Solución de problemas de Provisionamiento SCIM

Visión general

El provisionamiento SCIM es una característica de servicios de directorio de un Proveedor de Identidad (IdP) utilizado para provisionar usuarios dentro de la Aplicación de Gestión de Cato (CMA). No poder completar este provisionamiento significa que los usuarios no serán agregados a la CMA. Este manual busca proporcionar orientación sobre cómo solventar problemas con el proceso de provisionamiento SCIM. 

Síntomas

Los problemas con el Provisionamiento SCIM pueden manifestarse de varias maneras. Un administrador puede observar los siguientes síntomas:

  • No se puede habilitar el provisionamiento SCIM
  • Ningún usuario puede ser agregado a la CMA a través del provisionamiento SCIM
  • Se añaden nuevos usuarios a la CMA, pero no funcionan correctamente
  • No se pueden agregar usuarios adicionales a la CMA a través del provisionamiento SCIM
  • Los usuarios SCIM han sido actualizados, pero los cambios no se reflejan en la CMA

Causas Posibles 

Las siguientes son posibles causas que pueden identificarse al resolver problemas

  • La cuenta no cumple con los requisitos para el provisionamiento SCIM
  • Existe una discrepancia de credenciales entre el IdP y la CMA
  • Faltan atributos en el IdP y no pueden ser propagados a la CMA
  • Existen licencias insuficientes para provisionar los usuarios
  • Los grupos en el IdP no están asignados a la aplicación
  • El usuario o grupo no tiene el alcance correcto en la aplicación de provisionamiento
  • Los usuarios o grupos requeridos están anidados en el IdP
  • El usuario o grupo no ha actualizado los campos relevantes desde la aplicación de provisionamiento a la CMA

Solución de problemas 

Los pasos para solucionar los síntomas que un Administrador puede encontrar se enumeran a continuación. Estos pasos están destinados a identificar posibles causas de los problemas enfrentados. Los pasos de resolución se destacarán más adelante en el manual.

Solución de problemas No se puede habilitar el provisionamiento SCIM

Asegúrese de que la cuenta cumpla con los requisitos para el provisionamiento SCIM

Al intentar habilitar SCIM, observe el mensaje de error que se presenta. En este caso "No se puede habilitar el provisionamiento SCIM. Por favor, contacte al Soporte y refiérase a la Configuración de ID de Cuenta - Correo electrónico"

Cant enable.png

Solución de problemas inicial El provisionamiento SCIM no añade usuarios a CMA

Confirme que las credenciales sean correctas en la aplicación de provisionamiento

Vaya a la Aplicación SCIM > Provisionamiento > Provisionamiento > Credenciales de Admin presione Probar Conexión y revise el mensaje de error:

Test Provisioning.png

Verifique las licencias disponibles

Verifique los eventos para la cuenta en Monitoreo > Eventos aplique un filtro: El tipo de evento es Sistema verifique los eventos con Sub-tipo Licencia SDP

Licencias insuficientes.png

Solución de problemas nuevos usuarios son añadidos a la CMA pero no funcionan correctamente

Confirme que los atributos se están poblado correctamente en la CMA

CMA no puede asignar licencias a usuarios que no tengan el atributo obligatorio de correo electrónico.

Verifique la entrada de los usuarios en Acceso > Usuarios > Directorio de Usuarios y confirme que el campo de correo electrónico tiene contenido válido.

No email.png

 

Verifique los eventos para la cuenta en Monitoreo > Eventos aplique un filtro: El tipo de evento es Sistema

Failed to Assing Licence.png

 

Verifique las licencias disponibles

Verifique los eventos para la cuenta en Monitoreo > Eventos aplique un filtro: El tipo de evento es Sistema verifique los eventos con Sub-tipo Licencia SDP

Licencias insuficientes.png

 

Solución de problemas adicionales usuarios no se pueden añadir a la CMA vía provisionamiento SCIM

Verifique dónde los usuarios o grupos no están presentes en la CMA

Si no puede ver los usuarios o grupos esperados en la CMA bajo Acceso > Usuarios > Directorio de Usuarios o Acceso > Grupos de Usuarios.

Para Directorio de Usuarios puede filtrar por Fuente SCIM

Source SCIM.png

 

Para Grupos de Usuarios vea Tipo: Definido por SCIM.

SCIM Defined Groups.png

 

Verifique la razón de un fallo en el provisionamiento usando la función de provisionamiento bajo demanda

En la aplicación de provisionamiento, puede confirmar el alcance de un usuario haciendo uso de la función Provisionar bajo demanda. Vaya a Aplicaciones empresariales > Cato Provisioning Application > Provisioning > Provisionar bajo demanda ingrese los detalles de los usuarios y presione Provisionar.

