Approvisionnement SCIM avec Okta

Cet article explique comment utiliser l'application SCIM Okta pour synchroniser automatiquement les utilisateurs de votre compte Okta vers votre compte Cato.

Capacités prises en charge

Cato Networks fournit une architecture de réseau sécurisé de nouvelle génération qui élimine la complexité, les coûts et les risques associés aux approches informatiques héritées basées sur des solutions ponctuelles disjointes. De la connexion unique (SSO) à l'approvisionnement d'utilisateurs, l'intégration Cato de Okta gère l'accès et les groupes d'utilisateurs tout au long du cycle de vie de l'utilisateur, y compris :

  • Créer et supprimer des utilisateurs dans l'Application de gestion Cato

  • Synchroniser utilisateurs et attributs de Okta vers l'Application de gestion Cato

  • Créer utilisateurs - Importer et créer des utilisateurs dans Okta depuis l'Application de gestion Cato

  • Mettre à jour les attributs utilisateur - Synchroniser les modifications d'attributs utilisateur depuis l'Application de gestion Cato vers Okta

  • Désactiver les utilisateurs

  • Pousser le groupe des administrateurs

  • Les utilisateurs peuvent s'authentifier avec email ou UPN selon votre configuration Okta.

Exigences

Assurez-vous qu'avant d'utiliser l'application Okta SCIM, vous avez les autorisations admin dans Okta pour configurer le provisionnement utilisateur.

Limitations Connues

  • Le provisionnement de groupes imbriqués n'est pas pris en charge

  • SCIM est pris en charge sur les comptes qui utilisent l'Email comme identifiant utilisateur uniquement (vous pouvez confirmer ce paramètre avec le Support Cato)

  • Vous pouvez provisionner les participants avec LDAP ou SCIM (pas les deux)

  • Supprimer un utilisateur de l'application IdP ne le supprime pas de l'Application de gestion Cato, il désactive l'utilisateur

  • La liaison de groupes n'est pas prise en charge

  • La synchronisation SCIM remplace les groupes LDAP existants avec le même nom. Pour plus d'informations, veuillez consulter Comment la synchronisation SCIM remplace les groupes LDAP existants

Configurer la synchronisation automatique des utilisateurs vers Cato

Vous pouvez utiliser l'application SCIM Cato disponible dans Okta pour connecter et synchroniser les utilisateurs de votre compte Okta à votre compte Cato. Dans l'application de gestion Cato, activez l'approvisionnement SCIM pour votre compte.

Dans votre compte Okta, ajoutez l'application SCIM Cato puis configurez les paramètres pour connecter votre compte Cato. Vous pouvez ensuite définir les groupes et utilisateurs Okta qui sont synchronisés et Okta démarre immédiatement la synchronisation automatique des utilisateurs.

Le statut des utilisateurs dans votre fournisseur d'identité (IdP) est synchronisé automatiquement avec votre compte Cato. Par exemple, lorsque vous désactivez des utilisateurs dans l'IdP, ils sont synchronisés avec votre compte Cato comme désactivés.

Remarque

Note : Si nécessaire, vous pouvez modifier la correspondance des attributs pour répondre aux exigences spécifiques de votre organisation. Voir ci-dessous, Découverte de Schéma.

Configurer l'Application de gestion Cato pour l'application SCIM

Dans l'application de gestion Cato, activez l'approvisionnement SCIM et copiez l'URL et le jeton dans un fichier texte. Vous saisirez ces paramètres dans l'application SCIM Cato que vous configurez dans votre compte Okta.

Pour connecter Application de gestion Cato à l'application SCIM :

  1. Dans l'Application de gestion Cato, au sein du menu de navigation, sélectionnez Accès > Services d'annuaire et cliquez sur l'onglet SCIM.

    SCIM.png

  2. Sélectionnez Activer le provisionnement SCIM pour connecter votre compte à l'application SCIM.

  3. Cliquez sur Sauvegarder.

  4. Copiez et collez l'URL SCIM et le token dans un fichier texte vierge.

    1. Dans URL de base, cliquez sur l'icône de copie copy.png pour copier l'URL SCIM dans le presse-papiers et collez ensuite dans le fichier texte.

    2. Dans Jeton Porteur, cliquez sur l'icône de copie copy.png pour copier le token de compte unique dans le presse-papiers et collez ensuite dans le fichier texte.

Ajouter l'application SCIM Cato dans Okta

Ajoutez l'application SCIM Cato depuis la boutique d'applications Okta, puis configurez l'application pour synchroniser automatiquement les utilisateurs avec Cato. Entrez l'URL de provisionnement SCIM et le jeton que vous avez copiés depuis l'application de gestion Cato.

Pour créer l'application SCIM Cato :

  1. Connectez-vous à votre compte Okta et accédez à la console d'administration.

  2. Dans la barre de menu, cliquez sur Applications > Applications.

    SCIM_Okta_AddApp.png

  3. Ajoutez l'application SCIM Cato à votre compte Okta :

    1. Cliquez sur Ajouter une application.

    2. Recherchez le Cato Provisionnement de Réseaux et sélectionnez l'application. L'aperçu de l'application s'ouvre dans une nouvelle fenêtre.

    3. Cliquez sur Ajouter. L'assistant Ajouter le provisionnement des réseaux Cato s'ouvre.

      Okta_GeneralSettings.png

    4. Entrez le Libellé de l'application et configurez les paramètres de l'application.

    5. Cliquez sur Suivant.

    6. Configurez les paramètres pour l'authentification de l'utilisateur et les identifiants.

      Okta_SSO_SWA.png

    7. Assurez-vous que Mettre à jour le nom d'utilisateur de l'application sur est défini sur Créer et mettre à jour.

    8. Cliquez sur Terminé. L'application Cato SCIM est ajoutée à votre compte.

  4. Cliquez sur l'onglet Provisionnement, et la fenêtre Intégration s'ouvre.

  5. Cliquez sur Configurer l'intégration API.

  6. Sélectionnez Activer l'intégration API.

    SCIM_Okta_Integratoin.png

  7. Configurez Okta pour intégrer votre compte Cato :

    1. Dans URL de base, collez l'URL que vous avez copiée de l'Application de gestion Cato.

    2. Dans Token API, collez le token que vous avez copié depuis l'Application de gestion Cato.

  8. Cliquez sur Tester les identifiants API pour vous assurer que l'application SCIM Cato peut se connecter à votre compte Cato.

  9. Cliquez sur Enregistrer.

Configuration de l'application SCIM pour le provisionnement

Configurez les paramètres de l'application SCIM pour approvisionner les utilisateurs à votre compte Cato. Pour plus d'informations sur les attributs SCIM, voir ci-dessous Découverte de Schéma.

Pour configurer l'application SCIM pour provisionner les utilisateurs :

  1. Dans la nouvelle application SCIM, cliquez sur l'onglet Provisionnement.

  2. Depuis la section Paramètres, sélectionnez Vers une application.

  3. Configurez les paramètres de Provisionnement vers l'application, cliquez sur Modifier.

  4. Sélectionnez Activer pour ces options :

    • Créer des Utilisateurs

    • Mettre à jour les attributs utilisateur

    • Désactiver les Utilisateurs

  5. Cliquez sur Enregistrer.

Mise à jour de l'application SCIM Cato pour Okta

De temps à autre, Cato ajoute des attributs à son schéma SCIM qui vous fournissent des informations plus détaillées sur vos utilisateurs. Pour avoir accès à ces attributs dans le CMA, vous devez mettre à jour l'application Cato dans Okta avec les nouveaux attributs et configurer les attributs inclus lors de la création et de la mise à jour des utilisateurs dans le CMA.

Pour mettre à jour l'application SCIM Cato :

  1. Naviguez vers Okta Admin Console > Applications > Application SCIM Cato Networks > Éditeur de Profil > Profil utilisateur pour l'application.

  2. Cliquez sur Ajouter un Attribut.

  3. Définissez les attributs que vous souhaitez ajouter comme suit :

    Quand la valeur du champ Obligatoire est Non, le champ est optionnel dans le CMA

    Nom d'Attribut (SCIM Cato)

    Nom Externe Okta

    Type de Donnée

    Requis

    Multi-Valide

    SCIM Schéma/Namespace

    titre

    titre

    Chaîne

    Non

    Non

    urn:ietf:params:scim:schemas:core:2.0:Utilisateur

    département

    département

    Chaîne

    Non

    Non

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Utilisateur

  4. Naviguez vers Okta Admin Console > Applications > Application SCIM Cato Networks > Provisionnement > Vers l'application.

  5. Sous Attributs utilisateur de l'application, activez les options Créer et Mettre à jour pour chaque attribut envoyé au CMA lorsque l'application SCIM traite une demande de création ou de mise à jour.

  6. Cliquez sur Enregistrer.

Synchronisation des utilisateurs VPN avec votre compte Cato

Après que l'application SCIM peut se connecter à votre compte, assignez les utilisateurs que vous synchronisez à Cato. Ensuite, vous pouvez continuer avec la section suivante pour ajouter des groupes à l'app.

Pour provisionner des utilisateurs individuels à votre compte Cato :

  1. Dans l'App SCIM de Cato, cliquez sur l'onglet Affectations.

    SCIM_Okta_Assign.png

  2. Assignez les personnes et groupes que vous ajoutez à l'application SCIM pour synchroniser avec votre compte Cato :

    1. Cliquez sur Affecter et sélectionnez Personnes.

    2. Pour la personne, cliquez sur Affecter.

    3. Cliquez sur Enregistrer et revenir.

    4. Répétez les étapes précédentes pour toutes les personnes ou groupes, puis cliquez sur Terminé.

    Les utilisateurs sont synchronisés depuis Okta vers votre compte Cato.

Synchronisation des groupes Okta avec votre compte Cato

Vous pouvez attribuer des groupes dans Okta avec des utilisateurs que vous synchronisez à Cato. Ensuite, créez ou assignez les Groupes Push d'Okta à l'application SCIM et l'application synchronise les groupes et les utilisateurs associés à votre compte Cato.

Note

Note : Les utilisateurs doivent être membres du groupe poussé et assignés à l'application Okta Cato OIN pour que leur appartenance au groupe se remplisse correctement dans l'application.

Pour provisionner des groupes Okta à votre compte Cato :

  1. Affectez les groupes que vous ajoutez à l'application SCIM pour synchroniser avec votre compte Cato :

    1. Dans la section Assignations, cliquez sur Affecter et sélectionnez Groupes.

    2. Pour le groupe, cliquez sur Affecter.

    3. Cliquez sur Enregistrer et revenir.

    4. Répétez les étapes précédentes pour tous les groupes, puis cliquez sur Terminé.

  2. Allez à la section Groupes poussés.

  3. Sélectionnez Groupes poussés > Trouver les groupes par nom.

  4. Entrez le nom pour le Groupe Push d'Okta et sélectionnez le groupe.

    SCIM_Okta_PushGroup.png

  5. Si vous devez ajouter plus de groupes poussés, cliquez sur Enregistrer et ajouter un autre, sinon cliquez sur Enregistrer. L'application synchronise les groupes et les utilisateurs associés à votre compte Cato.

Attribuer des Licences SDP

Dans l'IdP, définissez les groupes et les utilisateurs qui sont synchronisés avec votre compte Cato. Après la synchronisation initiale, tous les utilisateurs sont alors créés dans l'Application de Gestion de Cato et visibles sur la page Répertoire des Utilisateurs.

Vous pouvez ensuite attribuer des licences SDP aux utilisateurs, pour plus d'informations, voir Assignation de Licences ZTNA aux Utilisateurs.

Suppression des utilisateurs ou des groupes d'utilisateurs de l'application SCIM

Note

Important : Bien que les utilisateurs puissent être supprimés au sein de la CMA, nous recommandons de supprimer les utilisateurs ou les groupes d'utilisateurs provisionnés avec l'application SCIM directement depuis l'Application de gestion Cato.

Lorsque vous souhaitez supprimer des utilisateurs ou des groupes d'utilisateurs provisionnés sur votre compte Cato avec l'application SCIM, dissociez-les dans l'application. Les utilisateurs et les groupes d'utilisateurs sont automatiquement désactivés lors de la prochaine synchronisation de l'application SCIM avec votre compte.

Pour supprimer les utilisateurs ou les groupes d'utilisateurs synchronisés avec votre compte Cato :

  1. Dans l'application SCIM de Cato, dissociez les utilisateurs ou les groupes d'utilisateurs.

    Lors de la prochaine synchronisation, l'application SCIM désactive les utilisateurs ou les groupes d'utilisateurs dans votre compte Cato.

  2. (Facultatif) Après que les utilisateurs ou groupes sont désactivés, vous pouvez les supprimer de l'Application de gestion Cato.

    Cela peut prendre jusqu'à 15 minutes avant que vous puissiez supprimer manuellement des utilisateurs ou des groupes d'utilisateurs.

Les utilisateurs supprimés dans la CMA et non dans votre application SCIM, sont définitivement supprimés.

Découverte de Schéma

Vous pouvez utiliser les Affectations d'Attributs dans l'onglet Provisionnement de l'application pour configurer les attributs SCIM. Le paramètre Appliquer sur pour les attributs est Créer et mettre à jour.

Attribut

Attribut utilisateur VPN Cato

Nom d'utilisateur

nomUtilisateur

Configurer l'option email dans les paramètres de Activé pour l'application Okta

Prénom

givenName

user.firstName

Nom de famille

familyName

user.lastName

Email primaire

Email

user.email

Nom d'affichage

displayName

user.displayName

Téléphone principal

primaryPhone

Type d'attribut - expression

(user.primaryPhone != null && user.primaryPhone != '') ? user.primaryPhone : ''

Type de téléphone principal

primaryPhonetype

Type d'attribut - expression

(user.primaryPhone != null && user.primaryPhone != '') ? 'work' : ''

Intitulé du poste

titre

user.title

Service

service

user.department

Compréhension des événements pour le provisionnement SCIM

L'Application de Gestion de Cato génère des événements chaque fois que les utilisateurs et groupes sont bloqués parce qu'ils ne répondent pas aux exigences de la Politique de Connectivité du Client.

Chaque heure, l'Application de Gestion de Cato envoie des alertes par email qui résument les actions de provisionnement SCIM (succès ou échec).

Le tableau suivant explique les différents événements.

Type d'événement

Action

Description

Provisionnement SCIM

Réussite

L'action pour synchroniser les utilisateurs ou les groupes vers votre compte avec l'application SCIM a réussi.

Provisionnement SCIM

Échec

L'application SCIM n'a pas réussi à synchroniser l'IdP avec votre compte. Le message d'événement explique la raison de l'échec de la synchronisation.

Provisionnement SCIM

Désactivé

Un utilisateur désactivé dans l'IdP a été synchronisé avec succès et désactivé sur votre compte Cato.

Suppression d'un répertoire SCIM actif

Vous pouvez supprimer un répertoire SCIM de votre compte. Après avoir supprimé un répertoire, les modifications de ses utilisateurs et groupes ne sont plus synchronisées. Vous pouvez supprimer un répertoire même s'il a encore des utilisateurs actifs. Après suppression, ces utilisateurs ne sont plus associés au répertoire.

Pour supprimer un répertoire SCIM actif :

  1. Accédez à Accès > Services d'annuaire.

  2. Dans l'onglet SCIM, cliquez sur les trois points du répertoire que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la fenêtre de confirmation, cliquez sur Supprimer.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire