সারসংক্ষেপ
SCIM (সিস্টেম ফর ক্রস-ডোমেইন আইডেন্টিটি ম্যানেজমেন্ট) সিঙ্ক্রোনাইজেশন এবং ব্যবহারকারী প্রোভিশনিং পরিচয় ব্যবস্থাপনাকে স্বয়ংক্রিয়করণের জন্য এবং অ্যাপ্লিকেশন এবং সম্পদগুলিতে নিরাপদ, স্ট্রিমলাইন করা অ্যাক্সেস নিশ্চিত করার জন্য অপরিহার্য। তবে, চ্যালেঞ্জগুলি ঘটতে পারে যা এই অটোমেশনকে বাধাগ্রস্ত করে, যা অ্যাক্সেস ইস্যু বা সম্মতি ঝুঁকিতে নেতৃত্ব দিতে পারে। এই প্লেবুকটি Cato তে সাধারণ SCIM সিঙ্ক এবং প্রভিশনিং সমস্যাগুলি সমাধানের জন্য ডিজাইন করা হয়েছে এবং সমাধানের কার্যকর কৌশল অফার করে।
লক্ষণ
SCIM প্রোভিশনিংয়ের ব্যর্থতাগুলি বিভিন্নভাবে প্রকাশ পেতে পারে। একজন অ্যাডমিনিস্ট্রেটর নিম্নলিখিত লক্ষণগুলি লক্ষ্য করতে পারেন:
- SCIM সক্রিয় করার সময় ত্রুটি বার্তা
- ব্যবহারকারীগণ CMA তে প্রোভিশন করা হচ্ছে না
- IdP থেকে CMA এর সাথে সংযোগ পরীক্ষা ব্যর্থ
- প্রোভিশন করা ব্যবহারকারীগণ SDP ক্লায়েন্টের সাথে সংযোগে ব্যর্থ
- CMA তে ডুপ্লিকেট ব্যবহারকারীগণ
সম্ভাব্য কারণসমূহ
সমস্যা সমাধানের সময় তারা যে সম্ভাব্য কারণগুলি চিহ্নিত করার চেষ্টা করবেন তা তালিকাভুক্ত করুন
- ভুল কনফিগারেশন
- ভুল প্রশাসনিক শংসাপত্র ব্যবহৃত হয়েছে
- লাইসেন্সিং
- IdP এর মাধ্যমে ডুপ্লিকেট ব্যবহারকারী প্রভিশন করা হয়েছে
সমস্যা সমাধান
সমস্যা সমাধানের পদক্ষেপগুলিতে প্রবেশ করার আগে, নিচের চিত্রটি SCIM প্রোভিশনিংয়ের কার্যক্রমের একটি উচ্চ-স্তরের ওভারভিউ প্রদান করে। LDAP এর বিপরীতে, যা একটি পুল-ভিত্তিক পদ্ধতির উপর নির্ভর করে, SCIM ব্যবহারকারী আপডেটগুলি সরাসরি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন (CMA) এ পাঠানোর জন্য একটি পুশ প্রক্রিয়া ব্যবহার করে।
Cato Azure, Okta, এবং One Login এর মাধ্যমে ব্যবহারকারীদের জন্য SCIM প্রোভিশনিং সমর্থন করে। প্রতিটি আইডেন্টিটি প্রদানকারী (IdP) জন্য SCIM প্রোভিশনিং কনফিগার করার বিষয়ে আরও তথ্যের জন্য দেখুন SCIM এর মাধ্যমে ব্যবহারকারী প্রোভিশনিং. এই প্লেবুকটি বিশেষভাবে Azure (Entra ID) সঙ্গে SCIM প্রোভিশনিংয়ের উপর দৃষ্টি নিবদ্ধ করে, কিন্তু মূল ধারণাগুলি এবং সমস্যা সমাধানের কৌশলগুলি অন্যান্য IdP এর জন্যও প্রযোজ্য।
SCIM সক্রিয় করার সময় ত্রুটি
CMA তে SCIM সক্রিয় করার সময় নিম্নলিখিত ত্রুটি দেখা যায়, "SCIM প্রোভিশনিং সক্রিয় করা যাবে না। অনুগ্রহ করে সাপোর্টের সাথে যোগাযোগ করুন এবং একাউন্ট আইডি কনফিগারেশন - ইমেইল উল্লেখ করুন"।
