Cato Networks - OpenID Connect

本記事では、OneLoginからCato NetworksへのOpenID Connect（OIDC）シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

1. OneLogin側の設定

2. Cato Networks側の設定

3. OIDC SSOの動作確認

4. OIDC SSOの無効化

5. 外部ブラウザ経由でのCato ClientへのSSO

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Cato Management Applicationの Editor または Access Admin 権限をお持ちであること
• Cato SDP ClientからのSSOにはCato Networksのユーザーに SDPライセンス が必要であること

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4.  Cato Networks と検索し、OpenID Connect2.0 のコネクタを選択します
   
   
    
5. Visible in portal のトグルをクリックし、× に変更します
   *Cato Management ApplicationおよびCato ClientへのOIDCシングルサインオンは、OneLoginを起点とするSSOができないため、OneLoginポータルにおけるコネクタを非表示にすることを推奨いたします。
   
   
    
6. ［Save］をクリックします
   
   
    
7. SSO タブに移動し、Client ID をクリップボードへコピーします
   
   
    
8. Show client secret をクリックします
   
   
    
9. Client Secret をクリップボードへコピーします
   
   
    
10. Authentication Method を POST に変更します
    
     
11. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
    

2. Cato Networks側の設定

1. Cato Management Application に Editor または Access Admin でログインします
   
   
    
2. アクセス タブに移動します
   
   
    
3. アクセス設定 > 認証 > シングルサインオン に移動し、［新規］をクリックします
   
   
    
4. Identity Provider から［OneLogin］を選択します
   
   
    
5. 任意の 名前 を入力します
   例）OneLogin
   
   
    
6. デフォルト に変更します
   
   
    
7. クライアントID に 1. OneLogin側の設定 手順7 でコピーした値を貼り付けます
   
   
    
8. ドメインプレフィックス に OneLoginテナントのサブドメイン を入力します
   例）OneLoginのURLが pentio.onelogin.com の場合、pentio と入力します
   
   
    
9. ドメイン接尾辞 に .oneLogin.com を選択します
   
   
    
10. クライアントシークレット に 1. OneLogin側の設定 手順9 でコピーした値を貼り付け、［適用］をクリックします
    
    
     
11. SDPクライアントユーザ > シングルサインオンでのログインを許可する にチェックを入れます
    
    
     
12. Cato 管理画面の管理者 > シングルサインオンでのログインを許可する にチェックを入れます
    *本手順により、Cato Management Applicationの管理者にもSSOを許可した場合、Cato SDP ClientとCato Management Applicationの両方へのSSOを1つのコネクタで実現することができます。
    
    
     
13. ［保存］をクリックします
    
    
     
14. 正常に保存されました と表示されることを確認します
    

OIDC連携の設定は以上です。

3. OIDC SSOの動作確認

1. Cato Management Applicationからログアウトし、［Sign in with OneLogin］をクリックします
   
   
    
2. 対象のOneLoginユーザーでサインインを続行します
   
   
    
3. You are logged in as… と表示されることを確認します
   

OIDC SSOの動作確認は以上です。

4. OIDC SSOの無効化

1. Cato Management Application に Editor または Access Admin でログインします
   
   
    
2. アクセス タブに移動します
   
   
    
3. アクセス設定 > 認証 > シングルサインオン に移動します
   
   
    
4. Cato 管理画面の管理者 > シングルサインオンでのログインを許可する のチェックを外します
   
   
    
5. SDPクライアントユーザ > シングルサインオンでのログインを許可する のチェックを外し、［保存］をクリックします
   
   
    
6. 正常に保存されました と表示されることを確認します
   

OIDC SSOの無効化は以上です。

5. 外部ブラウザ経由でのCato ClientへのSSO

OneLoginにおいてPKI証明書を用いたデバイストラストをご利用の場合、Cato Clientの設定を変更し、外部ブラウザ経由でのSSOをご利用ください。

1. Cato Clientを開きます
   
   
    
2. ［Settings］を開き、Force External Browser にチェックを入れます
   
    
3. ［Users］を開き、［ADD USER］をクリックします
   
   
    
4. Authentication in progress と表示され、外部ブラウザが起動します
   
   
    
5. Email を入力し、［Continue］をクリックします
   
   
    
6. OneLoginへリダイレクトされるので、ユーザー認証を行います
   
   
    
7. You have been authenticated successfully と表示されることを確認します
   
   
    
8. 切断する場合は［Home］に表示されているボタンをクリックします
   

外部ブラウザを経由したログインは以上です。