Настройка DUO SSO

Эта статья объясняет, как настроить Cisco DUO в качестве провайдера Единого входа (SSO) для пользователей.

SSO опирается на зашифрованный токен от Cato и вашего идентификационного провайдера (IdP) для подтверждения аутентификации пользователем и разрешения ему подключения к сети. Подробнее см. в разделе Аутентификация SSO для пользователей с Cato.

Примечание

Примечание: Пожалуйста, свяжитесь с feature-releases@catonetworks.com для получения дополнительной информации о включении и использовании этой функции.

Обзор

Настройка DUO в качестве провайдера SSO упрощает аутентификацию и улучшает качество работы пользователя. Когда вы включаете SSO для учетной записи, пользователи могут войти в Клиент, аутентифицировавшись с использованием данных SSO, и им не требуется другая пара идентификационных данных.

Настройка DUO как поставщика SSO

Выполните следующие шаги, чтобы настроить DUO в качестве провайдера SSO:

Создайте OIDC приложение в панели администратора DUO
Настройте подробности в приложении управления Cato (CMA)
Настройте, как используется DUO в вашей учетной записи

Шаг 1: Создание приложения в панели администратора DUO

В панели администратора DUO создайте приложение и определите следующие значения для ввода в CMA:

URL обнаружения OIDC
ID клиента
Секретный ключ клиента

Чтобы создать приложение:

Войдите в вашу панель администратора Duo.
Перейдите к Приложения > Приложения.
Нажмите Добавить приложение.
Добавьте имя для приложения и настройте следующие подробности:
- Тип приложения - OAuth 2.1 / OIDC - Единый вход
- Доступ пользователя - Выберите «Включить для всех пользователей»
- Тип гранта - Отметьте флажок "Код авторизации"
- Редирект URL при входе - Добавьте следующие URL:
- Области и заявления > Электронная почта - Добавьте заявление с атрибутом IdP <Адрес электронной почты> и заявление "электронная почта"
- Области > Полномочия на область - Добавьте следующие области:
  - openid
  - профиль
  - электронная почта
- Регистрация публичного клиента - Добавьте следующие области:
  - openid
  - профиль
  - электронная почта
Нажмите Сохранить.
В разделе Метаданные скопируйте и сохраните URL OIDC обнаружения для ввода в CMA.
В разделе Статическая регистрация клиента скопируйте и сохраните ID клиента и секрет клиента для ввода в CMA.

Шаг 2: Настройка DUO в качестве Поставщика SSO

В CMA введите подробности для приложения DUO, которое вы создали на предыдущем шаге:

Точка обнаружения OIDC - это Известный URL
ID клиента
Секрет клиента

Чтобы настроить DUO в качестве поставщика SSO:

В CMA в навигационном меню выберите Доступ > Единый вход.
Нажмите Новый.
Из выпадающего меню Провайдер идентификации выберите Duo.
Введите Имя для идентификации этой интеграции.
(Опционально) Настройте DUO в качестве вашего дефолтного провайдера SSO, включив переключатель По умолчанию. Если вы настраиваете нескольких поставщиков Единого входа, см. Настройка нескольких поставщиков идентификационных данных.
Введите Известный URL и ID клиента, которые вы создали на шаге 1.
Нажмите Изменить секрет клиента и введите значение, созданное на шаге 1.
Нажмите Применить.

Шаг 3: Настроить, как DUO используется в вашей учетной записи

Вы можете разрешить пользователям, администраторам Приложения управления Cato или обоим аутентифицироваться с использованием SSO и DUO.

Вы также можете настроить, как долго токен аутентификации Cato будет в силе. Настройки Действительность токена определяют время, в течение которого пользователи остаются аутентифицированными, в Днях или Часах. Пользователям, которые вошли в систему, необходимо повторно подтвердить аутентификацию, как только срок, заданный в Днях или Часах (с момента последнего входа), будет достигнут.

Опция Всегда запрашивать означает, что пользователи всегда должны авторизоваться в Клиенте.

Чтобы настроить, как DUO используется в вашей учетной записи:

На странице Доступ > Единый вход, определите, какие пользователи могут авторизоваться с использованием SSO, и при необходимости определите Действительность токена, Тип куки, а также настройки Продолжительность.
Нажмите Сохранить