Настройка Azure SSO для вашей учетной записи

Эта статья объясняет, как настроить Azure в качестве провайдера Единого входа (SSO) для пользователей SDP, пользователей без клиента и администраторов Приложения Управления Cato в вашем аккаунте.

SSO полагается на зашифрованный токен от Cato и вашего IdP для проверки, что пользователь аутентифицирован и ему разрешено подключаться к сети. Для получения дополнительных сведений см. Аутентификация SSO для пользователей с Cato.

Для получения дополнительной информации о включении SSO для учетной записи, см. Настройка SSO и поддомена для учетной записи.

Настройка Единого входа

С помощью единого входа Cato (SSO) вы можете разрешить пользователям Cato использовать существующие учетные данные поставщика идентификационных данных (IdP) без необходимости использования специальных учетных данных от Cato Networks. Пользователи могут подключаться к Cato, используя свой адрес электронной почты или имя участника-пользователя (UPN), как задано в Azure.

Обзор SSO с вашей учетной записью Cato

После установления цепи доверия между Cato, IdP и справочником пользователей вашей компании, Cato доверяет IdP для аутентификации пользователей.

Cato SSO поддерживает следующие клиентские операционные системы:

  • Windows
  • macOS
  • iOS
  • Android
  • Linux

Известные ограничения

  • Azure в Китае не поддерживается

Подготовка к настройке SSO с Azure

Прежде чем установить доверие с Azure, убедитесь, что вы выполнили следующие условия:

  • Вы должны иметь привилегии глобального администратора или привилегированного администратора ролей для Azure, используя ту же электронную почту для Azure и CMA

    Примечание: Интеграция не удастся, если у администратора CMA нет учетной записи ID Entra.

  • Для LDAP Azure должен быть синхронизирован с вашим пользовательским справочником в вашем аккаунте Cato.

  • Для вручную созданных пользователей SDP поддерживается SSO для клиентов Windows v5.x, macOS v5.x и Linux v5.x

    • Для iOS и Android только пользователи, импортированные из вашей организации в Cato через предоставление LDAP или SCIM, могут использовать SSO.
  • Профиль каждого пользователя Azure должен содержать действительный адрес Электронной почты.

Настройка SSO с Microsoft

Этот раздел объясняет, как настроить SSO с Microsoft Azure из приложения управления Cato.

Azure.png

Чтобы настроить SSO с Microsoft для вашего аккаунта:

  1. В навигационном меню выберите Доступ > Единый вход.
  2. Нажмите Новый.
  3. В выпадающем меню Поставщик идентификационных данных выберите Microsoft Azure.
  4. Введите Имя.
  5. Нажмите Применить, а на странице Единого входа нажмите Сохранить.
  6. На странице Единого входа, нажмите на провайдера, которого вы только что создали.

  7. Нажмите Настройка согласия Microsoft.

    Отобразится всплывающее окно Запрашиваемые разрешения.

    Примечание: Нажмите Применить, а затем нажмите Сохранить. Затем редактируйте запись для ссылки Настройка согласия Microsoft, чтобы она была включена.

    Permission_requested.png
  8. В окне "Запрашиваемые разрешения" нажмите Принять. См. ниже для получения дополнительной информации. 
  9. Если CMA запросит ассоциацию вашего Azure тенанта с вашим аккаунтом Cato, нажмите Подтвердить.
  10. Если вы настраиваете одного поставщика Единого входа, включите переключатель По умолчанию. Если вы настраиваете нескольких поставщиков Единого входа, см. Настройка нескольких поставщиков идентификационных данных.
  11. Нажмите Применить.

  12. Выберите Разрешить вход с использованием Единого входа для одного или нескольких типов пользователей в вашей учетной записи:

    • Пользователи SDP клиента (установите настройки Срок действия токена)
    • Пользователи SDP без клиента (установите тип Cookie)
    • Администраторы приложения управления Cato
  13. Нажмите Сохранить. Настройки Azure SSO для вашего аккаунта настроены

Предоставление разрешений Cato

В этом разделе объясняется, как использовать Приложение управления Cato для включения SSO с Microsoft Azure AD или Office 365.

Чтобы идентифицировать пользователей, Cato требует согласия на доступ к данным пользователя. В рамках процесса настройки администратор должен предоставить приложению Cato SSO доступ к данным от имени ваших пользователей. Это не предоставляет права администратора на арендатора Azure. Для получения дополнительной информации смотрите документацию Microsoft.

Предоставление согласия администратора для всего арендатора Cato требует, чтобы вы вошли в Azure как пользователь, уполномоченный давать согласие от имени организации (Глобальный администратор или Администратор привилегированной роли). Для получения дополнительной информации смотрите документацию Microsoft.

Для пользователей Клиента SDP, при настройке Настройки срока действия токена вы указываете в Днях или Часах количество времени, в течение которого пользователи остаются аутентифицированными. Пользователи, которые вошли в систему, должны повторно аутентифицироваться, когда истекло время, которое вы определили в Днях или Часах (с момента их последнего входа). Опция Всегда запрашивать означает, что пользователи должны всегда аутентифицироваться в Клиенте.

Требуемые разрешения

Для включения SSO Cato требуется предоставить следующие разрешения. Эти разрешения автоматически запрашиваются Cato во время процесса конфигурации. Вам не нужно вручную создавать корпоративное приложение.

Azure.png

Имя API Значение претензии Разрешение
Microsoft Graph электронная почта Просмотр адреса электронной почты пользователей
Microsoft Graph offline_access Поддержка доступа к данным, к которым вы предоставили доступ
Microsoft Graph openid Регистрация пользователей
Microsoft Graph профиль Просмотр базового профиля пользователей
Microsoft Graph User.Read Вход и чтение пользовательского профиля

Устранение неполадок соединений Azure SSO

Проблема

Вероятная причина

Решение

AADSTS50105: Вошедшему пользователю не назначена роль ...

Настройки приложения Azure Active Directory для приложения Cato некорректно настроены.

  1. Доступ к вашей учетной записи в портале Microsoft Azure.

  2. В меню нажмите Службы каталогов Azure.

  3. В подменю под УПРАВЛЕНИЕ нажмите Корпоративные приложения.

  4. В подменю под УПРАВЛЕНИЕ нажмите Все приложения.

  5. В правой панели, в списке приложений, нажмите Cato Cloud.

  6. В подменю под УПРАВЛЕНИЕ нажмите Свойства.

  7. В правой панели, в параметре Требуется назначение пользователя?, нажмите Нет.

  8. Используя клиента, повторно подтвердите подлинность в VPN Cato.

Пользователь вводит учетные данные и возвращается на страницу входа без аутентификации

Профиль для этого пользователя Azure не имеет действительного адреса Электронной почты.

Добавьте действительный адрес электронной почты в Профиль Azure для этого пользователя.

AADSTS90008: Пользователь или администратор не предоставил согласие на использование приложения

Вы не предоставили согласие Cato на доступ к данным пользователя в вашем тенанте Azure

Предоставьте Cato согласие на доступ к данным пользователя. Для получения дополнительной информации см. Обновление, необходимое для Единого входа с Azure.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 5

0 комментариев