本文解释了如何使用 LDAP 导入和同步 OneLogin 用户,并将 OneLogin 配置为 Cato 用户的 SSO 提供者。
SSO 依赖于来自 Cato 和您的 IdP 的加密令牌来验证用户已通过身份验证并允许连接到网络。 有关详细信息,请参见SSO 用户身份验证。
这是将您的 Cato 账户与 OneLogin 配置和集成的过程的高级概览。 在您配置 OneLogin 以与 Cato 同步用户后,还可以将 OneLogin 配置为用户的 SSO 提供商。
- 在OneLogin中,配置虚拟LDAP设置。
- 在Cato管理应用程序中,将OneLogin域名添加到您的账户。
- 将OneLogin域控制器添加到域名中。
- 在OneLogin中,创建一个OpenID Connect应用程序以允许Cato认证用户使用OneLogin。
- 将群组(OneLogin角色)导入到您的账户。
- 为用户选择OneLogin作为SSO提供商。
注意
注意: 要使用 OneLogin 作为 SSO 提供商,必须在 OneLogin 和 Cato 之间配置 LDAP 同步。 这需要在您的 OneLogin 帐户上启用 VLDAP 服务。
要为 OneLogin 和您的 Cato 帐户启用 SSO 和 LDAP 同步,请使用 OneLogin 中的 认证 窗口启用虚拟 LDAP 并禁用多因素认证 (MFA)。 该窗口还具有用于在 Cato 管理应用中配置域的登录 DN 设置。
VPN SSO 需要启用 OneLogin VLDAP 服务。 如果您仅将 OneLogin 用于 LDAP 同步,则无需启用 VLDAP。
由于 OneLogin 的限制,每次 LDAP 同步限于 500 名用户。 对于有超过 500 名用户的账户,请多次运行 LDAP 同步。
要配置OneLogin中的虚拟LDAP设置:
-
在 OneLogin 中,从菜单栏选择 认证 > VLDAP。
- 对于使用SSO的账户,确保已启用启用VLDAP服务。
- 清除多因素认证以禁用您的OneLogin账户的MFA。
- 在虚拟专有名称中,复制虚拟DN。 您将在添加新域名到OneLogin(下方)中输入虚拟DN。
- 点击保存。 虚拟LDAP设置已配置。
将您的 OneLogin 帐户作为目录服务中的新域名添加到 Cato 管理应用程序。 然后,为该域定义域控制器。
使用 目录服务 窗口向您的帐户添加新域。 然后配置该域的 OneLogin LDAP 设置。
要添加新OneLogin域名到目录服务:
- 从导航菜单中,点击访问 > 目录服务。
-
从 LDAP 部分或标签中,点击 新建。
新目录服务 面板打开。
- 在LDAP服务器中输入域名的名称。
-
在 LDAP 身份验证连接 部分的 登录 DN 中配置 OneLogin 认证设置:
- 在登录DN中,粘贴您在配置虚拟LDAP设置中复制的虚拟LDAP。
- 将cn更改为您的OneLogin账户的电子邮件地址。
-
在 基础 DN 中,粘贴虚拟 LDAP 并删除 cn 和 ou。 上面的截图显示了这些设置:
- 登录DN: cn=admin@samplenetworks.com,ou=users,dc=sample-networks,dc=onelogin,dc=com
- 基础DN: dc=sample-networks,dc=onelogin,dc=com
- 输入您的OneLogin账户的管理员密码。
- 启用使用SSL。
- 点击保存。 OneLogin域名已上传到Cato管理应用程序。
- 点击测试连接以确保Cato可以连接到您的OneLogin账户。
在配置和保存 OneLogin 域之后,配置域控制器的设置。 使用适合您的 OneLogin 帐户的主机设置:
- US - ldap.us.onelogin.com
- Europe - ldap.eu.onelogin.com
有关OneLogin主机设置的更多信息,请参见OneLogin文档。
在OneLogin中创建一个新应用,允许Cato使用OneLogin认证SDP用户。 然后将其配置为连接到Cato。
注意
注意: 在OneLogin市场中存在一个遗留的Cato Networks应用程序,目前不支持。 我们建议不要使用此应用程序。
在OneLogin中创建一个新的OpenID Connect应用程序。
将OneLogin应用程序配置为支持SDP用户的Cato SSO。 Cato根据角色执行与OneLogin的LDAP同步,而不是根据OneLogin群组。
对于新版SDP用户,使用Windows客户端v5.1及更高版本,需要为OneLogin应用程序配置额外的重定向URI。 此URI不适用于早期版本,或对于升级到Windows客户端v5.1或更高版本的现有用户。
要配置应用程序以连接到Cato:
- 从左侧导航菜单中,选择配置。
-
在重定向URI中,输入这些URI:
- https://sso.via.catonetworks.com/auth_results
- https://sso.proxy.catonetworks.com/auth_results
- https://auth.catonetworks.com/oauth2/broker/code/onelogin
- https://auth.us1.catonetworks.com/oauth2/broker/code/onelogin
- https://auth.in1.catonetworks.com/oauth2/broker/code/onelogin
- https://auth.jp1.catonetworks.com/oauth2/broker/code/onelogin
- https://auth.catonetworks.com/endsession/callback
- https://auth.in1.catonetworks.com/endsession/callback
- https://auth.jp1.catonetworks.com/endsession/callback
- https://auth.us1.catonetworks.com/endsession/callback
-
(为Windows客户端的新建远程用户)
- https://sso.ias.catonetworks.com/auth_results
- https://169.254.255.254/auth_results
- 从左侧导航菜单中选择SSO,并配置这些SSO设置:
- 将应用程序类型设置为Web。
- 将认证方法设置为POST。
- 复制客户端ID和客户端密钥。 在下面配置OneLogin作为SDP用户的SSO提供商部分中粘贴这些设置。
- 点击保存。
- 将应用程序添加到相关的OneLogin用户和角色。
- 执行初始LDAP同步。 在Cato管理应用中,在目录服务屏幕上,点击立即同步。
在Cato管理应用程序中,您可以将OneLogin配置为您账户中SDP用户和管理员的全局SSO提供商。
对于管理员,请确保CMA管理员的电子邮件与OneLogin中的电子邮件地址相同。
要配置OneLogin为SSO提供商:
- 从导航菜单中选择访问 > 单点登录。
- 点击新建
- 从身份提供者下拉菜单中选择OneLogin。
- 输入名称。
-
输入这些设置:
- 如果您正在配置一个单一登录提供商,请启用默认切换。 如果您正在配置多个单点登录提供商,请参见配置多个身份提供者。
- 点击应用。
-
为您账户中的一个或多个用户类型选择允许使用单点登录进行登录:
- SDP客户端用户(设置令牌有效性设置)
- 无客户端SDP用户(设置Cookie类型)
- Cato管理应用程序管理员
- 点击保存。 OneLogin已配置为您账户中SDP用户的SSO提供商。
0 条评论
文章评论已关闭。