Una vez que falle, puede ver detalles de la acción omitida

Dept user in scope.png

En este escenario, podemos ver que el usuario es parte del departamento Hermandad el cual no se ajusta a la regla de alcance 'No Mutantes', que tiene la cláusula departamento NO IGUAL 'Hermandad'

Mystique.png

Verificando otros errores de provisionamiento.

Pueden haber otros escenarios donde el grupo no es parte de la aplicación, revise el mensaje presentado e identifique la causa.

En este caso el grupo está activo y cumple con el alcance pero se informa como no asignado a la aplicación:

Group in scope.png

Trabajando con usuarios SCIM que han sido actualizados, pero los cambios no se reflejan en CMA

Los usuarios pueden tener atributos actualizados en la aplicación de provisionamiento SCIM, pero esto no se refleja cuando se completa una sincronización de provisionamiento.

Resolviendo Problemas Descubiertos

Resolviendo la cuenta no cumple con los requisitos para el provisionamiento SCIM

Necesitará abrir un caso con el Soporte de Cato. Por favor vea la sección Abrir Casos al Soporte de Cato a continuación. 

Resolviendo existe una discrepancia de credenciales entre el IdP y la CMA

Vaya a la Aplicación SCIM > Provisionamiento > Provisionamiento > Credenciales de Admin. Asegúrese de que las credenciales (URL del Inquilino y Token) para la aplicación sean válidas. 

Las credenciales están disponibles en la CMA bajo Acceso > Servicios de Directorio > SCIM

SCIM Provisioning in CMA.png 

Esto se puede verificar presionando el botón Probar Conexión dentro de la aplicación de provisionamiento.

Test Provisioning.png

 

Resolviendo atributos faltantes en el IdP que no pueden ser propagados a la CMA

Vaya a Aplicaciones empresariales > Cato Provisioning Application > Provisioning > Provisioning > Mapeos luego seleccione el Provisionamiento de Usuarios de Microsoft Entra ID en la Sección de Mapeo de Atributos confirme que la nombrePrincipalUsuario esté siendo mapeada así como la dirección de Correo Electrónico.

Atrtribute Mappings.png

 

Resolviendo existen licencias insuficientes para provisionar los usuarios

En la CMA vaya a Administración > Licencia > Usuarios y verifique que hay suficientes licencias para provisionar la cantidad de usuarios que está intentado agregar. 

Licencias en CMA.png

Si carece de suficientes licencias, por favor desasigne/deshabilite/elimine usuarios inactivos o comuníquese con su equipo de ventas para opciones adicionales de licencias.

 

Resolviendo grupos en el IdP que no están asignados a la aplicación de provisionamiento

Vaya a Aplicaciones empresariales > Cato Provisioning Application > Usuarios & Grupos y verifique que el usuario/grupo está listado.

Grupos asignados.png

Si no está presente puede ser añadido a través del botón Añadir usuario/grupo

Resolviendo the usuario o grupo no está en el alcance correcto en la aplicación de provisionamiento

Vaya a Aplicaciones empresariales > Cato Provisioning Application > Provisioning > Provisioning > Mapeos luego seleccione el Usuarios o Grupo mapeo. Verifique que los filtros del Alcance del Objeto de Fuente incluyan el usuario/grupo relevante. 

Mappsing for Application.pngSource Object Scope.pngUser Scoping FIlter.png

Nota: Múltiples filtros de alcance usan la lógica OR, mientras que, múltiples atributos dentro de un filtro usan la lógica AND.

Resolviendo los Usuarios o Grupos requeridos que están anidados en el IdP 

Confirme que al agregar grupos a la aplicación de provisionamiento estos sean añadidos como entradas individuales y no estén anidados dentro de otros grupos.

Fellowship Nested.png
Nested Assign.png

Resolviendo usuarios SCIM que han sido actualizados, pero los cambios no se reflejan en la CMA

Cuando se realiza una sincronización, confirme que uno de los siguientes campos para el usuario en su IdP ha sido actualizado.
  • Correo Electrónico
  • UPN
  • Nombre
  • Apellido
  • Número de Teléfono
 
Si el problema persiste, intente eliminar al usuario de su IdP, donde sea posible, y luego verifique si el usuario pasa a un estado deshabilitado en la CMA. 
 
Si no, entonces por favor comuníquese con el Soporte.

Elevación de Casos a Soporte de Cato

Si siguiendo este manual no se ha resuelto el problema, envíe un ticket de soporte usando este artículo de la Base de Conocimientos

Para obtener la respuesta más útil a una solicitud, un administrador debe proporcionar los resultados de los pasos de solución de problemas realizados durante el uso de este manual. Incluyendo por ejemplo:

  • El Nombre/ Número de la Cuenta
  • Detalles del proveedor IdP en uso
  • Capturas de pantalla desde el IdP que contienen los UPNs de usuarios relevantes
  • Detalles de los grupos de Usuarios desde el IdP

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios