XOps Network Playbook - Provisionamiento SCIM Fallidas

Las sincronizaciones SCIM son críticas para el provisionamiento de usuarios a CMA, asegurando una integración sin inconvenientes y acceso constante a recursos. La frecuencia de sincronización depende del Proveedor de Identidad (IdP) utilizado, como se describe en Aprovisionamiento de Usuarios SCIM. 

Cuando el provisionamiento SCIM falla, los usuarios recién creados pueden ser incapaces de conectarse o acceder a los servicios requeridos, y las políticas de seguridad pueden no aplicarse correctamente. Para ayudar a asegurar una detección y solución rápida, una historia XOps se genera automáticamente cada vez que ocurre un fallo de provisionamiento entre el IdP y CMA.

Cuando responde a historias de Network XOps, es esencial abordar el problema de manera sistemática. Primero, verifica que el problema de los Problemas esté en curso, luego solucione el problema, y finalmente confirma que el problema esté RESUELTO.

Paso 1 - Verificación de la Sincronización SCIM Fallidas

Las siguientes son las diferentes formas en que un administrador de la Aplicación de Gestión de Cato puede verificar que una Sincronización SCIM ha fallado. 

• Una historia XOps será generada cuando la Sincronización SCIM falla.
• Vaya a la página Banco de Trabajo de Historias y use el ajuste preestablecido de Operaciones de Red, incluyendo el filtro 'Indicación Contiene SCIM'. Ajuste el período de tiempo según sea necesario.
  
• Verifique si una historia se genera como se muestra abajo.
  
• Haga clic en la historia para explorar los detalles. Proporciona información sobre el Estado de historias, una cronología del incidente, y, más importante, el estado de la sincronización SCIM. 
  
• A medida que desciende más en el desglose de la historia, encontrará la Cronología del incidente. Esta cronología resalta cualquier cambio en el estado de las sincronizaciones SCIM. En el panel derecho, verá el flujo de trabajo del manual que describe los pasos para solucionar el problema.
  
   

Usando el Evento

Esta sección describe las herramientas disponibles en Cato para un enfoque estructurado de solución de problemas en incidentes de este tipo. Aunque los pasos están generalmente destinados a seguirse en orden, los resultados de cada revisión pueden influir en el siguiente paso del proceso.

• Para determinar si el problema fue una ocurrencia única, realice un provisionamiento bajo demanda desde la plataforma IdP. Para Azure, navegue a Aplicaciones Empresariales > Provisionamiento de Cato Networks > Provisioning y haga clic en "Provisionamiento bajo demanda."
  
• Seleccione un usuario o grupo asignado a la Aplicación y haga clic en el botón "Provisionar".
• Si la sincronización SCIM se completa exitosamente, puede indicar que la Falla de Sincronización SCIM fue un incidente aislado. El administrador debe verificar si alguna interrupción del proveedor o actividades de mantenimiento de Cato coincidieron con el tiempo de sincronización SCIM.
• Si la sincronización SCIM también falla, indica que el problema persiste y la sincronización con el IdP no se completa exitosamente. En este caso, revise cualquier cambio reciente de configuración que pueda haber causado el problema.
   

• Revise los cambios en la página del Registro de Auditoría para determinar si un cambio de configuración es la causa de este problema. Este paso es especialmente importante si la sincronización programada había estado funcionando normalmente pero dejó de funcionar inesperadamente.
• Para ver cualquier cambio realizado en la configuración del dominio, filtre el Tablero de Auditoría estableciendo Tipo de Modelo a Dominio. Ajuste el período de tiempo según sea necesario para coincidir cuando ocurrió el problema.
  
• Por ejemplo, la captura de pantalla a continuación muestra que el administrador realizó cambios de configuración en el provisionamiento SCIM de Okta. Si el tiempo de esta actividad se alinea con la Falla de Sincronización SCIM, el administrador puede revertir los cambios para determinar si los cambios son la causa. 
  
• Otro factor que podría afectar la conectividad SCIM son los cambios en la Aplicación del lado IdP. Para Azure, navegue a Aplicaciones Empresariales > Provisionamiento de Cato Networks y revise los registros de Auditoría y registros de Provisionamiento para determinar si un cambio de configuración desencadenó la falla SCIM.
  

Actualizar Credenciales del Administrador

• Para verificar una falla de credenciales con el IdP, genere un nuevo token desde CMA bajo Servicios de Directorio > SCIM. Haga clic en "generar token" y copie el nuevo token.

• Para Azure, navegue a Aplicaciones Empresariales > Provisionamiento de Cato Networks > Provisioning y expanda Provisioning > Credenciales del Administrador. Ingrese el token generado desde CMA y haga clic en "Probar Conexión".
  

• Si la autenticación es exitosa, el problema puede estar relacionado con una discrepancia de token entre el IdP y CMA.

   

Después de identificar y resolver el problema que causó el fallo de la sincronización SCIM, verifique que la sincronización ahora se muestre como resuelta en la Historia. 

NOTA: Una vez que el problema esté RESUELTO, el estado de la historia cambiará de "Abierto" a "Monitorización". Permanecerá en este estado durante la próxima hora, siempre que no haya más incidentes. Para obtener más información, consulte Comprendiendo las Columnas de Historias. 

Elevación de Casos a Soporte de Cato

Si seguir este manual no ha resuelto un problema, envíe un ticket de Soporte. Para obtener la respuesta más útil a una solicitud, un administrador debe proporcionar los resultados de los pasos de solución de problemas realizados.