এই ত্রুটির সম্মুখীন হন, অনুগ্রহ করে সাপোর্ট এর সাথে যোগাযোগ করুন যাতে আপনার অ্যাকাউন্টে ব্যবহারকারী আইডি টাইপ পরিবর্তন করা যায়।
ব্যবহারকারীগণ CMA তে প্রোভিশন করা হচ্ছে না
এই বিভাগে দেখানো হবে কেন সাধারণ কারণে ব্যবহারকারীগণ CMA তে প্রোভিশন করা যাচ্ছে না।
অ্যাডমিন ক্রেডেনশিয়াল যাচাই করুন
- SCIM অ্যাপ্লিকেশনে যান > প্রোভিশনিং > অ্যাডমিন ক্রেডেনশিয়াল আপডেট করুন।
- অ্যাডমিন ক্রেডেনশিয়াল প্রসারিত করুন এবং সংযোগ পরীক্ষা করুন ক্লিক করুন।
- CMA এর সাথে সফল সংযোগ এবং প্রোভিশনিং এর জন্য, আপনাকে নিম্নলিখিত ফলাফল দেখতে হবে।
- যদি সংযোগ পরীক্ষা ব্যর্থ হয়, তবে অ্যাডমিন ক্রেডেনশিয়াল সমাধান কে দেখুন কিভাবে এটি সমাধান করতে হয়।
আবশ্যক গুণাবলী
- Microsoft Entra ID এর সাথে SCIM প্রোভিশনিংয়ের জন্য কিছু গুণাবলী প্রয়োজন এবং বাধ্যতামূলক। এই প্রয়োজনীয় গুণাবলীগুলির মধ্যে কোনওটি অনুপস্থিত থাকলে, ব্যবহারকারী প্রোভিশনিং ব্যর্থ হতে পারে অথবা প্রোভিশনকৃত ব্যবহারকারী সংযোগ করতে অক্ষম হতে পারে।
- নিচের স্ক্রিনশটটিতে দেখানো হয়েছে প্রোভিশনিং কাজ করার জন্য প্রয়োজনীয় বাধ্যতামূলক ক্ষেত্রগুলি।
- যদি ইমেইল ক্ষেত্রটি অনুপস্থিত থাকে, ব্যবহারকারী CMA তে প্রোভিশন করা হবে, কিন্তু তাদের SDP ক্লায়েন্টের সাথে সংযোগ করতে সক্ষম হবে না।
- এই সমস্যাটি ঘটছে কিনা তা যাচাই করতে এবং কিভাবে এটি সমাধান করতে হয় তা দেখতে আবশ্যক গুণাবলী সমাধান বিভাগটি দেখুন।
ইউজারস/গ্রুপস অ্যাসাইন করা হয়নি Azure পোর্টালে এন্টারপ্রাইজ অ্যাপ্লিকেশনে
ব্যবহারকারী এবং গ্রুপগুলিকে CMA তে সিঙ্ক করা আগে Azure পোর্টালে Cato প্রোভিশনিং অ্যাপ্লিকেশনে যোগ করতে হবে। এই অনুচ্ছেদে কিভাবে এটি যাচাই করবেন তার ধাপে ধাপে নির্দেশাবলী প্রদান করা হয়েছে।
- গো টু এন্টারপ্রাইজ অ্যাপ্লিকেশন্স > Cato প্রোভিশনিং অ্যাপ্লিকেশন > ইউজার & গ্রুপস এবং নিশ্চিত করুন যে ব্যবহারকারী বা গ্রুপ তালিকাভুক্ত আছে।
- নিচের উদাহরণে, আমরা দেখতে পাচ্ছি যে "Cato Networks Provisioning—APJ T1 Lab" অ্যাপ্লিকেশনে ১টি গ্রুপ এবং ১জন ব্যবহারকারী অ্যাসাইন করা হয়েছে।
- যদি ব্যবহারকারী বা গ্রুপগুলি আপনার প্রোভিশনিং অ্যাপ্লিকেশনে Azure এর অধীনে তালিকাভুক্ত না থাকে তবে প্রোভিশনিং অ্যাপ্লিকেশনে ব্যবহারকারী/গ্রুপ অ্যাসাইন করা দেখুন।
