Preparándose para Migrar a SCIM (Parte 1)

Visión general

Migrar del aprovisionamiento de usuarios basado en LDAP a SCIM (Sistema para la Gestión de Identidades entre Dominios) agiliza la gestión de identidades y mejora la integración con proveedores de identidad modernos (IdPs) como Microsoft Entra ID. Este artículo ofrece a los administradores técnicos una vía clara para migrar la gestión existente de usuarios y grupos desde servidores LDAP a SCIM dentro de la Aplicación de Gestión de Cato (CMA).

La migración aprovecha los datos de usuario existentes ya sincronizados a través de LDAP y transfiere las responsabilidades de aprovisionamiento a SCIM, asegurando una mínima interrupción y mayor eficiencia operativa. Específicamente, esta guía utiliza Microsoft Entra ID como ejemplo de IdP, detallando la configuración necesaria y los mapeos de campo. Sin embargo, los principios y procedimientos descritos pueden adaptarse fácilmente a otros IdPs que soporten SCIM.

Después de completar la preparación para migrar hacia el aprovisionamiento SCIM, continúe con:

  1. Prueba del aprovisionamiento de usuarios (Parte 2)

  2. Migrar LDAP a SCIM (Parte 3)

Requisitos Previos

  1. Desactiva temporalmente Always-On para todos los usuarios que estás migrando.

  2. Agregar el Grupo de Usuarios de SCIM a la página de Asignación de Licencia.

    La razón para esto es que los usuarios podrían desconectarse de la red durante la migración.

  3. Verifica que el número de usuarios a migrar no sea mayor que el número de licencias SDP asignadas.

    Si hay más usuarios que licencias, prioriza la migración de los grupos que requieren licencias, y luego elimina el grupo de usuarios Todos los Usuarios SCIM de la página de Asignación de Licencias antes de continuar con el resto de la migración.

  4. Limpia el directorio LDAP y elimina todos los usuarios y grupos innecesarios.

  5. Actualiza la configuración en la sincronización LDAP para eliminar usuarios en lugar de desactivarlos si ya no existen.

    1. En la CMA, navega a Acceso > Servicios de Directorio y haz clic en la pestaña LDAP.

    2. Selecciona el dominio LDAP, y en la sección General, selecciona Desactivar.

      image1.png

  6. Verifica los Grupos AD existentes para ver si hay grupos anidados - Cato no soporta grupos anidados.

  7. Encuentra reglas de firewall WAN o Internet que tienen grupos de usuarios importantes como el Origen/Destino, y agrega el grupo de usuarios Todos los Usuarios a la regla.

    Asegúrate de revertir este cambio después de la migración.

    1. Identifica reglas donde los usuarios fueron agregados individualmente y convierte esos usuarios en grupos.

      Nota: Este no es un paso obligatorio, y depende del tiempo de inactividad - si es aceptable que los usuarios no tengan acceso a los recursos durante el tiempo de migración.

  8. Asegúrate de que la configuración de grupo en SCIM sea la misma que la configuración de grupo LDAP. Por ejemplo, los usuarios de dominio LDAP tienen el mismo grupo en la aplicación SCIM.

  9. Los atributos de Usuario y Grupo como el correo electrónico, UPN, nombre, apellido deben ser idénticos en el IdP (ej. Entra ID, Okta) y LDAP (AD) para evitar fallos de actualización o objetos duplicados.

  10. Si es necesario realizar cambios en el correo electrónico u otros atributos como parte de la migración, estos ajustes deben realizarse antes o después de la transición para evitar conflictos en la CMA.

    Recomendamos encarecidamente utilizar un periodo de congelación de cambios durante la migración.

  11. Debe haber permisos adecuados para configurar la aplicación IdP.

  12. Validar los atributos de usuario y grupo antes de la migración debe realizarse utilizando herramientas como PowerShell (por ejemplo) para identificar y corregir cualquier discrepancia entre los proveedores LDAP y SCIM antes de que comiencen el mantenimiento.

  13. (Opcional) Crea una exportación (o capturas de pantalla) de las páginas CMA afectadas: las reglas de firewall (Internet / WAN), Reglas de Red, política Always-On, política de Conectividad de Cliente, Directorio de Usuarios, y grupos de usuarios.

  14. Verifica la ventana de mantenimiento para los servicios CMA para que no coincida con la ventana de mantenimiento actual de la migración: https://status.catonetworks.com

Preparar para Migrar Usuarios

Esta es la lógica para los usuarios aprovisionados por SCIM en tu cuenta Cato:

  • Los usuarios aprovisionados por SCIM reemplazan a los usuarios aprovisionados por LDAP y usuarios creados manualmente. 

  • Los usuarios se emparejan en función del ID Interno, ID de Objeto, UPN o correo electrónico.

Asegúrate de que los usuarios que fueron aprovisionados con LDAP cumplan estas condiciones:

  1. Los usuarios existentes están en el CMA Acceso > Usuarios > Directorio de Usuario.

  2. Tienen el mismo UPN o dirección de correo electrónico que los usuarios que serán aprovisionados con SCIM.

    1. Si el UPN o la dirección de correo electrónico son diferentes, se crearán usuarios duplicados.

    2. Si se crean usuarios duplicados por error, sigue estos pasos:

      1. Elimina al usuario de la aplicación de Aprovisionamiento de Red SCIM de Cato.

      2. Elimina al usuario duplicado de la CMA.

      3. Actualiza la dirección de correo electrónico en el IdP LDAP y luego vuelve a aprovisionar al usuario.

  3. Si hay más de un usuario con el mismo ID de Objeto o UPN, el usuario SCIM no reemplaza al usuario LDAP existente, y se genera un evento.

Preparar para Migrar Grupos de Usuarios

  1. Los grupos de usuarios aprovisionados por SCIM reemplazan a los grupos de usuarios aprovisionados por LDAP.

  2. Si hay múltiples grupos con el mismo ID de Objeto o Nombre de Grupo, el reemplazo falla. En este caso, recomendamos eliminar los grupos duplicados.

  3. Grupos de Usuarios para LDAP - después de completar la migración al aprovisionamiento SCIM, los usuarios son automáticamente eliminados de los grupos de usuarios LDAP y agregados a los nuevos grupos de usuarios SCIM.

Ejemplo de migración de grupos de usuarios: Si un usuario es parte de múltiples grupos de usuarios, permanecerá activo en los grupos de usuarios que se migraron a SCIM y será removido temporalmente de los grupos de usuarios que aún no se han migrado (marcados como LDAP en la CMA). Una vez que todos los grupos de usuarios se hayan migrado a SCIM, los usuarios serán habilitados nuevamente en esos grupos de usuarios. Esto podría resultar en tiempo de inactividad para algunos usuarios cuando se usan reglas con diferentes tipos de grupos de usuarios (SCIM y LDAP) en la CMA para algunas aplicaciones, y los tipos de grupos de usuarios no están en el mismo lote de migración.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios