Cato Networks SASEのSSO(AzureAD編)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cato Networks SASEのSSO(AzureAD編)についてご紹介します。
対応認証、ディレクトリサービス
Cato Networks SASEのSDP認証は下記に対応しています。
メーカ推奨はMFAを利用できるSSOになります。
- ローカルDB
- ID/PW
- MFA
- SSO
- Azure
- Okta
- OneLogin
- OneWelcome
SAMLは未対応です。
ディレクトリサービスは下記に対応しています。
- SCIM
- LDAP
ユーザプロビジョニング
SSOを利用するにはSCIM or LDAPでユーザプロビジョニングを事前にする必要があります。
今回はAzureADでのSSOなので、SCIMでユーザプロビジョニングを実施します。
Cato Networks SASEへSCIM設定
1.Cato Networks SASEへSCIM設定を行うため、「ディレクトリサービス」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_08.png)
2.SCIMタブで「ベースURL」、「トークン」をコピーしておきます。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_09.png)
次にAzureADの設定に移ります。
AzureAD エンタープライズアプリケーション追加
1.エンタープライズアプリケーションでCato Networks Provisioningを追加します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_01-1.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_02.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_03.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_05.png)
2.Cato Networks Provisioningにユーザを追加します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_06.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_07.png)
3.プロビジョニングでCato Networks SASE側のパラメータを入力して「テスト接続」を実施します。
問題がなければ40分毎に同期されます。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_20.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_21.png)
Cato Networks SASE SSO設定
1.「シングルサインオン」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_22.png)
2.Identity Providerに「Microsoft Azure」を選択します。その他のパラメータも必要に応じて変更します。
パラメータ設定後に、「マイクロソフト認証情報」を選択して管理者権限のあるユーザでログインすれば完了です。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_23-1024x609.png)
オプションで指定ドメインのみログインさせることも可能です。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_24.png)
ログイン
1.myvpnページのログインでSSOログインします。
2.「Microsoft」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_25.png)
3.プロビジョニングしたユーザのメールアドレスを入力します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_26.png)
注意事項
デフォルト認証メソッド(全体変更)
デフォルトのユーザ認証はID/PWとなるため、全体 or 個別に認証方式を変更する必要があります。
1.全体を変更する場合は、「クライアントアクセス」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_10-1.png)
2.認証のデフォルトメソッドを「SSO」に変更します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_11.png)
デフォルト認証メソッド(個別変更)
ユーザ個別に設定したい場合はユーザ設定で変更します。
1.「認証」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_13.png)
2.デフォルトメソッドを「SSO」に変更します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_14-1-1024x328.png)
SCIM必須アトリビュート
IdP側に下記のアトリビュートが無いとエラーになるので注意が必要です。
- Name
- First name
- Last name
- User Principal Name
- User type
- Object ID
SCIMユーザの削除
SCIMユーザはIdP側で無効化後に手動削除が必要です。
AzureAD側のエンタープライズアプリケーションからユーザを削除します。
1.次回の同期時にユーザが無効になります。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_16-1024x30.png)
2.削除したいユーザを選択して、「アクション」-「削除」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_17.png)
3.「削除」を選択します。
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_18.png)
![](https://blogs.techvan.co.jp/ns/wp-content/uploads/2023/03/sso_19.png)
参考URL
- ユーザプロビジョニング
https://support.catonetworks.com/hc/en-us/articles/4413265652753-SCIM-Provisioning-with-Azure
- SSO
まとめ
- SSOは対応サービスが限定されているがAzure、Google、Oktaなどが対応している
- SSO前にユーザプロビジョニングが必要
- デフォルト認証メソッドはID/PW
今回はCato Networks SASEのSSO(AzureAD編)についてご紹介しました。