Resolución de problemas de sincronización y aprovisionamiento SCIM

Visión General

La sincronización SCIM (Sistema para la Gestión de Identidades entre Dominios) y el aprovisionamiento de usuarios son fundamentales para automatizar la gestión de identidades y garantizar un acceso seguro y eficiente a aplicaciones y recursos. Sin embargo, pueden surgir desafíos que interrumpan esta automatización, lo que podría provocar problemas de acceso o riesgos de cumplimiento. Este manual está diseñado para abordar problemas comunes de sincronización y aprovisionamiento SCIM en Cato y ofrecer soluciones efectivas para resolverlos.

Síntomas

Las fallas en el aprovisionamiento SCIM pueden manifestarse de diversas maneras. Un administrador puede notar los siguientes síntomas:

  • Mensaje de error al habilitar SCIM
  • Los usuarios no están aprovisionados en el CMA
  • La prueba de conexión desde IdP a CMA falla
  • Los usuarios aprovisionados no logran conectarse a los clientes SDP
  • Usuarios duplicados en CMA

Posibles Causas

Enumere las posibles causas que intentarán identificar durante la resolución de problemas

  • Configuración incorrecta
  • Credenciales de administrador incorrectas
  • Licencias
  • Usuario duplicado aprovisionado a través de IdP

Resolución de Problemas

Antes de adentrarse en los pasos de resolución de problemas, el diagrama siguiente ofrece una vista general de alto nivel sobre cómo funciona el aprovisionamiento SCIM. A diferencia de LDAP, que se basa en un enfoque de extracción, SCIM utiliza un mecanismo de empuje para entregar actualizaciones de usuarios directamente a la Aplicación de Gestión Cato (CMA).

Cato admite el aprovisionamiento SCIM para usuarios a través de Azure, Okta y One Login. Para más información sobre la configuración de aprovisionamiento SCIM para cada proveedor de identidad (IdP), consulte Aprovisionamiento de Usuarios con SCIM. Este manual se centra específicamente en el aprovisionamiento SCIM con Azure (Entra ID), pero los conceptos y técnicas de resolución de problemas fundamentales son aplicables a otros IdPs también.

Error al Habilitar SCIM

Al habilitar SCIM en CMA, se observa el siguiente error: "No se puede habilitar el aprovisionamiento SCIM. Por favor contacte a Soporte y refiérase a la Configuración de ID de Cuenta - Correo electrónico".

Cuando encuentre este error, por favor contacte a Soporte para modificar el tipo de ID de usuario en su cuenta.

Usuarios No Se Están Aprovisionando en el CMA

Esta sección mostrará algunas de las razones comunes por las cuales los usuarios no se están aprovisionando en el CMA.

Validar Credenciales de Administrador

  • Vaya a Aplicación SCIM > Aprovisionamiento > Actualizar Credenciales.
  • Expanda Credenciales de Administrador y haga clic en Probar Conexión
     
  • Para una integración y aprovisionamiento exitosos con CMA, debería ver el siguiente resultado.
  • Si la conexión de prueba falla, consulte Resolución de Credenciales de Administrador para saber cómo resolver esto. 

Atributos Obligatorios

  • Ciertos atributos son necesarios y obligatorios para el Aprovisionamiento SCIM con Microsoft Entra ID. Si alguno de estos atributos obligatorios falta, el aprovisionamiento de usuarios puede fallar o el usuario aprovisionado puede ser incapaz de conectarse.
  • La captura de pantalla a continuación muestra los campos obligatorios requeridos para que el aprovisionamiento funcione.
  • Si falta el campo de correo electrónico, el usuario aún se aprovisionará en el CMA, pero no podrá conectarse al cliente SDP.
  • Consulte la sección resolviendo Atributo Obligatorio para validar si esto está causando el problema y cómo resolverlo.

Usuarios/Grupos No Asignados a la Aplicación Empresarial en el Portal Azure

Los usuarios y grupos deben ser añadidos a la Aplicación de Aprovisionamiento Cato en el portal de Azure antes de que puedan sincronizarse en CMA. Esta sección ofrece instrucciones paso a paso sobre cómo validar esto.

  • Vaya a aplicaciones empresariales > Aplicación de Aprovisionamiento Cato > Usuario & Grupos y verifique que el usuario o grupo esté listado.
  • En el siguiente ejemplo, podemos ver que 1 grupo y 1 usuario están asignados a la aplicación "Cato Networks Provisioning—APJ T1 Lab".
  • Si el usuario o grupos no están listados bajo su Aplicación de Aprovisionamiento en Azure, consulte Asignación de Usuarios/Grupos a Aplicación de Aprovisionamiento

Filtro de Alcance en Usuarios/Grupos

  • Verifique si los filtros de alcance están configurados para usuarios o grupos en la configuración de aprovisionamiento.
  • Navegue a Aplicaciones Empresariales > Aplicación de Aprovisionamiento Cato > Aprovisionamiento > Mapeos, luego seleccione el mapeo de Usuario o Grupo.
  • Revise los filtros de Alcance del Objeto de Origen para ver si podrían estar excluyendo al usuario o grupo en cuestión.
  • Si el aprovisionamiento falla debido a un filtro de alcance, el usuario/grupo será omitido y Azure mostrará una razón para el fallo.
  • Para resolver esto, consulte Resolución de Filtros de Alcance en Usuarios/Grupos.

Usuarios Aprovisionados Fallando al Conectar al Cliente SDP

  • Después de ser aprovisionados mediante SCIM en el CMA, los usuarios encuentran el siguiente error al intentar conectarse a través del cliente SDP, específicamente después de ingresar su dirección de correo electrónico y subdominio.
  • Una posible causa de esta falla es el problema de licencias
  • Consulte la sección Resolviendo el problema de licencias para saber cómo validar si este problema está relacionado con licencias y cómo resolverlo.

Usuarios Duplicados en CMA

Usuarios duplicados con la misma dirección de correo electrónico pueden aparecer en el CMA. Típicamente, un usuario está deshabilitado, mientras que el otro tiene la licencia SDP asignada.

Consulte la sección Resolución de Usuarios Duplicados en CMA para conocer la posible razón por la cual esto sucedió y cómo resolverlo.

Resolviendo Problemas Descubiertos

Resolución de Credenciales de Administrador

  • Inicie sesión en su CMA y navegue a Acceso > Servicios de Directorio > SCIM para validar que la URL base es la misma que la URL de Tenant configurada en Azure.
  • Si la URL base es la misma, intenta generar un nuevo token. 
  • Copie el nuevo token antes de guardar la configuración en el CMA. Una vez hecho, ingrese el nuevo token en Azure y haga clic de nuevo en Probar Conexión.

Resolución de Atributo Obligatorio

  • El atributo de correo electrónico es obligatorio. Si este campo falta en la información del usuario dentro del Proveedor de Identidad (IdP), el usuario aún será aprovisionado en el CMA, pero su perfil carecerá de una dirección de correo electrónico.
  • Cuando el campo de correo electrónico está ausente del perfil del usuario, el sistema no puede asignar una licencia SDP, lo que impide que el usuario se conecte exitosamente vía el cliente SDP.

Asignación de Usuarios/Grupos a la Aplicación de Aprovisionamiento

  • Para asignar usuarios o grupos a su Aplicación de Aprovisionamiento, haga clic en Añadir usuario/grupo, y luego seleccione "Usuarios y grupos."
  • Luego, aparecerá el panel derecho para seleccionar los usuarios/grupos respectivos que serán añadidos.
  • Opcionalmente, después de agregar los Usuarios y Grupos a la Aplicación de Aprovisionamiento, en lugar de esperar el ciclo regular de aprovisionamiento automatizado, puede aprovisionar manualmente estos usuarios/grupos en CMA a través de "Aprovisionamiento Bajo Demanda."

    NOTA: El aprovisionamiento de grupos anidados no está soportado

Resolución de Filtros de Alcance en Usuarios/Grupos

  • Si un filtro de alcance está excluyendo al usuario o grupo de manera involuntaria:
    • Ajuste los criterios del filtro de alcance para asegurar que incluya al usuario/grupo.
    • Confirme que la lógica de sus filtros (Y/O) coincida con el comportamiento deseado.
  • Para más detalles, consulte el documento de Microsoft - Filtrado de usuarios o grupos para ser aprovisionados con filtros de alcance.
  • Después de realizar ajustes, ejecute nuevamente el aprovisionamiento bajo demanda para verificar que el usuario/grupo ahora esté incluido.

