Este artículo explica cómo usar la aplicación SCIM de Azure para sincronizar automáticamente la información de usuario y de grupo, y aprovisionar usuarios y grupos de Entra ID a tu cuenta de Cato.
-
Crear y deshabilitar usuarios en la Aplicación de Gestión de Cato
-
Sincronizar usuarios y atributos desde Azure AD a la Aplicación de Gestión de Cato
-
Inicio de Sesión Único (SSO) a Azure
-
Los usuarios pueden autenticarse con correo electrónico o UPN, dependiendo de tu configuración de Azure.
Asegúrate de que estos elementos estén listos antes de crear la aplicación SCIM de Azure:
-
Un inquilino de Entra ID
-
Permisos de Entra ID para configurar la provisión de usuarios
-
Eliminar un usuario de la aplicación IdP deshabilita al usuario en la Aplicación de Gestión de Cato (ver abajo Eliminar Usuarios o Grupos de Usuarios de la Aplicación SCIM)
-
Para las cuentas que usan sincronización LDAP para usuarios, cuando habilitas el provisionamiento SCIM, esta sincronización se desactiva para tu cuenta.
-
La sincronización LDAP para Conciencia de Usuario continúa funcionando regularmente y no se ve afectada por el provisionamiento SCIM.
-
-
El provisionamiento de grupos anidados no es compatible
-
La sincronización SCIM sobrescribe los grupos LDAP existentes con el mismo nombre. Para más información, consulta Cómo la Sincronización SCIM Sobrescribe Grupos LDAP Existentes
-
Los usuarios aprovisionados por SCIM no se identifican con Conciencia de Usuario basada en WMI. Conciencia del Usuario con SCIM se soporta utilizando Cato Agente de Identidad
-
El provisionamiento bajo demanda no soporta asignar usuarios a un grupo de usuarios
Esta sección describe cómo planificar Entra ID para sincronizar usuarios con tu cuenta de Cato. Para más información sobre la planificación de la sincronización de usuarios entre Azure y Cato, consulta estos artículos de Microsoft:
Entra ID te permite definir los usuarios que se incluyen en la sincronización de usuarios con Cato según uno de estos métodos:
-
Asignar usuarios a la aplicación de Entra ID
-
Filtrar usuarios basándose en los atributos para usuarios o grupos
Como parte del proceso para planificar la sincronización de usuarios con Cato, recomendamos que empieces con un pequeño grupo de usuarios. Dependiendo del método anterior, puedes:
-
Asignar unos pocos usuarios a la aplicación de Entra ID
-
Crear un filtro de alcance basado en atributos que solo coincida con unos pocos usuarios
Puedes conectar Entra ID a tu cuenta de Cato y sincronizar usuarios entre ellos. Agrega la aplicación SCIM de Cato en la galería de Azure a tu cuenta y luego configura los ajustes para conectarse a tu cuenta de Cato. Azure inicia la sincronización automática de usuarios cada 40 minutos.
Luego puedes definir los grupos y usuarios de Entra ID que se sincronizan y habilitar el aprovisionamiento automático.
El estado de los usuarios en tu Proveedor de Identidad (IdP) se sincroniza automáticamente con tu cuenta de Cato. Por ejemplo, cuando desactivas usuarios en el IdP, se sincronizan con tu cuenta de Cato como desactivados.
Nota: Al considerar el número total de usuarios en un grupo SCIM en Azure en comparación con el grupo SCIM de CMA, ten en cuenta que tendrás menos usuarios en el grupo SCIM de CMA. Esto se debe a que no contamos a los usuarios deshabilitados, que se han sincronizado y luego se han deshabilitado o siempre han estado deshabilitados.
Configura los ajustes para la aplicación SCIM de Cato desde la galería de Azure y luego establece la aplicación para sincronizar automáticamente usuarios a Cato.
En la Aplicación de Gestión de Cato, habilita el Provisionamiento SCIM y copia la URL y el token a la sección de Credenciales de Administrador en la aplicación SCIM de Cato.
Para agregar nuevos atributos a tu aplicación existente, actualiza la aplicación SCIM.
Para conectar la Aplicación de Gestión de Cato a la aplicación SCIM:
-
Desde el portal de Azure, ve a Aplicaciones Empresariales.
-
Ve a Nueva aplicación, busca la aplicación de Aprovisionamiento de Cato Networks y haz clic en Crear.
-
En la Aplicación de Gestión de Cato, desde el menú de navegación selecciona Acceso > Servicios de Directorio y haz clic en la pestaña SCIM.
-
Selecciona Habilitar Provisionamiento SCIM para configurar tu cuenta para conectarse a la aplicación SCIM.
-
Haz clic en Guardar.
-
Copiar y pegar la URL SCIM y el token en un archivo de texto en blanco.
-
En URL base, haga clic en el icono de copia
para copiar la URL SCIM al portapapeles y luego péguela en el archivo de texto.
-
En Token de Portador, haga clic en el icono de copia
-
-
En Azure, ve a la sección Provisionando de la aplicación SCIM, y pega la URL SCIM y el token.
