Este artículo explica las consideraciones de cambiar los métodos de aprovisionamiento de SCIM a LDAP o viceversa.
Cato aprovecha su Proveedor de Identidad (IdP) existente, que es un servicio centralizado para gestionar identidades de usuarios, y soporta la capacidad de provisionar y sincronizar usuarios fácilmente a su cuenta. El IdP está integrado con su cuenta Cato e importa y actualiza automáticamente a los usuarios. Esto asegura que tengas una única fuente de verdad para la identidad del usuario y te ofrece una identidad de usuario consistente en todo tu entorno. Para más información sobre Aprovisionamiento de Usuarios con SCIM y LDAP, consulta Aprovisionamiento de Usuarios con SCIM y LDAP.
Cato soporta los siguientes métodos para importar y crear usuarios:
-
Importar usuarios desde un IdP vía SCIM
-
Importar usuarios desde un IdP vía LDAP
-
Crear manualmente usuarios en la Aplicación de Gestión de Cato
Para más información sobre cómo configurar cada método, consulte Servicios de Directorio.
-
La Conciencia de Usuarios es soportada desde Windows Client v5.4 y superior y macOS Client v5.3 y superior. Para más información, consulte Usar los Agentes de Identidad de Cato para Conciencia de Usuarios.
-
Sincronizar inmediatamente los usuarios desde el IdP a su cuenta Cato.
-
Las actualizaciones o cambios en la membresía de grupos o perfiles de usuarios se actualizan casi en tiempo real.
-
Integrar el IdP a su cuenta Cato sin configurar ninguna regla de firewall entrante.
-
SCIM es ampliamente soportado por los proveedores de IdP y es fácil de integrar con su cuenta.
Antes de cambiar cómo se provisionan sus usuarios, es importante que entienda el impacto en los usuarios y los grupos de usuarios.
Estas son las reglas que se aplican a los usuarios y grupos de usuarios cuando se cambia del provisionamiento LDAP a SCIM:
-
Los usuarios aprovisionados por SCIM sustituyen a los usuarios aprovisionados por LDAP y creados manualmente
-
Los usuarios se identifican como una coincidencia basada en su UPN o correo electrónico
Nota
Nota: Cuando cambie de LDAP a SCIM, siga estas mejores prácticas:
-
Asegúrese de que los usuarios que fueron aprovisionados por LDAP:
-
Tienen el mismo UPN o dirección de correo electrónico que los usuarios que se van a aprovisionar con SCIM
-
Son usuarios existentes en la Aplicación de Gestión de Cato
-
-
Si el UPN o la dirección de correo electrónico son diferentes, se crean usuarios duplicados.
-
Asignar licencias SDP a Todos los Usuarios SCIM. Esto evita que los usuarios pierdan sus licencias SDP a medida que su aprovisionamiento transiciona de LDAP a SCIM.
-
Si los usuarios duplicados se crean por error, elimine al usuario duplicado de la Aplicación de Gestión de Cato, actualice la dirección de correo electrónico en su IdP y luego vuelva a aprovisionar al usuario.
-
Si hay más de un usuario con el mismo ID de Objeto o UPN, el usuario SCIM no sustituye al usuario SCIM existente y se desencadena un Evento.
-
-
-
-
Los grupos de Usuarios aprovisionados por SCIM sustituyen a los grupos de Usuarios aprovisionados por LDAP. Una vez que se habilita el aprovisionamiento SCIM, no se pueden realizar actualizaciones a los grupos de Usuarios aprovisionados por LDAP en la Aplicación de Gestión de Cato.
-
Los grupos de Usuarios se identifican como una coincidencia basada en su nombre o ID de Objeto
-
Si hay múltiples grupos con el mismo ID de Objeto o Nombre de Grupo, la sustitución falla. Recomendamos eliminar los grupos duplicados para que la sustitución sea exitosa
-
Los usuarios son removidos de todos los grupos de Usuarios aprovisionados por LDAP y son asignados a los grupos de Usuarios aprovisionados por SCIM
-
Por ejemplo:
-
100 usuarios están en un grupo de Usuarios llamado R&D que fue aprovisionado con LDAP
-
10 usuarios están en un grupo de Usuarios llamado R&D que fue aprovisionado con SCIM
-
En la Aplicación de Gestión de Cato, el grupo de Usuarios R&D solo contiene a los 10 usuarios aprovisionados con SCIM
-
-
Para cambiar gradualmente del aprovisionamiento de usuarios LDAP a SCIM:
-
Desde el menú de navegación, haz clic en Acceso > Asignación de Licencias.
-
Seleccione Asignar licencia SDP a usuarios o grupos seleccionados.
-
Desde los desplegables, seleccione Grupo del Sistema y Todos los Usuarios SCIM.
Esto previene que los usuarios pierdan su licencia SDP.
-
Habilitar el aprovisionamiento SCIM. Para más información, consulte Aprovisionamiento de Usuarios con SCIM.
Los usuarios se aprovisionan con SCIM siguiendo las reglas delineadas arriba.
Nota: Después de que un usuario es aprovisionado con SCIM, son removidos de los grupos provisionados por LDAP. Esto puede impactar las reglas de políticas que se aplican.
Las reglas de aprovisionamiento que se aplican a los usuarios y grupos de usuarios cuando se cambia de LDAP a SCIM para AD local y Azure AD son las mismas que cambiar de aprovisionamiento LDAP a SCIM, detalladas arriba.
Los usuarios aprovisionados con SCIM deben tener una licencia SDP para ser identificados por Conciencia de Usuarios. Para identificar a los usuarios sin una licencia SDP, aprovisiónelos con LDAP. El usuario necesita autenticarse una vez para que puedan ser identificados.
En el Cliente Windows v 5.9 y posterior, no se requiere una licencia SDP y el usuario no necesita autenticarse una vez para ser identificado por el Agente de Identidad.
Estas son las reglas que se aplican a los usuarios y grupos de usuarios cuando cambias de aprovisionamiento SCIM a LDAP:
-
Los usuarios aprovisionados por LDAP no sustituyen a los usuarios aprovisionados por SCIM
-
Antes de cambiar, elimine todos los usuarios aprovisionados por SCIM del IdP. Esto deshabilita al usuario en la Aplicación de Gestión de Cato
-
-
Los grupos de usuarios aprovisionados por LDAP no sustituyen a los grupos de usuarios aprovisionados por SCIM
-
Antes de cambiar, elimine todos los grupos de usuarios aprovisionados por SCIM del IdP
-
-
Antes de cambiar, elimine a los usuarios y grupos de usuarios aprovisionados por SCIM de las políticas y elimínelos de la Aplicación de Gestión de Cato
0 comentarios
Inicie sesión para dejar un comentario.