配置多个身份提供者

您可以配置多个身份提供者(IdP),以通过SSO在您的账户中为用户进行准备和认证。 本文解释了如何在您的账户中配置多个IdP。

概览

如果您的组织在多个IdP中管理用户,所有这些IdP都可以与Cato集成,这样您无需将用户合并到一个单一租户中。 您可以从多个IdP(或同一IdP的多个租户)中准备用户,配置多个SSO提供商,然后映射每个提供商认证的用户。

当用户登录到Cato 客户端或浏览器访问时,他们只能看到为其配置的SSO 提供商。

注意

注意: 配置多个身份提供者不应作为从现有IdP实例迁移用户的方法。 要将现有实例从一个IdP移动到另一个,请按照这些说明进行操作。

使用情况 - 公司合并

公司ABC使用Microsoft Azure作为其IdP,并与使用Okta作为IdP的公司XYZ合并。 两家公司都使用Cato作为其远程访问解决方案。 公司无需将所有用户从一个IdP迁移到另一个IdP,而是开始从Azure和Okta两者中准备用户,并将两者配置为远程用户的SSO认证方法。 配置多个IdP确保所有用户可以在Cato客户端进行认证,而无需迁移任何数据。

配置多个IdP

按照以下步骤配置多个IdP:

  1. 配置多个SCIM目录

  2. 为您的账户配置多个SSO提供商

  3. 将目录映射到SSO提供商

步骤1:配置多个SCIM目录

Directory_Services.png

访问 > 目录服务页面,点击新建以从多个来源添加多个SCIM目录来配置用户。 有关如何使用SCIM配置用户的更多信息,请参见SCIM用户配置。 UPN和对象ID必须在所有SCIM目录服务中唯一。

步骤2:向您的账户添加多个SSO提供商

您可以添加多个身份提供者在您的账户中使用。 指定为默认的提供商用于管理员登录CMA。 不支持多个SSO提供商用于管理员登录CMA。

Multiple_providers.png

向您的账户添加多个SSO提供商:

  1. 从导航菜单中选择访问 > 单点登录

  2. 点击新建

    添加身份验证方法面板打开。

  3. 选择您想要添加的身份提供者,并添加名称。

  4. (可选)要使此身份提供者成为您账户的默认提供商,请启用默认切换。

  5. 添加身份提供者的身份验证详情。 每个提供商有不同的配置要求。 有关如何配置身份提供者的更多信息,请参见身份提供者的配置文章

    注意:如果您的身份提供者是Azure,点击应用,然后点击保存。 然后编辑设置 Microsoft 同意链接条目以启用。

  6. 为您账户中的一个或多种用户类型选择允许使用单点登录进行登录

    • SDP客户端用户(设置令牌有效性设置)

    • 无客户端SDP用户(设置Cookie类型)

    • Cato管理应用程序管理员

  7. 点击应用,然后点击保存

步骤3:将目录映射到SSO提供商

用户身份验证页面,您可以为您的用户定义默认身份验证方法。 如果选择SSO,默认选择所有目录服务选项。 通过此配置,所有用户都使用默认的SSO提供商进行认证。 您可以更改此配置,并映射每个目录应该使用哪个SSO提供商。

其他设置标签中,您可以配置用于在客户端中进行认证的浏览器(内嵌或外部)和重新认证提示。 有关更多信息,请参阅配置Cato 客户端的认证策略

User_Authentication.png

将目录映射到SSO提供商:

  1. 从导航菜单中选择访问 > 用户身份验证

  2. 点击默认方法下拉菜单并选择SSO

  3. 选择已选择的目录服务

  4. 点击新建

    新建目录服务SSO提供商面板打开。

  5. 点击目录服务下拉菜单,选择您想要映射的用户准备方法。

  6. 点击单点登录提供商下拉菜单,选择要使用的提供商。

  7. 点击应用,然后点击保存

禁用身份提供者

您可以禁用在您的账户中不再需要的身份提供者。 身份提供者被禁用后,用户无法使用它登录Cato客户端。

Disable.png

禁用身份提供者

  1. 从导航菜单中选择访问 > 单点登录

  2. 点击您想要禁用的身份提供者。

  3. 启用切换关闭。

  4. 点击应用,然后点击保存

理解用户体验

如果为您的账户配置多个身份提供者,对用户没有影响。 用户输入电子邮件地址以登录后,客户端显示映射到用户的SSO提供商的登录页面。

已知限制

  • 仅支持SCIM或手动用户准备

  • 配置后,IdP不能被删除。

    • IdP可以被禁用

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论