ব্যবহারকারীদের/গ্রুপসমূহের স্কোপিং ফিল্টার
- প্রোভিশনিং সেটআপে ব্যবহারকারী বা গ্রুপগুলির জন্য স্কোপিং ফিল্টার কনফিগার করা হয়েছে কিনা তা পরীক্ষা করুন।
- এন্টারপ্রাইজ অ্যাপ্লিকেশন্স > Cato প্রোভিশনিং অ্যাপ্লিকেশন > প্রোভিশনিং > ম্যাপিংস এ যান, তারপর ব্যবহারকারী বা গ্রুপ ম্যাপিং নির্বাচন করুন।
- যে উৎস বস্তু স্কোপ ফিল্টারগুলি ব্যবহারকারী বা গ্রুপকে বাদ দিতে পারে তা পরীক্ষা করে দেখুন।
- যদি প্রোভিশনিং একটি স্কোপিং ফিল্টারের কারণে ব্যর্থ হয়, তবে ব্যবহারকারী/গ্রুপ বাদ দেওয়া হবে এবং Azure ব্যর্থতার একটি কারণ দেখাবে।
- এটি সমাধান করার জন্য, দেখুন ব্যবহারকারীদের/গ্রুপসমূহের স্কোপিং ফিল্টার সমাধান করা।
প্রোভিশনকৃত ব্যবহারকারীগণ SDP ক্লায়েন্টের সাথে সংযোগে ব্যর্থ
- CMA তে SCIM প্রোভিশন হওয়ার পর, ব্যবহারকারীগণ SDP ক্লায়েন্টের মাধ্যমে সংযোগ করতে যেয়ে নিচের ত্রুটি পান, বিশেষ করে ইমেইল ঠিকানা এবং সাবডোমেইন প্রবেশ করার পর।
- এই ব্যর্থতার একটি সম্ভাব্য কারণ হল লাইসেন্সিং সমস্যা
- লাইসেন্সিং সমস্যার সমাধান সম্পর্কে কিভাবে যাচাই করা যায় এবং কিভাবে সমাধান করা যায় তা জানতে লাইসেন্সিং সমস্যা সমাধান দেখুন।
CMA তে ডুপ্লিকেট ব্যবহারকারীগণ
একই ইমেইল ঠিকানার সাথে ডুপ্লিকেট ব্যবহারকারীগণ CMA তে উপস্থিত হতে পারে। সাধারণত, একজন ব্যবহারকারী নিষ্ক্রিয় থাকে, অন্যদিকে অন্যের এসডিপি লাইসেন্স দেওয়া থাকে।
তা কেন ঘটেছে এবং কিভাবে এটি সমাধান করা যায় তা জানার জন্য CMA তে ডুপ্লিকেট ব্যবহারকারী সমাধান করা বিভাগ দেখুন।
আবিষ্কৃত সমস্যা সমাধান করা
অ্যাডমিন ক্রেডেনশিয়াল সমাধান
- আপনার CMA তে লগ ইন করুন এবং অ্যাক্সেস > ডিরেক্টরি সার্ভিসেস > SCIM এ যান যাচাই করতে যে বেস URL টেন্যান্ট URL হিসাবে একই যা Azure এ কনফিগার করা হয়েছে।
- যদি মূল URL একই হয়, তাহলে নতুন টোকেন তৈরি করার চেষ্টা করুন।
- নতুন টোকেন সেভ করার আগে CMA এ কনফিগারেশন অনুলিপি করুন। যদি এটি হয়, নতুন টোকেন Azure এ ইনপুট করুন এবং আবার সংযোগ পরীক্ষা করুন ক্লিক করুন।
আবশ্যক গুণাবলী সমাধান
- ইমেইল গুণাবলী আবশ্যক। যদি এই ক্ষেত্রটি আইডেন্টিটি প্রদানকারী (IdP) এর ব্যবহারকারী তথ্যের মধ্যে অনুপস্থিত থাকে, তবে ব্যবহারকারী CMA তে প্রোভিশন করা হবে, কিন্তু তাদের প্রোফাইল একটি ইমেইল ঠিকানা থাকবে না।
- যখন ব্যবহারকারীর প্রোফাইল থেকে ইমেইল ক্ষেত্র অনুপস্থিত থাকে, তখন সিস্টেম একটি এসডিপি লাইসেন্স অ্যাসাইন করতে পারে না, যা ব্যবহারকারীকে এসডিপি ক্লায়েন্টের মাধ্যমে সফলভাবে সংযোগ করতে বাধা দেয়।
ব্যবহারকারী/গ্রুপ প্রোভিশনিং অ্যাপ্লিকেশনে অ্যাসাইন করা
- ব্যবহারকারী বা গ্রুপকে আপনার প্রোভিশনিং অ্যাপ্লিকেশনে অ্যাসাইন করতে, ব্যবহারকারী/গ্রুপ যোগ করুন ক্লিক করুন, এবং তারপর "ব্যবহারকারী এবং গ্রুপ" নির্বাচন করুন।
- তারপর, আপনার জন্য যথাযথ ব্যবহারকারী/গ্রুপ যোগ করতে ডান প্যানেল উপস্থিত হবে।
- ঐচ্ছিকভাবে, ব্যবহারকারী এবং গ্রুপসমূহকে প্রদান অ্যাপ্লিকেশনে যোগ করার পর, নিয়মিত স্বয়ংক্রিয় প্রদানের চক্রের জন্য অপেক্ষা না করে, আপনি "চাহিদার ভিত্তিতে প্রদান করুন" ব্যবহার করে সিএমএ-তে এই ব্যবহারকারী/গ্রুপগুলিকে নিজেই প্রদান করতে পারেন।
নোট: সন্নিবেশিত গ্রুপগুলির প্রদান সমর্থিত নয়।
ব্যবহারকারী/গ্রুপের স্কোপিং ফিল্টার সমাধান
- যদি কোন স্কোপিং ফিল্টার ব্যবহারকারী বা গ্রুপকে অনিচ্ছাকৃতভাবে বাদ দেয়:
- ব্যবহারকারী/গ্রুপ অন্তর্ভুক্ত তা নিশ্চিত করতে স্কোপিং ফিল্টার মানদণ্ড সামঞ্জস্য করুন।
- আপনার ফিল্টারের লজিক (AND/OR) আপনার অভিপ্রেত আচরণের সাথে মেলে কিনা তা নিশ্চিত করুন।
- বিস্তারিত জানার জন্য, Microsoft ডকুমেন্টেশন দেখুন - স্কোপিং ফিল্টার সহ প্রোভিশন হতে ব্যবহারকারী বা গ্রুপ নির্ধারণ করুন।
- সামঞ্জস্য করার পরে, প্রোভিশনিং অন ডিমান্ড আবার চালান নিশ্চিত করতে যে ব্যবহারকারী/গ্রুপ অন্তর্ভুক্ত হয়েছে।
লাইসেন্সিং সমস্যা সমাধান
- অ্যাক্সেস > ব্যবহারকারীদের নেভিগেট করুন, এবং ব্যবহারকারী ডিরেক্টরি ক্লিক করুন। ব্যবহারকারীকে একটি SDP লাইসেন্স অ্যাসাইন করা হয়েছে কিনা যাচাই করুন। নিচের স্ক্রিনশটটি দেখায় যে Scim ব্যবহারকারীকে কোনো SDP লাইসেন্স অ্যাসাইন করা হয়নি।
- পরবর্তীতে, যাচাই করতে যান অ্যাক্সেস > লাইসেন্স অ্যাসাইনমেন্ট "সমস্ত ব্যবহারকারীদের জন্য এসডিপি লাইসেন্স অ্যাসাইন করুন" বিকল্প সক্ষম আছে কিনা।
- যদি এটি হয়, নিশ্চিত করুন যে ব্যবহারকারীর মোট সংখ্যা উপলব্ধ SDP লাইসেন্সের সংখ্যা বেশি না হয়।
- যদি ব্যবহারকারীর সংখ্যা উপলব্ধ লাইসেন্স অতিক্রম করে, অনুগ্রহ করে আপনার Cato বিক্রয় প্রতিনিধির সাথে যোগাযোগ করুন অতিরিক্ত SDP লাইসেন্স অর্জনের বিকল্পগুলি অন্বেষণ করতে।
