Provisionamiento SCIM con Okta

Este artículo explica cómo usar la aplicación Okta SCIM para sincronizar automáticamente los usuarios de su cuenta de Okta a su cuenta de Cato.

Capacidades Soportadas

Cato Networks ofrece una arquitectura de redes seguras de próxima generación que elimina la complejidad, los costos y los riesgos asociados con los enfoques heredados de TI basados en soluciones de puntos disjuntos. Desde el inicio de sesión único (SSO) hasta el aprovisionamiento de usuarios, la integración de Cato de Okta maneja el acceso y los grupos de usuarios a lo largo del ciclo de vida del usuario, incluyendo:

  • Crear y eliminar usuarios en la Aplicación de Gestión de Cato

  • Sincronizar usuarios y atributos desde Okta a la Aplicación de Gestión de Cato

  • Crear usuarios: Importar y crear usuarios en Okta desde la Aplicación de Gestión de Cato

  • Actualizar atributos de usuarios - Sincronizar cambios de atributos de usuario desde la Aplicación de Gestión de Cato hacia Okta

  • Desactivar usuarios

  • Empuje de grupo

  • Los usuarios pueden autenticarse con correo electrónico o UPN dependiendo de la configuración de su Okta.

Requisitos

Asegúrese de que antes de usar la aplicación SCIM de Okta, tenga permisos de administrador en Okta para configurar el aprovisionamiento de usuarios.

Limitaciones conocidas

  • La aprovisionamiento de grupos anidados no es soportada

  • SCIM es soportado en cuentas que utilizan solo el correo electrónico como la ID de usuario (puede confirmar esta configuración con el Soporte de Cato)

  • Puede aprovisionar usuarios con LDAP o SCIM (pero no con ambos)

  • Eliminar un usuario de la aplicación IdP no lo elimina de la Aplicación de Gestión de Cato, solo desactiva al usuario

  • Enlace de Grupos no es soportado

  • La sincronización SCIM anula grupos LDAP existentes con el mismo nombre. Para más información, consulte Cómo SCIM Sincroniza Sobrescribiendo Grupos LDAP Existentes

Configuración de la Sincronización Automática de Usuarios hacia Cato

Puede usar la aplicación SCIM de Cato disponible en Okta para conectar y sincronizar usuarios desde su cuenta de Okta a su cuenta de Cato. En la Cato Management Application, habilite el aprovisionamiento SCIM para su cuenta.

En su cuenta de Okta, agregue la aplicación SCIM de Cato y luego configure los ajustes para conectar a su cuenta de Cato. Luego puede definir los grupos y usuarios de Okta que se sincronizan y Okta inicia inmediatamente la sincronización automática de usuarios.

El estado de los usuarios en su Proveedor de Identidad (IdP) se sincroniza automáticamente con su cuenta de Cato. Por ejemplo, cuando desactiva usuarios en el IdP, se sincronizan a su cuenta de Cato como desactivados.

Nota

Nota: Si es necesario, puede editar el mapeo de atributos para cumplir con los requisitos específicos de su organización. Vea a continuación, Descubrimiento de Esquema.

Configuración de la Aplicación de Gestión de Cato para la Aplicación SCIM

En la Cato Management Application, habilite el Aprovisionamiento SCIM y copie la URL y el token a un archivo de texto. Ingresará estos ajustes en la aplicación SCIM de Cato que configure en su cuenta de Okta.

Para conectar la Aplicación de Gestión de Cato a la Aplicación SCIM:

  1. En la Aplicación de Gestión de Cato, desde el menú de navegación selecciona Acceso > Servicios de Directorio y haz clic en la pestaña SCIM.

    SCIM.png

  2. Selecciona Habilitar Suministro SCIM para configurar tu cuenta a fin de conectarla a la aplicación SCIM.

  3. Haz clic en Guardar.

  4. Copia y pega la URL SCIM y el token en un archivo de texto en blanco.

    1. En URL base, haz clic en el icono de copia copy.png para copiar la URL SCIM al portapapeles y luego pégala en el archivo de texto.

    2. En Token de Portador, haz clic en el icono de copia copy.png para copiar el token único de la cuenta al portapapeles y luego pégalo en el archivo de texto.

Agregando la Aplicación Cato SCIM en Okta

Agregue la aplicación SCIM de Cato desde la tienda de aplicaciones de Okta y luego configure la app para sincronizar automáticamente los usuarios con Cato. Ingrese la URL de Aprovisionamiento SCIM y el token que copió de la Cato Management Application.

Para crear la Aplicación Cato SCIM:

  1. Inicie sesión en su cuenta de Okta y vaya a la consola de administrador.

  2. Desde la barra de menú, haga clic en Aplicaciones > Aplicaciones.

    SCIM_Okta_AddApp.png

  3. Agregue la Aplicación Cato SCIM a su cuenta de Okta:

    1. Haga clic en Agregar Aplicación.

    2. Busque el Provisionamiento de Redes Cato y seleccione la aplicación. El resumen de la aplicación se abre en una ventana nueva.

    3. Haga clic en Agregar. El asistente de Agregar Provisionamiento de Cato Networks se abre.

      Okta_GeneralSettings.png

    4. Ingrese la Etiqueta de la Aplicación y configure los ajustes de la aplicación.

    5. Haga clic en Siguiente.

    6. Configure los ajustes para la autenticación de usuario y credenciales.

      Okta_SSO_SWA.png

    7. Asegúrese de que Actualizar nombre de usuario de la aplicación esté configurado en Crear y actualizar.

    8. Haga clic en Hecho. La Aplicación Cato SCIM se agrega a su cuenta.

  4. Haga clic en la pestaña Provisionando, y se abre la ventana de Integración.

  5. Haga clic en Configurar Integración API.

  6. Seleccione Habilitar Integración API.

    SCIM_Okta_Integratoin.png

  7. Configure Okta para integrarse con su cuenta de Cato:

    1. En URL base, pegue la URL que copió de la Aplicación de Gestión de Cato.

    2. En Token API, pegue el token que copió de la Aplicación de Gestión de Cato.

  8. Haga clic en Probar Credenciales API para asegurarse de que la Aplicación Cato SCIM puede conectarse a su cuenta de Cato.

  9. Haz clic en Guardar.

Configurando la Aplicación SCIM para Provisionamiento

Configure los ajustes en la aplicación SCIM para aprovisionar usuarios a su cuenta de Cato. Para más información sobre los atributos SCIM, consulte a continuación Descubrimiento de Esquema.

Para configurar la aplicación SCIM para aprovisionar usuarios:

  1. En la nueva aplicación SCIM, haga clic en la pestaña Provisionando.

  2. En la sección Configuración, seleccione Hacia Aplicación.

  3. Configure los ajustes Provisionando hacia Aplicación, haga clic en Editar.

  4. Seleccione Habilitar para estas opciones:

    • Crear Usuarios

    • Actualizar Atributos de Usuario

    • Desactivar Usuarios

  5. Haz clic en Guardar.

Actualizando la Aplicación Cato SCIM para Okta

De vez en cuando, Cato agrega atributos a su esquema SCIM que le proporciona información más detallada sobre sus usuarios. Para tener acceso a estos atributos en la CMA, necesita actualizar la aplicación de Cato en Okta con los nuevos atributos y configurar qué atributos se incluyen al crear y actualizar usuarios en la CMA.

Para actualizar la Aplicación Cato SCIM:

  1. Navegue a Okta Admin Console > Aplicaciones > Cato Networks SCIM Application > Editor de Perfil > Perfil de Usuario de la Aplicación.

  2. Haga clic en Agregar Atributo.

  3. Defina los atributos que desea agregar de la siguiente manera:

    Cuando el valor del campo Requerido es No, el campo es opcional en la CMA

    Nombre del Atributo (Cato SCIM)

    Nombre Externo de Okta

    Tipo de Datos

    Requerido

    Multivalor

    Esquema/Ns de SCIM

    título

    título

    String

    No

    No

    urn:ietf:params:scim:schemas:core:2.0:User

    departamento

    departamento

    String

    No

    No

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

  4. Navegue a Okta Admin Console > Aplicaciones > Cato Networks SCIM Application > Provisionando > Hacia Aplicación.

  5. En Atributos de Usuario de la Aplicación, habilite las opciones Crear y Actualizar para cada atributo que se envía al CMA cuando la aplicación SCIM procesa una solicitud de creación o actualización.

  6. Haz clic en Guardar.

Sincronizando Usuarios VPN a su Cuenta de Cato

Después de que la aplicación SCIM pueda conectarse a su cuenta, asigne los usuarios que está sincronizando a Cato. Luego puede continuar con la siguiente sección para agregar grupos a la aplicación.

Para provisionar usuarios individuales a su cuenta de Cato:

  1. En la aplicación SCIM de Cato, haga clic en la pestaña Asignaciones.

    SCIM_Okta_Assign.png

  2. Asigne las personas y grupos que está agregando a la aplicación SCIM para sincronizar con su cuenta de Cato:

    1. Haga clic en Asignar y seleccione Personas.

    2. Para la persona, haga clic en Asignar.

    3. Haga clic en Guardar y Regresar.

    4. Repita los pasos anteriores para todas las personas o grupos, y luego haga clic en Hecho.

    Los usuarios se sincronizan desde Okta a su cuenta de Cato.

Sincronizando Grupos de Okta a su Cuenta de Cato

Puede asignar grupos en Okta con usuarios que está sincronizando a Cato. Luego, cree o asigne los Grupos Push de Okta a la aplicación SCIM y la aplicación sincroniza los grupos y los usuarios asociados con su cuenta de Cato.

Nota

Nota: Los usuarios deben ser miembros del grupo impulsado y asignados a la aplicación Okta Cato OIN para que su membresía de grupo se complete correctamente dentro de la aplicación.

Para aprovisionar grupos de Okta a su cuenta de Cato:

  1. Asigne los grupos que está agregando a la aplicación SCIM para sincronizar con su cuenta de Cato:

    1. En la sección Asignaciones, haga clic en Asignar y seleccione Grupos.

    2. Para el grupo, haga clic en Asignar.

    3. Haga clic en Guardar y Regresar.

    4. Repita los pasos anteriores para todos los grupos, y luego haga clic en Hecho.

  2. Vaya a la sección Empujar Grupos.

  3. Seleccione Empujar Grupos > Encontrar grupos por nombre.

  4. Ingrese el nombre para el Grupo Push de Okta y seleccione el grupo.

    SCIM_Okta_PushGroup.png

  5. Si necesita agregar más grupos de empuje, haga clic en Guardar & Agregar Otro, de lo contrario haga clic en Guardar. La aplicación sincroniza los grupos y los usuarios asociados a su cuenta de Cato.

Asignando Licencias SDP

En el IdP, define los grupos y usuarios que se sincronizan con tu cuenta de Cato. Después de completar la sincronización inicial, todos los usuarios son creados en la Aplicación de Gestión de Cato y visibles en la página de Directorio de Usuarios.

Luego puedes asignar licencias SDP a los usuarios, para más información, consulta Asignación de Licencias ZTNA a Usuarios.

Eliminando Usuarios o Grupos de Usuarios de la Aplicación SCIM

Nota

Importante: Aunque los usuarios pueden ser eliminados dentro del CMA, recomendamos que elimine usuarios o grupos de usuarios aprovisionados con la aplicación SCIM directamente desde la Aplicación de Gestión de Cato.

Cuando quiera eliminar usuarios o grupos de usuarios que están aprovisionados a su cuenta de Cato con la aplicación SCIM, desasígnelos en la aplicación. Los usuarios y los grupos de usuarios son automáticamente deshabilitados la siguiente vez que la aplicación SCIM se sincroniza con su cuenta.

Para eliminar usuarios o grupos de usuarios que están sincronizados a su cuenta de Cato:

  1. En la aplicación SCIM de Cato, desasigne los usuarios o grupos de usuarios.

    Durante la próxima sincronización, la aplicación SCIM deshabilita los usuarios o grupos de usuarios en su cuenta de Cato.

  2. (Opcional) Después de que los usuarios o grupos estén desactivados, puede eliminarlos de la Aplicación de Gestión de Cato.

    Puede tomar hasta 15 minutos antes de que pueda eliminar manualmente los usuarios o grupos de usuarios.

Los usuarios que se eliminan en el CMA y no en su aplicación SCIM se eliminan permanentemente.

Descubrimiento del Esquema

Puedes usar las Asignaciones de Atributos en la pestaña de Provisionamiento de la aplicación para configurar los atributos SCIM. La configuración de Aplicar en para los atributos es Crear y actualizar.

Atributo

Atributo de Usuario VPN Cato

Nombre de usuario

nombreUsuario

Configurar la opción de correo electrónico en la configuración de Inicio de Sesión para la aplicación Okta

Nombre dado

givenName

user.firstName

Apellido

familyName

user.lastName

Correo electrónico principal

correo electrónico

user.email

Nombre para mostrar

displayName

user.displayName

Teléfono principal

primaryPhone

Tipo de atributo - expresión

(user.primaryPhone != null && user.primaryPhone != '') ? user.primaryPhone : ''

Tipo de teléfono principal

primaryPhonetype

Tipo de atributo - expresión

(user.primaryPhone != null && user.primaryPhone != '') ? 'trabajo' : ''

Título del trabajo

título

user.title

Departamento

departamento

user.department

Comprensión de los Eventos para el Suministro de SCIM

La Aplicación de Gestión de Cato genera eventos cada vez que los usuarios y grupos son bloqueados porque no cumplen con los requisitos de la Política de Conectividad del Cliente.

Cada hora, la Aplicación de Gestión de Cato envía alertas por correo electrónico que resumen las acciones de aprovisionamiento SCIM (éxito o fracaso).

La siguiente tabla explica los diferentes eventos.

Tipo de evento

Acción

Descripción

Provisionamiento SCIM

Éxito

La acción para sincronizar los usuarios o grupos a su cuenta con la aplicación SCIM fue exitosa.

Provisionamiento SCIM

Fallo

La aplicación SCIM no logró sincronizar el IdP con su cuenta. El mensaje del evento explica la razón del fallo en la sincronización.

Provisionamiento SCIM

Desactivado

Un usuario desactivado en el IdP fue sincronizado exitosamente y desactivado en su cuenta de Cato.

Eliminando un Directorio SCIM Activo

Puede eliminar un directorio SCIM de su cuenta. Después de eliminar un directorio, los cambios en sus usuarios y grupos ya no se sincronizan. Puede eliminar un directorio incluso si aún tiene usuarios activos. Después de la eliminación, esos usuarios ya no están asociados con el directorio.

Para eliminar un directorio SCIM activo:

  1. Navegue a Acceso > Servicios de Directorio.

  2. En la pestaña de SCIM, haga clic en los tres puntos del directorio que desea eliminar.

  3. Haga clic en Eliminar usuarios.

  4. En la ventana de confirmación, haga clic en Eliminar usuarios.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios