استكشاف الأخطاء وإصلاحها لتزامن وتوفير SCIM

نظرة عامة

يعتبر تزامن SCIM (نظام إدارة الهوية عبر المجال) وتوفير المستخدمين أساسيًا لأتمتة إدارة الهوية وضمان الوصول الآمن والمبسط للتطبيقات والموارد. ومع ذلك، يمكن أن تحدث تحديات تعوق هذه الأتمتة، مما يؤدي إلى مشاكل في الوصول أو مخاطر الامتثال. تم تصميم هذا الدليل لمعالجة مشاكل التزامن والتوفير الشائعة في SCIM مع Cato وتقديم حلول فعالة لحلها.

الأعراض

يمكن أن تظهر إخفاقات توفير SCIM بطرق مختلفة. قد يلاحظ المسؤول الأعراض التالية:

• رسالة خطأ عند تمكين SCIM
• لم يتم توفير المستخدمين إلى CMA
• اختبار الاتصال من IdP إلى CMA يفشل
• المستخدمون المتوفرون يفشلون في الاتصال مع عملاء SDP
• المستخدمون المكررون في CMA

الأسباب المحتملة

قم بتجميع الأسباب المحتملة التي سيحاولون تحديدها أثناء استكشاف الأخطاء وإصلاحها

• سوء التكوين
• استخدام بيانات اعتماد مسؤول خاطئة
• التراخيص
• توفير مستخدم مكرر عبر IdP

استكشاف المشكلة

قبل الخوض في خطوات استكشاف الأخطاء وإصلاحها، يوفر الرسم البياني أدناه نظرة عامة عالية المستوى على كيفية عمل توفير SCIM. بخلاف LDAP، يعتمد SCIM على آلية الدفع لتقديم تحديثات المستخدم مباشرة إلى تطبيق إدارة Cato (CMA).

يدعم Cato توفير SCIM للمستخدمين من خلال Azure وOkta وOne Login. لمزيد من المعلومات حول تكوين توفير SCIM لكل مزود هوية (IdP)، راجع توفير المستخدمين باستخدام SCIM. يركز هذا الدليل بشكل خاص على توفير SCIM مع Azure (Entra ID)، لكن المفاهيم الأساسية وتقنيات استكشاف الأخطاء قابلة للتطبيق على IdPs الأخرى أيضًا.

خطأ عند تمكين SCIM

عند تمكين SCIM في CMA، يتم ملاحظة الخطأ التالي، "لا يمكن تمكين توفير SCIM. يرجى الاتصال بالدعم والإشارة إلى تكوين معرّف الحساب - البريد الإلكتروني".

عند مواجهة هذا الخطأ، يرجى الاتصال بـالدعم لتعديل نوع معرّف المستخدم في حسابك.

المستخدمون لا يتم توفيرهم إلى CMA

هذا القسم سوف يوضح بعض الأسباب الشائعة لعدم توفير المستخدمين إلى CMA.

التحقق من بيانات اعتماد المسؤول

• اذهب إلى تطبيق SCIM > توفير > تحديث بيانات الاعتماد.
  
• قم بتوسيع بيانات اعتماد المسؤول وانقر على اختبار الاتصال
   
• لتحقيق التكامل والتوفير الناجح مع CMA، يجب عليك رؤية النتيجة التالية.
  
• إذا فشل اختبار الاتصال، ارجع إلى حل بيانات اعتماد المسؤول لمعرفة كيفية حل هذه المشكلة. 

السمات الإلزامية

• تعتبر بعض السمات ضرورية وإلزامية لتوفير SCIM مع Microsoft Entra ID. إذا كانت أي من هذه السمات المطلوبة مفقودة، قد يفشل توفير المستخدم أو قد لا يتمكن المستخدم المتوفر من الاتصال.
• يظهر لقطة الشاشة أدناه الحقول المطلوبة لتوفير العمل.
  
• إذا كان حقل البريد الإلكتروني مفقودًا، سيتم توفير المستخدم لـ CMA، لكن لن يتمكن من الاتصال مع عميل SDP.
• ارجع إلى قسم حل السمة الإلزامية للتحقق مما إذا كانت هذه المشكلة تسبب المشكلة وكيفية حلها.

المستخدمون/المجموعات غير المعينة لتطبيق المؤسسات في بوابة Azure

يجب إضافة المستخدمين والمجموعات إلى تطبيق توفير Cato في بوابة Azure قبل مزامنتهم إلى CMA. يوفر هذا القسم تعليمات خطوة بخطوة حول كيفية التحقق من ذلك.

• اذهب إلى تطبيقات المؤسسات > تطبيق توفير Cato > المستخدمون والمجموعات وتحقق من أن المستخدم أو المجموعة مدرجين.
• في المثال أدناه، يمكننا أن نرى أن مجموعة واحدة ومستخدم واحد تم تعيينهما لتطبيق "Cato Networks Provisioning—APJ T1 Lab".
  
• إذا لم يكن المستخدم أو المجموعات مدرجة في تطبيق التوفير الخاص بك في Azure، راجع قسم تعيين المستخدمين/المجموعات لتطبيق التوفير. 

فلتر التحديد في المستخدمين/المجموعات

• تحقق مما إذا كانت عوامل التصفية المحددة تم تكوينها للمستخدمين أو المجموعات في إعداد التوفير.
• انتقل إلى تطبيقات المؤسسات > تطبيق توفير Cato > توفير > الخرائط، ثم اختر خريطة المستخدم أو المجموعة.
• راجع عوامل تصفية نطاق كائن المصدر لترى ما إذا كانت قد تستبعد المستخدم أو المجموعة المعنية.
• إذا فشل التوفير بسبب عامل تصفية محدد، يتم تخطي المستخدم/المجموعة وسيظهر Azure سبب الفشل.
  
• لحل هذه المشكلة، راجع قسم حل عوامل التصفية المحددة في المستخدمين/المجموعات.

المستخدمون المتوفرون يفشلون في الاتصال مع عميل SDP

• بعد أن يتم توفير SCIM في CMA، يواجه المستخدمون الخطأ التالي عند محاولة الاتصال عبر عميل SDP، تحديدًا بعد إدخال عنوان البريد الإلكتروني والنطاق الفرعي.
  
• سبب محتمل لهذا الفشل هو قضية الترخيص
• راجع قسم حل قضية الترخيص لتعلم كيفية التحقق مما إذا كانت هذه المشكلة مرتبطة بالترخيص وكيفية حلها.

المستخدمون المكررون في CMA

قد يظهر المستخدمون المكررون بنفس عنوان البريد الإلكتروني في CMA. عادةً، يتم تعطيل مستخدم واحد بينما يتم تعيين ترخيص SDP للمستخدم الآخر.

راجع قسم حل المستخدمين المكررين في CMA قد تكون السبب المحتمل لحدوث ذلك وكيفية حله.

حل المشاكل المكتشفة

حل بيانات اعتماد المسؤول

• سجل الدخول إلى CMA الخاص بك وانتقل إلى الوصول > خدمات الدليل > SCIM للتحقق من أن عنوان URL الأساسي هو نفسه عنوان URL المستأجر المكون في Azure.
  
• إذا كان عنوان URL الأساسي هو نفسه، حاول إنشاء رمز جديد.
  
• انسخ الرمز الجديد قبل حفظ التكوين على CMA. بمجرد الانتهاء من ذلك، أدخل الرمز الجديد في Azure وانقر على اختبار الاتصال مرة أخرى.

حل السمة الإلزامية

• حقل البريد الإلكتروني إجباري. إذا كان هذا الحقل مفقودًا في معلومات المستخدم داخل موفر الهوية (IdP)، سيتم توفير المستخدم لـ CMA لكن ملف تعريفه سيفتقر إلى عنوان بريد إلكتروني.
  
• عندما يكون حقل البريد الإلكتروني غائبًا في ملف تعريف المستخدم، لا يمكن للنظام تعيين ترخيص SDP، مما يمنع المستخدم من الاتصال الناجح عبر عميل SDP.

تعيين المستخدمين/المجموعات لتطبيق التوفير

• لتعيين المستخدمين أو المجموعات لتطبيق التوفير الخاص بك، انقر على إضافة مستخدم/مجموعة ثم اختر "المستخدم والمجموعات."
• ثم ستظهر النافذة الصحيحة لك لاختيار المستخدمين/المجموعات المطلوب إضافتها.
  
• اختياريًا، بعد إضافة المستخدمين والمجموعات إلى تطبيق التزويد، بدلاً من انتظار دورة التزويد الآلي العادية، يمكنك التزويد يدوياً لهؤلاء المستخدمين/المجموعات في CMA من خلال "التزويد عند الطلب."
  
  ملاحظة: لا يتم دعم تزويد المجموعات المتداخلة

حل عوامل التصفية المحددة في المستخدمين/المجموعات

• إذا كان عامل تصفية تحديد يستبعد المستخدم أو المجموعة عن غير قصد:
  • قم بتعديل معايير عامل التصفية المحددة لضمان تضمينه المستخدم/المجموعة.
  • تأكد من أن منطق عوامل التصفية الخاصة بك (AND/OR) يتوافق مع السلوك المطلوب.
• لمزيد من التفاصيل، راجع مستند Microsoft - تحديد المستخدمين أو المجموعات التي سيتم توفيرها باستخدام عوامل التصفية المحددة.
• بعد إجراء التعديلات، أعد تشغيل التوفير عند الطلب للتحقق من أن المستخدم/المجموعة الآن تم تضمينه.

حل قضية الترخيص

• انتقل إلى الوصول > المستخدمين، وانقر على دليل المستخدم. تحقق مما إذا تم تعيين ترخيص SDP للمستخدم. يظهر لقطة الشاشة أدناه أن المستخدم Scim لم يتم تعيين أي ترخيص SDP له.
  
• بعد ذلك، انتقل إلى الوصول > تعيين الترخيص للتحقق مما إذا كان خيار "تعيين ترخيص SDP لجميع المستخدمين" ممكّن.
  • إذا كان كذلك، تحقق مما إذا كان عدد المستخدمين الإجمالي يتجاوز عدد تراخيص SDP الإجمالي.
    
  • إذا تجاوز عدد المستخدمين التراخيص المتاحة، يرجى الاتصال بممثل مبيعات Cato الخاص بك لاستكشاف خيارات للحصول على تراخيص SDP إضافية.
  • إذا كنت غير متأكدين من هم، لا تتردد في الاتصال بـالدعم.
• إذا تم تحديد "تعيين ترخيص SDP للمستخدمين أو المجموعات المحددة"، تأكد من أن المستخدمين الموفرين عبر SCIM مشمولين في المجموعات المعينة.
  

حل المستخدمين المكررون في CMA

• عندما يتم حذف مستخدم في Azure، يقوم النظام بإضافة قيمة ObjectID إلى قيمة UPN وتغيير حالة المستخدم إلى غير نشطة. هذا الإجراء يقوم بتعطيل المستخدم في قاعدة بيانات SCIM ويحدث قيمة UPN لتشمل ObjectID+UPN. يتماشى هذا السلوك مع وثائق Microsoft.

  

• إذا تم إعادة إنشاء المستخدم نفسه في Azure باستخدام عنوان البريد الإلكتروني نفسه، سيتم إنشاء مستخدم مكرر في كل من قاعدة بيانات SCIM وCMA بمعرف الكائن (ObjectID) مختلف. في هذه المرحلة، ستختلف UPN للمستخدمين المكررين. في هذا السيناريو، يجب حذف المستخدم المعطل في CMA لتجنب التكرار.
• تسمح Cato للمستخدمين الذين لديهم عناوين بريد إلكتروني مكررة؛ ومع ذلك، لا يمكن تعيين رخصة SDP إلا لمستخدم مكرر واحد. من المهم ملاحظة أن UPN وObjectID يجب أن يبقيا فريدين عبر جميع خدمات الدليل SCIM.

ملاحظات وقيود

1. يمكن توفير مستخدمين مختلفين من خلال SCIM وLDAP. ومع ذلك، إذا تم توفير مستخدم من خلال SCIM وLDAP، ستأخذ عملية التوفير من SCIM الأولوية. نتيجة لذلك، يتم إزالة المستخدم من مجموعات التوفير عبر LDAP وإضافته إلى مجموعات التوفير عبر SCIM. لمزيد من التفاصيل، راجع توفير المستخدمين باستخدام SCIM وLDAP. 
2. إذا كنت تخطط للتبديل بين توفير SCIM وLDAP، اقرأ تغيير بين توفير المستخدمين عبر SCIM وLDAP أولاً لضمان انتقال سلس.
3. رغم أنه يمكن حذف المستخدمين والمجموعات في CMA، نوصيك بحذف المستخدمين مباشرة في تطبيق SCIM الخاص بك. راجع إزالة المستخدمين أو المجموعات من تطبيق SCIM للحصول على تفاصيل حول الطريقة الصحيحة للقيام بذلك.

رفع الحالات إلى دعم Cato

قدّم تذكرة دعم مع نتائج خطوات استكشاف الأخطاء المذكورة أعلاه. يرجى تضمين المعلومات التالية في التذكرة:

1. وصف المشكلة وتأثير المستخدم
   • وصف واضح للمشكلة التي واجهتها خلال توفير SCIM.
   • نظرة عامة على النطاق والتأثير على المستخدمين المتأثرين (مثل عدد المستخدمين المتأثرين، رسائل الخطأ المستلمة، إلخ).
2. حالة التوفير لـ CMA
   • هل تم توفير المستخدمين المتأثرين بنجاح لـ CMA؟
     • إذا لم يكن كذلك، يمكن أن تقدم الفحص في السجلات نظرة إضافية على الأسباب الأساسية للمشكلة، مما يسهل المزيد من استكشاف الأخطاء وإصلاح المشكلة.
       • سجل الدخول إلى www.portal.azure.com. اذهب إلى تطبيق المؤسسات > تطبيق توفير Cato > توفير
       • انقر على "سجلات التوفير" لمشاهدة تاريخ التوفير.
       • النقر فوق تحديد توفير معين سيؤدي إلى فتح نافذة "تفاصيل سجل التوفير" على الجانب الأيمن. من الأسفل، يمكننا أن نرى أن المزامنة لهذا الكائن تم تخطيها لأنه لم يتم تعيينه للتطبيق.
         
     • يرجى محاولة التوفير عند الطلب للمستخدمين المتأثرين وتضمين:
       • لقطة شاشة للنتيجة (رسالة النجاح أو الخطأ)
       • الطابع الزمني المحدد لمتى تم تنفيذ التزويد عند الطلب
3. الاتصال بعميل SDP
   • هل يمكن للمستخدمين الذين تم توفيرهم بنجاح الاتصال بعميل SDP؟ 
     • إذا لم يكن الأمر كذلك، يرجى تقديم لقطة شاشة لواجهة المستخدم الخاصة بالعميل تظهر الخطأ عند محاولة المستخدم الاتصال
     • قدّم سجلات العميل باستخدام ميزة تسجيل المشكلة.
4.  
5.