-
Pega la URL en URL de Inquilino.
-
Pega el token en Token Secreto.
-
Haz clic en Guardar.
-
-
En Azure, haz clic en Probar Conexión para asegurarte de que Azure AD pueda conectarse a la aplicación SCIM de Cato.
-
Habilitar el aprovisionamiento automático en la aplicación.
-
Desde el menú de navegación, selecciona Provisionando.
-
En la pantalla de Provisionando, haz clic en Comenzar.
-
Desde el menú desplegable de Modo de Provisionando, selecciona Automático.
-
Haz clic en Guardar.
-
-
Asignar grupos y usuarios a la aplicación.
Después de que la aplicación SCIM de Cato pueda conectarse a tu cuenta, habilita el aprovisionamiento automático y selecciona los usuarios y grupos que se sincronizan.
Usa los siguientes pasos para actualizar la lista de atributos y los mapeos de atributos para una aplicación SCIM existente de Microsoft Entra ID para que se aprovisionen atributos de usuario adicionales a Cato. Esto es necesario para obtener acceso a los últimos atributos utilizados por Cato, por ejemplo, Título del Trabajo y Departamento.
Nota
Nota: Si la aplicación SCIM fue creada antes de noviembre de 2025, debes crear una nueva aplicación SCIM y configurar los atributos como se describe a continuación.
Actualizar una aplicación SCIM existente:
-
Desde el portal de Azure, ve a Aplicaciones empresariales > Todas las aplicaciones y selecciona tu aplicación SCIM de Cato.
-
Haz clic en Provisionando y luego Mapeo de atributos.
-
En la página de Mapeo de Atributos, selecciona la casilla Mostrar opciones avanzadas y haz clic en Editar lista de atributos para <appName>.
-
Agrega el atributo y desde el menú desplegable de Tipo selecciona el valor relevante.
Repite este proceso para cada atributo que deseas agregar.
-
Haz clic en Guardar.
-
En la página de Mapeo de Atributos, haz clic en Editar atributo.
-
En la página Editar Atributo, selecciona el Atributo de fuente y mapéalo al Atributo objetivo.
Por ejemplo, selecciona jobTitle como la fuente, y mapéalo a title en el objetivo.
Repite este proceso para cada atributo que estás agregando.
-
Haz clic en Guardar.
-
Aprovisionar usuarios y grupos a la cuenta.
Después de configurar la aplicación SCIM de Cato, puedes revisar la asignación de atributos de aprovisionamiento SCIM entre Entra ID y la Aplicación de Gestión de Cato.
|
Atributo de Azure AD |
Atributo de Usuario de Cato |
Notas sobre Usuario |
|---|---|---|
|
userPrincipalName |
nombreUsuario |
Nombre de usuario para usuario |
|
Coalesce([mail], [userPrincipalName]) |
correos[type eq "work"].value |
Dirección de correo electrónico |
|
givenName |
nombre.dadoNombre |
Primer nombre |
|
apellido |
nombre.familiaNombre |
Apellido |
|
telephoneNumber |
númerosTeléfono[type eq "work"].value |
Número de teléfono (incluyendo prefijo) |
|
objectId |
externalId |
ID para usuario (usado en eventos) |
|
Switch([IsSoftDeleted], , "False", "True", "True", "False") |
activo |
Cuando un usuario no está asignado desde la aplicación SCIM, el usuario se elimina suavemente con los parámetros: "False", "True", "True", "False" |
|
onPremisesSecurityIdentifier |
onPremisesSecurityIdentifier |
|
|
dirSyncEnabled |
dirSyncEnabled |
|
|
jobTitle |
título |
|
|
departamento |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departamento |
En el IdP, define los grupos y usuarios que se sincronizan con tu cuenta de Cato. Después de completar la sincronización inicial, todos los usuarios se crean en la Aplicación de Gestión de Cato y son visibles en la página Directorio de Usuarios.
Luego puedes asignar licencias SDP a los usuarios, para más información, consulta Asignación de Licencias ZTNA a Usuarios.
La Cato Management Application genera eventos cada vez que los usuarios y grupos están bloqueados porque no cumplen con los requisitos de la Política de Conectividad del Cliente.
Cada hora, la Cato Management Application envía alertas por correo electrónico que resumen las acciones de aprovisionamiento SCIM (éxito o fallo).
La siguiente tabla explica los diferentes eventos.
|
Tipo de Evento |
Acción |
Descripción |
|---|---|---|
|
Aprovisionamiento SCIM |
Éxito |
La acción para sincronizar los usuarios o grupos a su cuenta con la aplicación SCIM se realizó con éxito. |
|
Aprovisionamiento SCIM |
Fallo |
La aplicación SCIM no pudo sincronizar el IdP con su cuenta. El mensaje del evento explica la razón del fallo de sincronización. |
|
Aprovisionamiento SCIM |
Deshabilitado |
Un usuario deshabilitado en el IdP se sincronizó y deshabilitó correctamente en su cuenta de Cato. |
0 comentarios
El artículo está cerrado para comentarios.