Resolviendo el Problema de Licencias

  • Navegue a Acceso > Usuarios, y haga clic en Directorio de Usuarios. Valide si al usuario se le asignó una licencia SDP. La captura de pantalla a continuación muestra que al Usuario Scim no se le asignó ninguna licencia SDP.
  • A continuación, navegue a Acceso > Asignación de Licencias para verificar si la opción "Asignar licencia SDP a todos los usuarios" está habilitada.
    • Si está habilitado, verifique si el Número Total de Usuarios excede el Número Total de Licencias SDP.
    • Si el número de usuarios excede las licencias disponibles, por favor contacte a su representante de ventas de Cato para explorar opciones para adquirir licencias SDP adicionales.
    • Si no está seguro de quiénes son, no dude en contactar a Soporte.
  • Si se selecciona "Asignar licencia SDP a usuarios o grupos seleccionados", asegúrese de que los usuarios aprovisionados mediante SCIM estén incluidos en los grupos asignados.

Resolución de Usuarios Duplicados en CMA

  • Cuando un usuario es eliminado en Azure, el sistema antepone el valor ObjectID al valor UPN y establece el estado activo del usuario como falso. Esta acción desactiva al usuario en la base de datos SCIM y actualiza el valor UPN para incluir ObjectID+UPN. Este comportamiento se alinea con la documentación de Microsoft.

  • Si el mismo usuario se recrea en Azure utilizando la misma dirección de correo electrónico, se creará un usuario duplicado tanto en la base de datos SCIM como en CMA con un diferente ObjectID. En esta etapa, el UPN para los usuarios duplicados será diferente. En este escenario, el usuario deshabilitado debería ser eliminado en CMA para evitar la duplicación.
  • Cato permite usuarios con direcciones de correo electrónico duplicadas; sin embargo, solo a un usuario duplicado se le puede asignar una licencia SDP. Es importante notar que UPN y ObjectID deben permanecer únicos en todos los Servicios de Directorio SCIM.

Notas y Limitaciones

  1. Diferentes usuarios pueden ser aprovisionados a través de SCIM y LDAP. Sin embargo, si un usuario es aprovisionado a través de ambos SCIM y LDAP, el aprovisionamiento SCIM tiene prioridad. Como resultado, el usuario es removido de los grupos aprovisionados por LDAP y añadido a los grupos aprovisionados por SCIM. Para más detalles, consulte Aprovisionamiento de Usuarios con SCIM y LDAP
  2. Si planea cambiar entre el aprovisionamiento SCIM y LDAP, lea Cambiar entre Aprovisionamiento de Usuarios SCIM y LDAP primero para asegurar una transición suave.
  3. Aunque los usuarios y grupos pueden ser eliminados en CMA, recomendamos eliminar usuarios directamente en su aplicación SCIM. Consulte Eliminación de Usuarios o Grupos de la Aplicación SCIM para detalles sobre cómo hacer esto correctamente.

Levantando Casos a Soporte Cato

Envíe un ticket de soporte con los resultados de los pasos de resolución de problemas anteriores. Por favor incluya la siguiente información en el ticket:

  1. Descripción del Problema e Impacto en el Usuario
    • Una descripción clara del problema encontrado durante el aprovisionamiento SCIM.
    • Una visión general del alcance y el impacto en los usuarios afectados (por ejemplo, número de usuarios impactados, mensajes de error recibidos, etc.).
  2. Estado del Aprovisionamiento en el CMA
    • ¿Fueron aprovisionados correctamente los usuarios afectados en el CMA?
      • Si no, examinar los registros puede ofrecer información adicional y ayudar a identificar la causa subyacente del problema, facilitando una mayor resolución de problemas y solución.
        • Inicie sesión en www.portal.azure.com. Vaya a Aplicación Empresarial > Aplicación de Aprovisionamiento Cato > Aprovisionamiento
        • Haga clic en "Registros de Aprovisionamiento" para ver el historial de aprovisionamiento.
        • Hacer clic en un aprovisionamiento específico abrirá el panel "Detalles del registro de aprovisionamiento" a la derecha. Desde lo siguiente, podemos ver que la sincronización para este objeto fue omitida porque no fue asignada a la aplicación.
      • Por favor también intente el aprovisionamiento bajo demanda para los usuarios afectados e incluya:
        • Una captura de pantalla del resultado (mensaje de éxito o error)
        • La hora exacta de cuándo se realizó la provisión bajo demanda
  3. Conectividad al Cliente SDP
    • ¿Los usuarios que se aprovisionan con éxito pueden conectarse al cliente SDP? 
      • Si no, proporcione una captura de pantalla de la interfaz del cliente que muestre el error cuando el usuario intentó conectarse
      • Proporcione los registros del cliente usando la función Grabar Problema.
  4.  
  5.  

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios