本文说明如何将 Keycloak 配置为 SDP 用户和 Cato 管理应用程序(CMA)管理员的唯一单点登录(SSO)提供程序。
SSO 依赖于 Cato 和您的 IdP 提供的加密令牌,以验证用户是否经过认证并允许连接到网络。 有关更多详细信息,请参见 使用 Cato 的用户的 SSO 认证。
您可以配置 Keycloak 作为 SSO 提供程序,以集中管理 CMA 管理员和通过 Cato 客户端连接的远程用户的认证。 此集成通过强制登录 Keycloak 凭据提高了账户安全性并简化了身份管理。
确保 Cato 中每位用户和管理员的电子邮件地址与 Keycloak 中的相应电子邮件地址匹配。
一旦启用 SSO,管理员必须通过 Keycloak 进行认证以访问 CMA,管理员和用户都必须通过 Keycloak 进行认证以连接 Cato 客户端。
按照以下步骤配置 Keycloak 作为 SSO 提供程序:
-
在您的 Keycloak 管理控制台中将 Cato 添加为 Keycloak 客户端
-
在 CMA 中输入您的 Keycloak 主机的详细信息
在 Keycloak 管理控制台中,将 Cato 添加为客户端。 将 Cato URI 加入白名单,以配置 Cato 作为客户端的一部分。 您将在第 2 步中需要这些值:
-
客户端 ID
-
客户端密钥
此过程涉及 Keycloak 控制台,该控制台可能会更改。 要阅读最新的 Keycloak 文档,请参阅 管理资源服务器。
将 Cato 添加为 Keycloak 客户端:
-
在 Keycloak 中,转到 客户端 > 创建客户端。
-
在 常规设置 选项卡中,输入基本设置,包括客户端 ID。 您需要客户端 ID 以便稍后与 Cato 集成。
-
在 功能配置 选项卡中,确保启用了 客户端认证。
-
在 登录设置 选项卡中,在 有效重定向 URI 中输入以下 Cato URI:
-
https://sso.via.catonetworks.com/auth_results
-
https://sso.ias.catonetworks.com/auth_results
-
https://sso.proxy.catonetworks.com/auth_results
-
https://169.254.255.254/auth_results
-
https://auth.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.us1.catonetworks.com/oauth2/broker/code/keycloak
-
https://auth.catonetworks.com/endsession/*
-
https://auth.us1.catonetworks.com/endsession/*
-
-
点击 保存 以创建 Keycloak 客户端。
-
转到 客户端 区域,然后点击您刚创建的客户端。
-
转到 凭证 选项卡并复制 客户端密钥。 在 CMA 中创建 SSO 提供程序时,您将需要该值。
在 CMA 中,输入您在上一步中创建的 Keycloak 客户端的详细信息:
-
Keycloak URL
-
客户端 ID
-
客户端密钥
Keycloak URL 的值是 URL 的开始部分,直到域名结束,不包含 HTTPS。
例如,如果您用于访问 Keycloak 的 URL 是 https://keycloak.example.com/realms/myRealm/.well-known/openid-configuration,您将输入 keycloak.example.com/realms/myRealm 作为您的 Keycloak URL。
Cato 支持 多个 IdP 的 SSO。 仅默认 SSO 提供程序用于 CMA 管理员,请确保将 Keycloak 定义为 默认 认证方法。
0 条评论
文章评论已关闭。