本文解释了如何将 Azure 配置为 SDP 用户、无客户端用户和 Cato 管理应用程序 (CMA) 管理员的单点登录 (SSO) 提供商。
SSO依赖于来自Cato和您的 IdP 的加密令牌来验证用户已通过身份验证并允许连接到网络。 有关详细信息,请参见与 Cato 用户的 SSO 认证。
有关为账户启用SSO的更多信息,请参见配置账户的SSO和子域。
使用 Cato 单点登录 (SSO),您可以允许 Cato 用户使用现有的身份提供者 (IdP) 凭据,而无需 Cato Networks 的专用凭据。 用户可以使用在 Azure 中定义的电子邮件地址或用户主体名称 (UPN) 连接到 Cato。
在 Cato、身份提供者和您公司用户目录之间建立信任链后,Cato 信任身份提供者进行用户身份验证。
Cato SSO 支持以下客户端操作系统:
- Windows
- macOS
- iOS
- Android
- Linux
在您与 Azure 建立信任之前,请确保完成以下先决条件:
-
您必须拥有 Azure 的全球管理员或具特权角色管理员权限,且使用相同的电子邮件用于 Azure 和 CMA。
注意:如果 CMA 管理员没有 Entra ID 账户,则集成将失败。
- 对于LDAP,Azure必须与Cato账户中的用户目录同步。
-
对于手动创建的 SDP用户,SSO 支持 Windows v5.x、macOS v5.x 和 Linux v5.x 客户端
- 对于iOS和Android,只有通过LDAP或SCIM配置从您的组织导入到Cato的用户可以使用SSO。
- 每位Azure用户的个人资料必须具有有效的电子邮件地址。
本节说明如何从 Cato 管理应用程序中配置 Microsoft Azure 的 SSO。
为您的账户配置与Microsoft的SSO:
- 在导航菜单中,选择 访问 > 单点登录。
- 单击 新建。
- 从身份提供者下拉菜单中,选择 Microsoft Azure。
- 输入一个名称。
- 单击 应用,在单点登录页面中,单击 保存。
- 在单点登录页面中,单击您刚创建的提供商。
-
点击设置 Microsoft 同意。
请求的权限弹出窗口显示。
注意: 点击应用,然后点击 保存。 然后编辑设置 Microsoft 同意链接条目以启用。
- 在请求的权限弹出窗口中,单击 接受。 请参阅下文以获取更多信息。
- 如果CMA提示您将Azure租户与Cato账户关联,单击 确认。
- 如果您正在配置一个单点登录提供商,启用默认开关。 如果您正在配置多个单点登录提供商,请参见配置多个身份提供者
- 单击 应用。
-
选择允许使用单点登录进行登录在您的账户中为一个或多个用户类型:
- SDP客户端用户(设置 令牌有效期 设置)
- 无客户端SDP用户(设置 Cookie 类型)
- Cato管理应用管理员
- 单击 保存。 您的账户的Azure SSO设置已配置
本节解释了如何使用 Cato 管理应用程序启用 Microsoft Azure AD 或 Office 365 的 SSO。
为了识别用户,Cato 需要用户同意访问用户数据。 作为配置过程的一部分,管理员必须授予 Cato SSO 应用程序代表用户访问数据的权限。 这并不会在 Azure 租户上提供管理员权限。 欲了解更多信息,请参阅微软文档。
要为 Cato 授予租户范围内的管理员同意,您需要作为被授权代表组织同意的用户(如全局管理员或特权角色管理员)登录 Azure。 欲了解更多信息,请参阅微软文档。
对于 SDP 客户端用户,当您配置令牌有效性设置时,可以通过定义天或小时来确定用户保持认证的时间。 已登录的用户在您定义的天或小时(自其最后登录以来)达到后必须重新认证。 总是提示选项意味着用户必须始终在客户端上进行认证。
|
问题 |
可能的原因 |
解决方案 |
|---|---|---|
|
AADSTS50105: 已登录的用户未被分配角色 ... |
针对Cato应用的Azure Active Directory应用设置未正确配置。 |
|
|
用户输入凭证后被返回到登录页,未进行认证 |
此Azure用户的个人资料中没有有效的电子邮件地址。 |
为该用户在Azure 个人资料中添加有效的电子邮件地址。 |
|
AADSTS90008: 用户或管理员尚未同意使用该应用 |
您尚未授权Cato访问您的Azure租户中的用户数据 |
为Cato授权访问用户的数据。 有关更多信息,请参阅 需要更新以便与 Azure 进行单点登录。 |
0 条评论
请登录写评论。