配置多个身份提供者

您可以配置多个身份提供者 (IdP),以使用SSO在您的账户中提供和认证用户。 本文将介绍如何在您的账户中配置多个IdP。

概览

如果您的组织管理跨多个IdP的用户,它们可以全部与Cato集成,以便您无需将用户合并到单个租户中。 您可以从多个IdP(或同一IdP的多个租户)提供用户服务,配置多个SSO提供者,然后映射哪个用户使用哪个提供者进行身份验证。

当用户登录到Cato 客户端或浏览器访问时,他们仅看到为他们配置的SSO 提供商。

注意

注意: 配置多个身份提供者不应作为从现有IdP实例迁移用户的方法。 要将现有实例从一个IdP转移到另一个IdP,请遵循这些说明

使用案例 - 公司合并

公司ABC将Microsoft Azure用作其IdP,并与将Okta用作其IdP的公司XYZ合并。 两家公司都使用Cato作为它们的远程访问解决方案。 公司不需要将所有用户从一个IdP迁移到另一个,而是开始从Azure和Okta提供用户服务,两者都配置为远程用户的SSO认证方法。 配置多个IdP确保所有用户可以在Cato客户端中进行身份验证,而无需迁移任何数据。

配置多个IdP

按照以下步骤配置多个IdP:

  1. 配置多个SCIM目录

  2. 将多个SSO提供者配置到您的账户

  3. 将目录映射到SSO提供者

步骤1:配置多个SCIM目录

Directory_Services.png

访问>目录服务页面上,单击新建以从多个来源添加更多SCIM目录来提供用户服务。 有关如何使用SCIM配置用户的更多信息,请参阅SCIM用户配置。 所有SCIM目录服务的UPN和对象ID必须是唯一的。

步骤2:将多个SSO提供者添加到您的账户

您可以添加多个身份提供者以在您的账户中使用。 被指定为默认的提供者由管理员用来登录CMA。 不支持管理员使用多个SSO提供者登录CMA。

Multiple_providers.png

向您的账户添加多个SSO提供者:

  1. 从导航菜单中,选择访问>单点登录

  2. 点击新建

    添加身份验证方法面板打开。

  3. 选择您要添加的身份提供者并添加名称。

  4. (可选)要使该身份提供者成为您账户的默认提供者,启用默认切换。

  5. 添加身份提供者的身份验证详情。 每个提供者都有不同的配置要求。 有关如何配置身份提供者的更多信息,请参阅身份提供者的配置文章

    注意: 如果您的身份提供者是Azure,点击应用然后点击保存。 然后编辑条目,使设置 Microsoft 同意链接启用。

  6. 为您账户中的一个或多个用户类型选择允许使用单一登录进行登录

    • SDP客户端用户(设置令牌有效期设置)

    • 无客户端SDP用户(设置Cookie类型)

    • Cato管理应用程序管理员

  7. 点击应用然后点击保存

步骤3:将目录映射到SSO提供者

用户身份验证页面上,您可以为用户定义默认的身份验证方法。 如果选择SSO,默认选择所有目录服务选项。 通过此配置,所有用户都使用默认的SSO提供者进行身份验证。 您可以更改该配置并映射哪个目录应使用哪个SSO提供者。

附加设置标签页上,您可以配置用于客户端身份验证的浏览器(嵌入式或外部)及重新认证提示。 有关更多信息,请参阅为Cato 客户端配置身份验证策略

User_Authentication.png

将目录映射到SSO提供者:

  1. 从导航菜单中,选择访问>用户身份验证

  2. 点击默认方法下拉列表并选择SSO

  3. 选择已选择的目录服务

  4. 点击新建

    新建目录服务SSO提供商面板打开。

  5. 点击目录服务下拉列表并选择要映射的用户的提供方式。

  6. 点击单点登录提供商下拉列表并选择要使用的提供者。

  7. 点击应用然后点击保存

禁用身份提供者

您可以禁用在您的账户中不再需要的身份提供者。 禁用身份提供者后,用户无法使用它登录到Cato客户端。

Disable.png

禁用身份提供者

  1. 从导航菜单中,选择访问>单点登录

  2. 点击要禁用的身份提供者。

  3. 已启用开关关闭。

  4. 点击应用然后点击保存

理解用户体验

如果为您的账户配置了多个身份提供者,对用户没有影响。 用户输入电子邮件地址以登录后,客户端显示映射到该用户的SSO提供者的登录页面。

已知限制

  • 仅支持SCIM或手动用户配置

  • 配置后,无法删除IdP。

    • IdP可以被禁用

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论