- যদি আপনি জানেন না তারা কে, অনুগ্রহ করে সাপোর্ট এর সাথে যোগাযোগ করুন।
- যদি এটি হয়, নিশ্চিত করুন যে ব্যবহারকারীর মোট সংখ্যা উপলব্ধ SDP লাইসেন্সের সংখ্যা বেশি না হয়।
- যদি "নির্বাচিত ব্যবহারকারী বা গ্রুপসমূহের জন্য এসডিপি লাইসেন্স অ্যাসাইন করুন" নির্বাচন করা হয় তবে নিশ্চিত করুন যে SCIM-প্রভিশনকৃত ব্যবহারকারীগণ নিযুক্ত গ্রুপে অন্তর্ভুক্ত হয়।
CMA তে ডুপ্লিকেট ব্যবহারকারী সমাধান করা
-
যখন একটি ব্যবহারকারী Azure এ মোছা হয়, সিস্টেমটি ObjectID মান UPN মানের সামনের যোগ করে এবং ব্যবহারকারীর সক্রিয় অবস্থাকে মিথ্যা সেট করে। এই পদক্ষেপটি SCIM ডাটাবেসে ব্যবহারকারী নিষ্ক্রিয় করে এবং ObjectID+UPN অন্তর্ভুক্ত করে UPN মান আপডেট করে। এই আচরণটি Microsoft ডকুমেন্টেশন এর সাথে সংগতিপূর্ণ।
- যদি একই ব্যবহারকারীকে পুনরায় তৈরি করা হয় Azure-তে একই ইমেইল ঠিকানা ব্যবহার করে, তাহলে একটি প্রতিলিপি ব্যবহারকারী তৈরি হবে SCIM ডাটাবেস এবং CMA-তে একটি ভিন্ন ObjectID সহ। এই পর্যায়ে, প্রতিলিপি ব্যবহারকারীদের জন্য UPN ভিন্ন হবে। এই পরিস্থিতিতে, CMA-তে নিষ্ক্রিয় ব্যবহারকারীকে প্রতিলিপি এড়ানোর জন্য মুছে ফেলা উচিত।
- Cato ব্যবহারকারীদের প্রতিলিপি ইমেইল ঠিকানা সহ অনুমতি দেয়; তবে শুধুমাত্র একটি প্রতিলিপি ব্যবহারকারীকে SDP লাইসেন্স বরাদ্দ করা যাবে। এটি গুরুত্বপূর্ণ যে UPN এবং ObjectID সব SCIM ডিরেক্টরি সার্ভিসগুলিতে অনন্য থাকতে হবে।
নোট এবং সীমাবদ্ধতাসমূহ
- বিভিন্ন ব্যবহারকারীগণ SCIM এবং LDAP এর মাধ্যমে প্রোভিশন করা যেতে পারে। তবে, যদি একজন ব্যবহারকারী SCIM এবং LDAP উভয় মাধ্যমে প্রোভিশন করা হয়, তবে SCIM প্রোভিশনিং প্রাধান্য পায়। ফলস্বরূপ, ব্যবহারকারী LDAP-প্রোভিশন করা গ্রুপগুলি থেকে সরিয়ে SCIM-প্রোভিশন করা গ্রুপগুলিতে যোগ করা হয়। অধিক তথ্যের জন্য SCIM এবং LDAP এর মাধ্যমে ব্যবহারকারী প্রোভিশনিং দেখুন।
- আপনি যদি SCIM এবং LDAP প্রোভিশনিংয়ের মধ্যে স্যুইচ করার পরিকল্পনা করেন, তাহলে মসৃণ পরিবর্তনের জন্য SCIM এবং LDAP ব্যবহারকারী প্রোভিশনিংয়ের মধ্যে পরিবর্তন করা প্রথমে পড়ুন।
- যদিও ব্যবহারকারী এবং গ্রুপসমূহকে CMA-তে মুছে ফেলা যেতে পারে, আমরা সুপারিশ করি যে আপনি সরাসরি আপনার SCIM অ্যাপে ব্যবহারকারী মুছুন। এর সঠিক পদ্ধতি সম্পর্কে বিস্তারিত জানার জন্য SCIM অ্যাপে মুছে ফেলা ব্যবহারকারী বা গ্রুপ দেখুন।
