本文说明如何将 Cisco DUO 配置为用户的单点登录 (SSO) 提供商。
SSO 依赖于来自 Cato 和您的 IdP 的加密令牌,以验证用户已认证且被允许连接到网络。 有关详细信息,请参见 Cato 用户的 SSO 认证。
注意
注意: 在feature-releases@catonetworks.com 获取更多关于启用和使用此功能的信息。
按照以下步骤将 DUO 配置为 SSO 提供商:
- 在 DUO 管理面板中创建一个 OIDC 应用程序
- 在 Cato 管理应用程序 (CMA) 中配置详细信息
- 配置 DUO 在您的帐户中的使用方式
在 DUO 管理面板中,创建一个应用程序并标识要输入到 CMA 的以下值:
- OIDC 信息搜集网址
- 客户端ID
- 客户端密钥
创建一个应用程序:
- 登录至 Duo 管理面板。
- 导航到 应用程序 > 应用程序。
- 点击 添加应用程序。
-
为应用程序添加名称并配置以下详细信息:
- 应用程序类型 - OAuth 2.1 / OIDC - 单点登录
- 用户访问 - 为所有用户选择启用
- 授权类型 - 选中授权代码复选框
-
登录重定向 URL - 添加以下 URL:
-
作用域和声明 > 电子邮件 - 添加一个带有 IdP 属性
的声明及一个 Claim email -
作用域和声明 > 范围授权 - 添加以下范围:
- openid
- 个人资料
- 电子邮件
-
公共客户端注册 - 添加以下范围:
- openid
- 个人资料
- 电子邮件
- 点击 保存。
- 在 元数据 部分,复制并保存 OIDC 发现 URL 以便输入到 CMA。
- 在 静态客户端注册 部分,复制并保存 客户端 ID 和 客户端密钥 以便输入到 CMA。
在 CMA 中,输入您在上一步骤中创建的 DUO 应用程序的详细信息:
- OIDC 发现端点是众所周知的 URL
- 客户端 ID
- 客户端密钥
将 DUO 配置为 SSO 提供商:
- 在 CMA 中,从导航菜单中点击 访问 > 单点登录。
- 点击 新建。
- 从 身份提供者 下拉菜单中,选择 Duo。
- 输入一个 名称 以识别此集成。
- (可选)要将 DUO 配置为默认的 SSO 提供商,请启用 默认 开关。 如果配置多个单点登录提供商,请参阅 配置多个身份提供者。
- 输入您在步骤 1 中创建的 众所周知的 URL 和 客户端 ID。
- 点击 编辑客户端密钥 并输入您在步骤 1 中创建的值。
- 点击 应用。
您可以选择允许用户、Cato 管理应用程序管理员或两者使用 DUO 通过 SSO 进行认证。
您还可以配置 Cato 认证令牌 的有效期限。 令牌有效期 设置定义了用户保持认证状态的时间长度,以天或小时为单位。 登录的用户在您定义的时间长度(天或小时)到达时必须重新认证。
总是提示 选项意味着用户必须始终对客户端进行认证。
0 条评论
文章评论已关闭。