Este artículo explica las consideraciones para aprovisionar usuarios con SCIM y LDAP.
Cato aprovecha su Proveedor de Identidad (IdP) existente, que es un servicio centralizado para gestionar identidades de usuarios, y admite la capacidad de aprovisionar y sincronizar usuarios fácilmente en su cuenta. El IdP se integra con su cuenta Cato e importa y actualiza usuarios automáticamente.
Cato soporta los siguientes métodos para provisionar usuarios y grupos de usuarios:
- Importar usuarios desde un IdP a través de SCIM y LDAP
- Importar usuarios desde un IdP a través de SCIM
- Importar usuarios desde un IdP a través de LDAP
Para más información, consulta Modificación Entre Aprovisionamiento de Usuarios SCIM y LDAP.
Asignar Licencias
Una vez que un usuario o grupo de usuarios está provisionado a través de alguno de estos métodos, pueden ser incluidos en cualquier política de implementación y se les puede asignar una licencia SDP. Por ejemplo, puedes importar un usuario desde SCIM y otro usuario con LDAP, y a ambos se les puede asignar una licencia de usuario remoto. Para más información, consulte Asignación de Licencias ZTNA a Usuarios.
Agregar Directorios LDAP Cuando SCIM Está Activo
El número de directorios SCIM activos en el CMA determina si puedes agregar directorios LDAP:
- Si un directorio SCIM está activo, puedes agregar múltiples directorios LDAP. Actualmente no hay un límite conocido al número de directorios LDAP que puedes agregar.
- Si dos o más directorios SCIM están activos, no puedes agregar directorios LDAP.
Para agregar un directorio LDAP cuando dos o más directorios SCIM están activos, primero deshabilita los directorios SCIM hasta que solo quede un directorio SCIM activo. Luego, agrega el directorio LDAP.
SCIM y LDAP se pueden usar juntos para aprovisionar usuarios. Sin embargo, cada usuario individual debe ser aprovisionado exclusivamente mediante SCIM o LDAP, no ambos. Esto garantiza una única fuente de verdad para cada usuario.
Si se identifica que un mismo usuario está aprovisionado con ambos SCIM y LDAP, el usuario aprovisionado por SCIM anula al usuario aprovisionado por LDAP. Esto significa que el usuario aprovisionado por LDAP se elimina de los grupos aprovisionados por LDAP y se añade a los grupos aprovisionados por SCIM.
El aprovisionamiento SCIM se utiliza como la única fuente de verdad para garantizar un comportamiento coherente. Esto puede influir en si los usuarios reciben el acceso previsto. Por ejemplo:
- El usuario John Doe es provisionado con LDAP y es miembro de un grupo de usuarios que tiene sitios de apuestas bloqueados por una regla de cortafuegos de Internet
- John Doe es entonces provisionado con SCIM, no hay grupos SCIM en la regla de cortafuegos de Internet
- El usuario provisionado con SCIM anula el usuario provisionado con LDAP y John Doe es eliminado del grupo de usuarios que bloquea el acceso a sitios de apuestas
- John Doe no está incluido en la regla de cortafuegos de Internet y puede acceder a sitios de apuestas
Los usuarios se identifican como una coincidencia basada en la dirección de correo electrónico o UPN.
SCIM y LDAP se pueden usar juntos para aprovisionar grupos de usuarios. Sin embargo, cada grupo de usuarios debe ser aprovisionado exclusivamente mediante SCIM o LDAP, no ambos. Esto garantiza una única fuente de verdad para la identidad de los usuarios y asegura una identidad de usuario coherente en su entorno.
Si un grupo de usuarios se aprovisiona con ambos SCIM y LDAP, el grupo de usuarios aprovisionado por SCIM anula al grupo de usuarios aprovisionado por LDAP. Si el grupo de usuarios aprovisionado por LDAP contiene usuarios que no están incluidos en el grupo de usuarios aprovisionado por SCIM, esos usuarios son eliminados del grupo de usuarios en la Aplicación de Gestión Cato. Esto puede tener implicaciones para garantizar que proporcione a los usuarios el acceso previsto. Por ejemplo:
-
El grupo de usuarios del equipo de finanzas está aprovisionado con LDAP y tiene sitios de juegos bloqueados por una regla de firewall de Internet. Contiene los siguientes usuarios:
- John Doe
- Jane Phillips
- Simon Thompson
-
El grupo de usuarios del equipo de finanzas se aprovisiona luego con SCIM y contiene los siguientes usuarios:
- John Doe
- Jane Phillips
- El grupo de usuarios provisionado con SCIM anula el grupo de usuarios provisionado con LDAP
- Simon Thompson es removido del grupo de usuarios del equipo de Finanzas y puede acceder a sitios de apuestas
0 comentarios
El artículo está cerrado para comentarios.