কাটো সাপোর্টে কেস উত্থাপন করা
উপরে দেওয়া সমস্যা সমাধানের পদক্ষেপগুলির ফলাফল সহ একটি সাপোর্ট টিকেট জমা দিন। অনুগ্রহ করে টিকেটে নিম্নলিখিত তথ্য অন্তর্ভুক্ত করুন:
- সমস্যার বিবরণ এবং ব্যবহারকারীদের প্রভাব
- SCIM প্রোভিশনিংয়ের সময় সম্মুখীন সমস্যা স্পষ্ট বর্ণনা।
- প্রভাবিত ব্যবহৃতদের পরিধি এবং প্রভাবের একটি ওভারভিউ (যেমন, প্রভাবিত ব্যবহারকারীর সংখ্যা, প্রাপ্ত ত্রুটি বার্তাগুলি ইত্যাদি)।
- CMA তে প্রোভিশনিং এর অবস্থা
- প্রভাবিত ব্যবহারকারীগণ CMA তে সফলভাবে প্রোভিশন করা হয়েছিল কি?
- যদি না হয়, তবে লগগুলি পরীক্ষা করলে অতিরিক্ত অন্তর্দৃষ্টি প্রদান করতে পারে এবং সমস্যাটির মূলে পৌঁছাতে সহায়তা করতে পারে, যা আরও সমস্যা সমাধান এবং সমাধানে সহায়ক।
- www.portal.azure.com এ লগ ইন করুন। এন্টারপ্রাইজ অ্যাপ্লিকেশন > Cato প্রোভিশনিং অ্যাপ্লিকেশন > প্রোভিশনিং এ যান
- প্রোভিশনিং ইতিহাস দেখতে "প্রোভিশনিং লগ" ক্লিক করুন।
- কোন নির্দিষ্ট প্রোভিশনে ক্লিক করলে ডানদিকে "প্রভিশনিং লগ বিস্তারিত" প্যানেল খুলবে। নিচে থেকে, আমরা দেখতে পাচ্ছি যে এই অবজেক্টের জন্য সমন্বয় করা বাদ দেওয়া হয়েছিল কারণ এটি অ্যাপ্লিকেশনে অ্যাসাইন করা হয়নি।
- অনুগ্রহ করে প্রভাবিত ব্যবহারকারীদের জন্য অন-ডিমান্ড প্রভিশনিং চেষ্টা করুন এবং অন্তর্ভুক্ত করুন:
- ফলাফলের একটি স্ক্রিনশট (সফলতা বা ত্রুটি বার্তা)
- যখন অন-ডিমান্ড প্রদান সম্পন্ন হয়েছিল তখন সঠিক টাইমস্ট্যাম্প
- যদি না হয়, তবে লগগুলি পরীক্ষা করলে অতিরিক্ত অন্তর্দৃষ্টি প্রদান করতে পারে এবং সমস্যাটির মূলে পৌঁছাতে সহায়তা করতে পারে, যা আরও সমস্যা সমাধান এবং সমাধানে সহায়ক।
- প্রভাবিত ব্যবহারকারীগণ CMA তে সফলভাবে প্রোভিশন করা হয়েছিল কি?
- SDP ক্লায়েন্টের সাথে সংযোগ
- যে ব্যবহারকারীরা সফলভাবে প্রদান করা হয়েছে কি তারা SDP ক্লায়েন্টের সাথে সংযোগ স্থাপন করতে সক্ষম?
- যদি না হয়, তাহলে ব্যবহারকারী সংযোগ করতে চেষ্টা করার সময় ক্লায়েন্ট UI ত্রুটি দেখানো স্ক্রিনশট প্রদান করুন
- Record Issue বৈশিষ্ট্য ব্যবহার করে ক্লায়েন্টের লগ প্রদান করুন।
- যে ব্যবহারকারীরা সফলভাবে প্রদান করা হয়েছে কি তারা SDP ক্লায়েন্টের সাথে সংযোগ স্থাপন করতে সক্ষম?
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।