Trabajar con Grupos de Usuarios y Sistemas

Visión general

Los usuarios en su cuenta están incluidos en dos tipos diferentes de grupos.

Grupos de Usuarios

Los grupos de usuarios son objetos para usar en reglas, políticas o asignar licencias. Por ejemplo, si agrega un grupo de usuarios a una regla dentro de su política de firewall de Internet, esa regla se aplica a todos los usuarios dentro del grupo de usuarios. Hay tres tipos de grupos de usuarios:

Grupos de sistema: Creado automáticamente
Definido por SCIM/LDAP: Provisionado desde su IdP
Definido por el usuario: Creado manualmente

Nota: El número máximo de usuarios que se pueden agregar a un grupo definido por el usuario es 50.000

Puede ver los grupos de usuarios en su cuenta desde la página Acceso > Grupos de Usuarios.

Comprender los Grupos de Usuarios Definidos por el Sistema

Cato crea automáticamente el grupo de usuarios del sistema Todos los Usuarios. Este contiene a todos los usuarios creados en su cuenta. Utilice este grupo de usuarios si desea que una regla, política o configuraciones se apliquen a todos los usuarios.

Si tiene al menos un controlador WMI configurado, también se crean estos grupos de usuarios del sistema:

Todos los usuarios pendientes de identificación: Usuarios que han sido sincronizados pero no han iniciado sesión en el cliente
Todos los usuarios no identificados: Usuarios que no pueden ser identificados
Todos los usuarios no mapeados: Usuarios que pueden ser identificados, pero no pueden ser emparejados con la información (por ejemplo, datos organizacionales) que se sincronizó desde LDAP

Grupos de sistema para asignar licencias

Los grupos de sistema son objetos para asignar licencias SDP a los usuarios, solo son visibles en la página Acceso > Asignación de Licencias. Por ejemplo, puede asignar una licencia SDP a todos los usuarios creados manualmente. Los grupos de sistema no pueden usarse en reglas o políticas. Hay tres tipos de grupos de sistema:

Todos los usuarios LDAP: Todos los usuarios provisionados con LDAP
Todos los usuarios SCIM: Todos los usuarios provisionados con SCIM
Todos los usuarios manuales: Todos los usuarios creados manualmente

Para más información sobre cómo asignar licencias SDP, consulte Asignación de Licencias SDP a Usuarios.

Mostrando Grupos de Usuarios y Miembros

Para mostrar los miembros de un grupo de usuarios:

En el menú de navegación, haga clic en Acceso > Grupos de Usuarios y seleccione el grupo de usuarios.
En el menú de navegación, haga clic en Miembros. Los miembros del grupo se muestran.

Añadiendo Grupos de Usuarios

Puede definir grupos de usuarios y sus miembros. Para grupos de usuarios que se crean como parte del aprovisionamiento de usuarios SCIM o LDAP:

Las definiciones en el panel General están definidas por la Cato Management Application y no pueden modificarse
Para modificar miembros de grupos de usuarios LDAP o SCIM, modifique la configuración en el AD o IdP
El Tipo del grupo de usuarios es Definido por SCIM o Definido por LDAP

Para añadir un grupo y definir a sus miembros:

En el menú de navegación, haga clic en Acceso > Grupos de Usuarios y seleccione el grupo de usuarios.
Haga clic en Nuevo. Se abre el panel Crear Grupo de Usuarios.
Ingrese el Nombre del grupo y haga clic en Aplicar. El grupo de usuarios se añade a la pantalla.
Haga clic en el grupo de usuarios. Se abre la pantalla General para el grupo de usuarios.
(Opcional) Ingrese una Descripción.
Agregue los elementos que son los miembros de este grupo:
1. En el menú de navegación, haga clic en Miembros. Los miembros del grupo de usuarios se muestran.
2. Desde el menú desplegable Añadir Miembros, seleccione el tipo de miembro para agregar (Usuario SDP o Usuario).
3. Seleccione todos los usuarios que está incluyendo en el grupo de usuarios.
  
  Los usuarios SDP y los usuarios se añaden a la lista de miembros.
Haz clic en Guardar.

Eliminando Grupos de Usuarios

Dependiendo de cómo fueron creados, los grupos de usuarios pueden ser eliminados permanentemente o deshabilitados.

Los grupos de usuarios creados manualmente pueden eliminarse manualmente. Después de ser eliminados, ya no son visibles en la página Grupos de Usuarios. Los grupos de usuarios eliminados todavía son visibles en las políticas y están marcados como eliminados y la política no se aplica al grupo de usuarios.
Los grupos de Usuarios provisionados se pueden eliminar en el CMA, pero recomendamos eliminarlos desde su IdP. Después de ser eliminados de su IdP, ya no son visibles en la página Grupos de Usuarios. Los grupos de usuarios eliminados todavía son visibles en las políticas y están marcados como eliminados y la política no se aplica al grupo de usuarios.
- Grupos de Usuarios eliminados en el CMA, y provisionados por:
  - Okta - se recrean con todos los miembros
  - Entra - se recrean sin miembros

Nota

Nota: No puede deshacer una eliminación.

Para eliminar manualmente un grupo de usuarios:

En el menú de navegación, haga clic en Acceso > Grupos de Usuarios y seleccione el grupo de usuarios.
Haga clic en (Eliminar) junto al Grupo de Usuarios que desea eliminar.

Se abre una ventana de confirmación.
Haz clic en Eliminar.

El grupo de usuarios se elimina.

Cambiando la Ruta a un Grupo en su Controlador de Dominio

Para los grupos de usuarios provisionados por LDAP, si cambia la ruta a un grupo en su controlador de dominio, también debe actualizar el Base DN en la Cato Management Application (CMA).

Si no actualiza la CMA a la nueva ruta, los grupos de usuarios que se han movido ya no están incluidos en las sincronizaciones y se eliminan. Estos grupos de usuarios ya no son visibles en la página Grupos de Usuarios. Los grupos de usuarios eliminados todavía son visibles en las políticas y están marcados como eliminados y la política no se aplica al grupo de usuarios. Las licencias SDP se eliminan de los usuarios dentro del grupo de usuarios provisionado por LDAP que ha sido eliminado y ya no pueden conectarse a la red. Si los usuarios necesitan conectarse a la red, entonces es necesario volver a asignarles licencias SDP.