Cet article discute de l'approvisionnement des utilisateurs à votre compte Cato avec le protocole SCIM.
SCIM définit une norme pour échanger des informations d'identité entre différents fournisseurs d'applications cloud. Par exemple, avec SCIM vous pouvez facilement créer, mettre à jour ou supprimer des données utilisateur à grande échelle dans votre compte Cato.
Les informations utilisateur sont synchronisées en toute sécurité de votre IdP vers Cato pour créer des utilisateurs. Tout changement apporté aux détails des utilisateurs dans l'IdP est reflété dans Cato en quasi temps réel. Par exemple, si un employé quitte une entreprise, son compte est supprimé de l'IdP de l'entreprise. Ce changement est synchronisé avec Cato et l'utilisateur est supprimé.
Vous pouvez voir quels utilisateurs ont été importés et quels utilisateurs ont été créés manuellement dans la colonne Nom du répertoire - les utilisateurs importés apparaissent avec le nom du répertoire SCIM et ceux créés manuellement apparaissent comme Manuel. Vous pouvez également filtrer par nom de répertoire, ou voir tous les utilisateurs ajoutés manuellement dans votre système.
Une fois qu'un utilisateur est approvisionné avec SCIM, il peut se voir attribuer une licence et être inclus dans des politiques.
Note
Note: Ajouter un nouveau fournisseur ou répertoire SCIM ne doit pas être utilisé pour migrer un répertoire existant. Pour des informations sur la migration des utilisateurs, consultez les articles dans cette section.
L'approvisionnement des utilisateurs avec SCIM présente ces avantages :
- Synchroniser immédiatement les utilisateurs de l'IdP vers votre compte Cato.
- Les mises à jour ou modifications de l'appartenance à un groupe ou des profils d'utilisateur sont mises à jour en temps quasi réel.
- Intégrer l'IdP à votre compte Cato sans configurer aucune règle de pare-feu entrant.
- SCIM est largement supporté par les fournisseurs IdP et est facile à intégrer à votre compte.
Ce processus explique comment les utilisateurs sont approvisionnés depuis votre IdP, puis se voient attribuer des licences et ajoutés à des politiques, afin qu'ils puissent se connecter en toute sécurité au réseau.
- Dans votre IdP, définissez les utilisateurs et/ou les groupes à provisionner sur Cato.
- Configurer la synchronisation automatique des utilisateurs avec Cato.
- Attribuer des licences aux utilisateurs requis.
- Appliquer des politiques aux utilisateurs.
Voici les IdP qui sont pris en charge pour l'approvisionnement des utilisateurs avec SCIM :
- Azure
- Okta
- One Login
- DTS
Pour plus d'informations sur la façon de configurer le provisionnement SCIM pour chaque fournisseur d'identité, consultez Approvisionnement des utilisateurs avec SCIM et Utiliser un fournisseur d'identité pour votre compte Cato.
Nous recommandons que vous attribuiez ou dissociiez des utilisateurs ou des groupes de l'application SCIM dans votre IdP. Cependant, il est également possible d'activer, de désactiver et de supprimer directement les utilisateurs et groupes provisionnés par SCIM à partir du CMA. Ces modifications sont synchronisées automatiquement avec le service SCIM.
Remarque
Note : Les utilisateurs désactivés ou supprimés dans le CMA qui ont été provisionnés avec SCIM de :
- Les ID Entra sont rétablis et activés lors du prochain cycle de provisionnement. Entra annule l'état désactivé ou supprimé et réactive automatiquement l'utilisateur.
- Okta
- Utilisateurs désactivés — restent désactivés. Okta préserve l'état désactivé lors de l'envoi des mises à jour. Réaffecter un utilisateur désactivé à l'application SCIM d'Okta échouera jusqu'à ce que l'utilisateur soit réactivé dans le CMA.
- Les utilisateurs supprimés — restent inactifs dans le service SCIM. Pour reprovisionner un utilisateur supprimé, dissociez l'utilisateur de l'application Okta et réassignez-le. L'utilisateur est réactivé dans le service SCIM et le CMA.
Lorsque vous souhaitez supprimer des utilisateurs ou groupes qui sont approvisionnés à votre compte Cato avec l'application SCIM, désattribuez-les dans l'application. Les utilisateurs et groupes sont automatiquement désactivés lors de la prochaine synchronisation de l'application SCIM avec votre compte.
Si vous supprimez ou modifiez les fournisseurs SCIM, assurez-vous de supprimer tous les utilisateurs ou groupes importés de l'application SCIM avant de supprimer la configuration de votre fournisseur SCIM de la CMA. Après la synchronisation de l'application SCIM, ces entités sont désactivées dans le CMA.
Lorsque vous désactivez ou retirez des utilisateurs provisionnés SCIM avec une licence ZTNA (SDP), la licence ZTNA est dissociée et disponible pour d'autres utilisateurs.
Reprovisionnement des groupes d'utilisateurs après suppression
Le comportement lors du reprovisionnement d'un groupe d'utilisateurs supprimé varie selon l'IdP :
- Entra ID : Reprovisionner un groupe d'utilisateurs supprimé le recrée, mais l'appartenance n'est pas restaurée. Pour restaurer l'appartenance, retirez le groupe de l'application Entra et réintégrez-le. L'appartenance est restaurée lors du prochain cycle de provisionnement.
- Okta : L'envoi d'un groupe d'utilisateurs supprimé depuis Okta échouera. Pour reprovisionner le groupe d'utilisateurs, retirez-le de l'application Okta et réaffectez-le. Cela restaure le groupe d'utilisateurs et son appartenance.
Vous pouvez supprimer un annuaire SCIM de votre compte. Après la suppression, les modifications apportées à ses utilisateurs et groupes ne sont plus synchronisées depuis l'IdP. Vous pouvez supprimer un répertoire même s'il a encore des utilisateurs actifs.
Note : Vous ne pouvez pas supprimer un annuaire SCIM utilisé pour l'authentification utilisateur SSO. Retirez l'annuaire de votre configuration d'authentification utilisateur avant de le supprimer.
Pour supprimer un annuaire SCIM :
- Dans le volet de navigation, allez à Accès > Services d'annuaire et cliquez sur l'onglet SCIM.
- À la fin de la ligne de l'annuaire SCIM, cliquez sur l'icône à trois points et sélectionnez Supprimer.
- Dans la fenêtre de confirmation, cliquez sur Supprimer.
Cet annuaire SCIM est supprimé de votre compte Cato. Les modifications futures de l'IdP pour cet annuaire ne seront plus synchronisées.
0 commentaire
Cet article n'accepte pas de commentaires.