Эта статья объясняет, как настроить PingOne в качестве провайдера единого входа (SSO) для пользователей.
SSO опирается на зашифрованный токен от Cato и вашего IdP для проверки того, что пользователь аутентифицирован и допускается подключение к сети. Для получения дополнительных сведений см. SSO-аутентификация для пользователей с Cato.
Примечание
Примечание: Пожалуйста, свяжитесь по электронной почте feature-releases@catonetworks.com для получения дополнительной информации о включении и использовании этой функции.
Настройка PingOne в качестве провайдера SSO упрощает аутентификацию и улучшает качество работы пользователей. Когда вы включаете SSO для учетной записи, пользователи могут войти в клиент, аутентифицировавшись со своими данными SSO, и им не нужна другая пара данных для входа.
Следуйте этим шагам, чтобы настроить PingOne в качестве поставщика SSO:
- Создайте OIDC приложение в консоли PingOne
- Настройте подробности в Приложении управления Cato (CMA)
- Настройте, как используется PingOne в вашей учетной записи
В консоли PingOne создайте приложение и определите следующие значения для ввода в CMA:
- Endpoint обнаружения OIDC
- ID клиента
- Секретный ключ клиента
Чтобы создать приложение:
- Войдите в консоль PingOne.
- В среде, которую хотите использовать, перейдите в Приложения > Приложения.
- Нажмите на символ +, чтобы создать новое приложение.
- Выберите Имя приложения и под Тип приложения выберите OIDC Веб-приложение и нажмите Сохранить.
- Нажмите на созданное приложение, на вкладке Конфигурация кликните на значок карандаша.
-
Настройте следующее:
- Тип ответа: проверьте Код.
- Тип санкции: проверьте Код авторизации и в выпадающем списке Применение PKCE выберите Необязательно.
-
Добавьте следующие URI перенаправления:
- https://auth.catonetworks.com/oauth2/broker/code/pingone
- https://auth.us1.catonetworks.com/oauth2/broker/code/pingone
- https://auth.in1.catonetworks.com/oauth2/broker/code/pingone
- https://auth.jp1.catonetworks.com/oauth2/broker/code/pingone
- https://auth.catonetworks.com/endsession/
- https://auth.us1.catonetworks.com/endsession/
- https://auth.in1.catonetworks.com/endsession/
- https://auth.jp1.catonetworks.com/endsession/
- https://sso.proxy.catonetworks.com/auth_results
- https://sso.via.catonetworks.com/auth_results
- https://sso.ias.catonetworks.com/auth_results
- Нажмите Сохранить.
- Перейдите на вкладку Сопоставление аттрибутов и кликните на значок карандаша.
-
Нажмите Добавить и добавьте аттрибут Email с сопоставлением PingOne Email Address.
- Нажмите Сохранить.
- На вкладке Обзор скопируйте и сохраните URL Endpoint обнаружения OIDC, чтобы его можно было ввести в CMA.
- На вкладке Конфигурация скопируйте и сохраните ID клиента и Секретный ключ клиента, чтобы их можно было ввести в CMA.
В CMA введите данные для приложения PingOne, которое вы создали на предыдущем шаге:
- Endpoint обнаружения OIDC — это хорошо известный URL
- ID клиента
- секрет клиента
Настройка PingOne как поставщика SSO:
- В CMA в меню навигации нажмите Доступ > Единый вход.
- Нажмите Новый.
- В выпадающем списке из Поставщик идентификационных данных выберите Ping One.
- Введите Имя для идентификации этой интеграции.
- (Опционально) Для настройки PingOne в качестве вашего поставщика SSO по умолчанию, включите переключатель По умолчанию. Если вы настраиваете несколько провайдеров Единого входа, см. Настройка нескольких поставщиков идентификационных данных.
- Введите Хорошо известный URL и ID клиента, которые вы создали на шаге 1.
- Нажмите Изменить секрет клиента и введите значение, созданное на шаге 1.
- Нажмите Применить.
Вы можете выбрать разрешить пользователям, администраторам Cato Management Application или обоим аутентифицироваться с SSO, используя PingOne.
Вы также можете настроить, как долго токен аутентификации Cato будет действителен. Настройки срока действия токена определяют количество времени в днях или часах, в течение которого пользователи остаются аутентифицированными. Пользователи, которые вошли в систему, должны повторно аутентифицироваться, когда достигнута продолжительность, которую вы определите в днях или часах (с момента их последнего входа в систему).
Опции Всегда запрашивать означают, что пользователи должны всегда аутентифицироваться в клиенте.
0 комментариев
Статья закрыта для комментариев.