
-
Введите ID клиента и Секрет клиента, которые были созданы на шаге 1.
-
Включите переключатель По умолчанию, чтобы использовать Keycloak в качестве единственного провайдера SSO для администраторов CMA.
-
Нажмите Применить.
0 комментариев
Статья закрыта для комментариев.