التحضير للترحيل إلى SCIM (الجزء 1)

نظرة عامة

ترحيل توفير المستخدم المستند إلى LDAP إلى SCIM (نظام إدارة الهوية عبر المجالات) يبسط إدارة الهوية ويعزز التكامل مع موفري الهوية الحديثة (IdPs) مثل Microsoft Entra ID. تقدم هذه المقالة للمسؤولين التقنيين مسارًا واضحًا لترحيل إدارة المستخدمين والمجموعات الحالية من خوادم LDAP إلى SCIM في تطبيق إدارة كاتو (CMA).

يعتمد الترحيل على بيانات المستخدم الحالية التي تم تزامنها بالفعل من خلال LDAP وينتقل بمسؤوليات التوفير إلى SCIM، مما يضمن الحد الأدنى من الاضطراب وكفاءة التشغيل المعززة. تحديدًا، يستخدم هذا الدليل Microsoft Entra ID كمثال على IdP، حيث يشرح التكوينات اللازمة وتخطيط الحقول. ومع ذلك، يمكن بسهولة تعديل المبادئ والإجراءات الموضحة لتناسب موفري IdPs الآخرين الذين يدعمون SCIM.

بعد الانتهاء من التحضير للانتقال إلى توفير SCIM، تابع مع:

  1. اختبار توفير المستخدم (الجزء الثاني)

  2. ترحيل LDAP إلى SCIM (الجزء 3)

المتطلبات الأساسية

  1. تعطيل خاصية Always-On بشكل مؤقت لجميع المستخدمين الذين تقوم بترحيلهم.

  2. أضف مجموعة جميع مستخدمي SCIM إلى صفحة تخصيص الترخيص.

    السبب في ذلك هو أن المستخدمين قد يتم فصلهم عن الشبكة أثناء الترحيل.

  3. تحقق من أن عدد المستخدمين الذين سيتم ترحيلهم لا يزيد عن عدد تراخيص SDP المخصصة.

    إذا كان هناك المزيد من المستخدمين أكثر من التراخيص، قم بإعطاء الأولوية لترحيل المجموعات التي تتطلب التراخيص، ثم قم بإزالة مجموعة المستخدمين All SCIM Users من صفحة تعيين التراخيص قبل المتابعة مع بقية الترحيل.

  4. قم بتنظيف دليل LDAP وإزالة جميع المستخدمين والمجموعات غير الضرورية

  5. تحديث الإعداد في تزامن LDAP لإزالة المستخدمين بدلًا من تعطيلهم إذا لم يعودوا موجودين.

    1. في CMA، انتقل إلى Access > Directory Services وانقر على علامة التبويب LDAP.

    2. حدد مجال LDAP، وفي قسم عام، اختر تعطيل.

      image1.png

  6. تحقق من مجموعات AD الحالية لوجود أي مجموعات مترابطة - لا تدعم Cato المجموعات المترابطة

  7. البحث عن قواعد جدار حماية WAN أو الإنترنت التي تحوي مجموعات مستخدمين مهمة كمصدر/وجهة، وإضافة مجموعة المستخدمين All Users إلى القاعدة.

    تأكد من عكس هذا التغيير بعد الترحيل.

    1. تحديد القواعد التي تم إضافة المستخدمين إليهم بشكل فردي وتحويل هؤلاء المستخدمين إلى مجموعات.

      ملحوظة: هذه ليست خطوة إلزامية وتعتمد على وقت التوقف - إذا كان مقبولًا عدم حصول المستخدمين على الوصول إلى الموارد خلال وقت الترحيل.

  8. تأكد من أن إعدادات المجموعة في SCIM هي نفس إعدادات المجموعة في LDAP. على سبيل المثال، يكون للمستخدمين في مجال LDAP نفس المجموعة في تطبيق SCIM

  9. يجب أن تكون سمات المستخدم والمجموعة مثل البريد الإلكتروني وUPN والاسم الأول والاسم الأخير متطابقة في IdP (مثل Entra ID, Okta) وLDAP (AD) لمنع فشل التحديث أو ازدواج الكائنات.

  10. إذا كانت هناك حاجة لتغييرات في البريد الإلكتروني أو سمات أخرى كجزء من الترحيل، فيجب إجراء هذه التعديلات إما قبل أو بعد الانتقال لمنع التعارضات في CMA.

    ننصح بشدة باستخدام فترة تجميد التغييرات أثناء الترحيل.

  11. يجب أن تكون هناك أذونات كافية لتكوين تطبيق IdP.

  12. يجب التحقق من سمات المستخدم والمجموعة قبل الترحيل باستخدام أدوات مثل PowerShell (على سبيل المثال) لتحديد وتصحيح أي تناقضات بين موفري LDAP وSCIM قبل بدء الصيانة.

  13. (اختياري) قم بإنشاء تصدير (أو لقطات شاشة) للصفحات المتأثرة في CMA: قواعد جدار الحماية (الإنترنت/WAN)، قواعد الشبكة، سياسة Always-On، سياسة اتصال العملاء، دليل المستخدم، والمجموعات.

  14. تحقق من نافذة الصيانة لخدمات CMA لضمان عدم تزامنها مع النافذة الفعلية لصيانة الترحيل: https://status.catonetworks.com

التحضير لترحيل المستخدمين

هذه هي المنطقية للمستخدمين المُعَرَّفين بواسطة SCIM في حسابك لدى كاتو:

  • يتفوق المستخدمون المعرفون بواسطة SCIM على المستخدمين المعرفين بواسطة LDAP والمستخدمين المنشأين يدويًا. 

  • يتم مطابقة المستخدمين بناءً على الرقم التعريفي الداخلي، معرف الكائن، UPN، أو البريد الإلكتروني

تأكد من أن المستخدمين الذين تم توفيرهم بواسطة LDAP يستوفون هذه الشروط:

  1. المستخدمون الحاليون موجودون في CMA Access > Users > User Directory.

  2. لديهم نفس عنوان البريد الإلكتروني أو UPN كما المستخدمين الذين سيوفرهم SCIM.

    1. إذا كان UPN أو عنوان البريد الإلكتروني مختلفًا، سيتم إنشاء مستخدمين مكررون.

    2. إذا ظهرت عن طريق الخطأ مستخدمين مكررون، اتباع هذه الخطوات:

      1. إزالة المستخدم من تطبيق توفير شبكات Cato SCIM.

      2. إزالة المستخدم المكرر من CMA.

      3. تحديث عنوان البريد الإلكتروني في IdP LDAP ثم توفير المستخدم مرة أخرى.

  3. إذا كان هناك أكثر من مستخدم واحد بنفس معرف الكائن أو UPN، فلن يتجاوز مستخدم SCIM المستخدم الحالي المعرف بواسطة LDAP وسيتم إنشاء حدث.

التحضير لترحيل مجموعات المستخدمين

  1. تتفوق مجموعات المستخدمين المعرفين بواسطة SCIM على مجموعات المستخدمين المعرفين بواسطة LDAP

  2. إذا كان هناك مجموعات متعددة بنفس معرف الكائن أو اسم المجموعة، فسيفشل التجاوز. في هذه الحالة، نوصي بحذف المجموعات المكررة.

  3. مجموعات المستخدمين لـ LDAP - بعد إكمال الترحيل إلى توفير SCIM، سيتم إزالة المستخدمين تلقائيًا من مجموعات مستخدمي LDAP وإضافتهم إلى مجموعات مستخدمي SCIM الجديدة.

مثال على ترحيل مجموعات المستخدمين: إذا كان المستخدم ضمن مجموعات مستخدمين متعددة، فسوف يظل نشطًا في مجموعات المستخدمين التي تم ترحيلها إلى SCIM ويتم إزالته مؤقتًا من مجموعات المستخدمين التي لم يتم ترحيلها بعد (الموسومة بأنها LDAP في CMA). بمجرد ترحيل جميع مجموعات المستخدمين إلى SCIM، سيتم إعادة تمكين المستخدمين في تلك المجموعات. قد يؤدي ذلك إلى توقف لبعض المستخدمين عند استخدام قواعد بأنواع مجموعات مستخدمين مختلفة (SCIM وLDAP) في CMA لبعض التطبيقات، وأنواع مجموعات المستخدمين ليست في نفس دفعة الترحيل.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات