Este artículo discute el aprovisionamiento de usuarios en su cuenta de Cato con el protocolo SCIM.
SCIM define un estándar para intercambiar información de identidad entre diferentes vendedores de aplicaciones en la nube. Por ejemplo, con SCIM puede crear, actualizar o eliminar fácilmente datos de usuario a escala en su cuenta de Cato.
La información de usuario se sincroniza de manera segura desde su IdP a Cato para crear usuarios. Cualquier cambio en los detalles de los usuarios realizado en el IdP se refleja en Cato casi en tiempo real. Por ejemplo, si un empleado deja una compañía, su cuenta se elimina del IdP de la compañía. Este cambio se sincroniza con Cato y el usuario es eliminado.
Puede ver qué usuarios fueron importados y qué usuarios fueron creados manualmente en la columna Nombre del Directorio: los usuarios importados aparecen con el nombre del directorio SCIM y los creados manualmente aparecen como Manual. También puede filtrar por un nombre de directorio, o ver todos los usuarios agregados manualmente en su sistema.
Una vez que un usuario está aprovisionado con SCIM, se le puede asignar una licencia y ser incluido en políticas.
Nota
Nota: Agregar un nuevo proveedor SCIM o directorio no debe usarse para migrar un directorio existente. Para información sobre la migración de usuarios, consulte los artículos en esta sección.
Aprovisionar usuarios con SCIM tiene estas ventajas:
- Sincronizar inmediatamente usuarios desde el IdP a su cuenta de Cato.
- Las actualizaciones o modificaciones a la membresía de grupos o perfiles de usuario se actualizan casi en tiempo real.
- Integre el IdP a su cuenta de Cato sin configurar ninguna regla de firewall entrante.
- SCIM es ampliamente soportado por proveedores de IdP y es fácil de integrar con su cuenta.
Este proceso explica cómo se aprovisionan usuarios de su IdP y luego se les asignan licencias y se les añade a políticas para que puedan conectarse de manera segura a la red.
- En su IdP, defina los usuarios y/o grupos a ser aprovisionados a Cato.
- Configurar la sincronización automática de usuarios con Cato.
- Asignar licencias a los usuarios requeridos.
- Aplicar políticas a los usuarios
Estos son los IdPs que se soportan para provisionar usuarios con SCIM:
- Azure
- Okta
- One Login
- DTS
Para más información sobre cómo configurar el Provisionamiento SCIM para cada Proveedor de Identidad, consulte Provisionando usuarios con SCIM y Usando un Proveedor de Identidad para su cuenta de Cato.
Recomendamos que asigne o desasigne usuarios o grupos de la aplicación SCIM en su IdP. Sin embargo, también es posible habilitar, deshabilitar y eliminar usuarios y grupos provisionados por SCIM directamente desde el CMA. Estos cambios se sincronizan automáticamente con el Servicio SCIM.
Nota
Nota: Usuarios desactivados o eliminados en el CMA que fueron provisionados con SCIM de:
- Los ID de Entra son restaurados y habilitados en el siguiente ciclo de provisionamiento. Entra anula el estado deshabilitado o eliminado y habilita automáticamente al usuario.
- Okta
- Usuarios desactivados — permanecen deshabilitados. Okta conserva el estado deshabilitado al enviar actualizaciones. Reasignar un usuario deshabilitado a la aplicación SCIM de Okta falla hasta que el usuario sea reactivado en el CMA.
- Usuarios eliminados — permanecen inactivos en el Servicio SCIM. Para reprovisionar un usuario eliminado, desasigne el usuario de la aplicación Okta y vuelva a asignarlo. El usuario es reactivado en el Servicio SCIM y el CMA.
Cuando desee eliminar usuarios o grupos que se han aprovisionado en su cuenta de Cato con la app SCIM, desasígnelos en la app. Los usuarios y grupos se desactivan automáticamente la próxima vez que la app SCIM se sincronice con su cuenta.
Si está eliminando o cambiando proveedores SCIM, asegúrese de eliminar todos los usuarios o grupos importados de la app SCIM antes de eliminar su configuración de proveedor SCIM de CMA. Después de que la aplicación SCIM se sincronice, estas entidades se deshabilitan en el CMA.
Cuando deshabilita o elimina usuarios aprovisionados por SCIM con una licencia ZTNA (SDP), la licencia ZTNA se desasigna y está disponible para otros usuarios.
Reprovisionar grupos de usuarios después de la eliminación
El comportamiento al reprovisionar un grupo de usuarios eliminado varía según el IdP:
- ID de Entra: Reprovisionar un grupo de usuarios eliminado lo recrea, pero la membresía no se restaura. Para restaurar la membresía, elimine el grupo de la aplicación Entra y vuelva a agregarlo. La membresía se restaura en el siguiente ciclo de provisionamiento.
- Okta: Empujar un grupo de usuarios eliminado desde Okta fallará. Para reprovisionar el grupo de usuarios, elimínelo de la aplicación Okta y vuelva a asignarlo. Esto restaura el grupo de usuarios y su membresía.
Puede eliminar un directorio SCIM de su cuenta. Después de la eliminación, los cambios en sus usuarios y grupos ya no se sincronizan desde el IdP. Puede eliminar un directorio incluso si todavía tiene usuarios activos.
Nota: No se puede eliminar un directorio SCIM que se utiliza para la Autenticación de Usuario SSO. Elimine el directorio de su configuración de Autenticación de Usuario antes de eliminarlo.
Para eliminar un directorio SCIM:
- Desde el panel de navegación, vaya a Acceso > Servicios de Directorio y haga clic en la pestaña SCIM.
- Al final de la fila del directorio SCIM, haga clic en el ícono de puntos suspensivos y seleccione Eliminar.
- En la ventana de confirmación, haga clic en Eliminar.
Este directorio SCIM se elimina de su cuenta de Cato. Los futuros cambios del IdP para este directorio ya no se sincronizarán.
0 comentarios
El artículo está cerrado para comentarios.