本文说明如何将 Cisco DUO 配置为用户的单点登录 (SSO) 提供商。
SSO 依赖于来自 Cato 和您的 IdP 的加密令牌,以验证用户已认证且被允许连接到网络。 有关详细信息,请参见 Cato 用户的 SSO 认证。
按照以下步骤将 DUO 配置为 SSO 提供商:
- 步骤 1:在 DUO 管理员面板中创建一个 OIDC 应用程序
- 步骤 2:在 Cato 管理应用程序 (CMA) 中配置详细信息
- 步骤 3:配置 DUO 在您的账户中如何使用
在 DUO 管理员面板中,通过以下过程创建一个应用程序,并识别要输入到 CMA 的以下值:
- OIDC 信息搜集网址
- 客户端ID
- 客户端密钥
创建一个应用程序:
- 登录至 Duo 管理面板。
- 导航到 应用程序 > 应用程序。
- 点击 添加应用程序。
搜索 OAuth OIDC 应用程序并选择该选项。
-
为应用程序添加名称并配置以下详细信息:
- 用户访问 - 为所有用户选择启用
- 授予类型(常规标签页) - 勾选授权代码复选框
-
登录重定向 URL - 添加以下 URL:
- https://auth.catonetworks.com/oauth2/broker/code/duo
- https://auth.us1.catonetworks.com/oauth2/broker/code/duo
- https://auth.in1.catonetworks.com/oauth2/broker/code/duo
- https://auth.jp1.catonetworks.com/oauth2/broker/code/duo
- https://auth.catonetworks.com/endsession/
- https://auth.us1.catonetworks.com/endsession/
- https://auth.in1.catonetworks.com/endsession/
- https://auth.jp1.catonetworks.com/endsession/
- https://sso.via.catonetworks.com/auth_results
- https://sso.ias.catonetworks.com/auth_results
- https://sso.proxy.catonetworks.com/auth_results
-
范围和声明 > 范围授权(访问权限策略标签) - 添加以下范围:
- openid
- 个人资料
- 电子邮件
-
公共客户端注册(客户端标签页) - 添加这些范围:
- openid
- 个人资料
- 电子邮件
- 点击 保存。
- 在 元数据 部分,复制并保存 OIDC 发现 URL 以便输入到 CMA。
- 在 静态客户端注册 部分,复制并保存 客户端 ID 和 客户端密钥 以便输入到 CMA。
在 CMA 中,输入您在上一步中创建的 DUO 应用程序的详细信息。
将 DUO 配置为 SSO 提供商:
- 在 CMA 中,从导航菜单中点击 访问 > 单点登录。
- 点击 新建。
- 从 身份提供者 下拉菜单中,选择 Duo。
- 输入一个 名称 以识别此集成。
- (可选)要将 DUO 配置为默认的 SSO 提供商,请启用 默认 开关。 如果配置多个单点登录提供商,请参阅 配置多个身份提供者。
- 输入 OIDC 发现网址作为 常用网址 和步骤 1 中创建的 客户端 ID。
- 点击 编辑客户端密钥 并输入您在步骤 1 中创建的值。
- 点击 应用。
您可以选择允许用户、Cato 管理应用程序管理员或两者使用 DUO 通过 SSO 进行认证。
您还可以配置 Cato 认证令牌 的有效期限。 令牌有效期 设置定义了用户保持认证状态的时间长度,以天或小时为单位。 登录的用户在您定义的时间长度(天或小时)到达时必须重新认证。
总是提示 选项意味着用户必须始终对客户端进行认证。
0 条评论
文章评论已关闭。