Эта статья объясняет, как настроить Cisco DUO в качестве провайдера Единого входа (SSO) для пользователей.
SSO опирается на зашифрованный токен от Cato и вашего идентификационного провайдера (IdP) для подтверждения аутентификации пользователем и разрешения ему подключения к сети. Подробнее см. в разделе Аутентификация SSO для пользователей с Cato.
Настройка DUO в качестве провайдера SSO упрощает аутентификацию и улучшает качество работы пользователя. Когда вы включаете SSO для учетной записи, пользователи могут войти в Клиент, аутентифицировавшись с использованием данных SSO, и им не требуется другая пара идентификационных данных.
Выполните следующие шаги, чтобы настроить DUO в качестве провайдера SSO:
- Шаг 1: Создать OIDC приложение в административной панели DUO
- Шаг 2: Настроить подробности в Приложении управления Cato (CMA)
- Шаг 3: Настроить, как DUO используется в вашей учетной записи
В административной панели DUO создайте приложение через указанный ниже процесс и определите следующие значения для ввода в CMA:
- URL обнаружения OIDC
- ID клиента
- Секретный ключ клиента
Чтобы создать приложение:
- Войдите в вашу панель администратора Duo.
- Перейдите к Приложения > Приложения.
- Нажмите Добавить приложение.
Найдите приложение OAuth OIDC и выберите этот вариант.
-
Добавьте имя для приложения и настройте следующие подробности:
- Доступ пользователя - Выберите «Включить для всех пользователей»
- Тип предоставления (Общие настройки) - установите флажок Код авторизации
-
Редирект URL при входе - Добавьте следующие URL:
- https://auth.catonetworks.com/oauth2/broker/code/duo
- https://auth.us1.catonetworks.com/oauth2/broker/code/duo
- https://auth.in1.catonetworks.com/oauth2/broker/code/duo
- https://auth.jp1.catonetworks.com/oauth2/broker/code/duo
- https://auth.catonetworks.com/endsession/
- https://auth.us1.catonetworks.com/endsession/
- https://auth.in1.catonetworks.com/endsession/
- https://auth.jp1.catonetworks.com/endsession/
- https://sso.via.catonetworks.com/auth_results
- https://sso.ias.catonetworks.com/auth_results
- https://sso.proxy.catonetworks.com/auth_results
-
Области & Требования > Авторизация области (Политика доступа) - Добавьте следующие области:
- openid
- профиль
- электронная почта
-
Общедоступная регистрация клиента (Вкладка клиентов) - Добавьте следующие области:
- openid
- профиль
- электронная почта
- Нажмите Сохранить.
- В разделе Метаданные скопируйте и сохраните URL OIDC обнаружения для ввода в CMA.
- В разделе Статическая регистрация клиента скопируйте и сохраните ID клиента и секрет клиента для ввода в CMA.
В CMA введите подробности для приложения DUO, созданного на предыдущем шаге.
Чтобы настроить DUO в качестве поставщика SSO:
- В CMA в навигационном меню выберите Доступ > Единый вход.
- Нажмите Новый.
- Из выпадающего меню Провайдер идентификации выберите Duo.
- Введите Имя для идентификации этой интеграции.
- (Опционально) Настройте DUO в качестве вашего дефолтного провайдера SSO, включив переключатель По умолчанию. Если вы настраиваете нескольких поставщиков Единого входа, см. Настройка нескольких поставщиков идентификационных данных.
- Введите URL обнаружения OIDC как Известный URL и ID клиента, который вы создали на шаге 1.
- Нажмите Изменить секрет клиента и введите значение, созданное на шаге 1.
- Нажмите Применить.
Вы можете разрешить пользователям, администраторам Приложения управления Cato или обоим аутентифицироваться с использованием SSO и DUO.
Вы также можете настроить, как долго токен аутентификации Cato будет в силе. Настройки Действительность токена определяют время, в течение которого пользователи остаются аутентифицированными, в Днях или Часах. Пользователям, которые вошли в систему, необходимо повторно подтвердить аутентификацию, как только срок, заданный в Днях или Часах (с момента последнего входа), будет достигнут.
Опция Всегда запрашивать означает, что пользователи всегда должны авторизоваться в Клиенте.
0 комментариев
Статья закрыта для комментариев.