Cet article explique comment utiliser l'application SCIM d'Azure pour synchroniser automatiquement les informations des utilisateurs et des groupes, et pour provisionner des utilisateurs et des groupes de l'ID Entra à votre compte Cato.
-
Créer et désactiver des utilisateurs dans l'Application de Gestion de Cato
-
Synchroniser les utilisateurs et les attributs d'Azure AD vers l'Application de gestion Cato
-
Authentification unique (SSO) à Azure
-
Les utilisateurs peuvent s'authentifier avec un e-mail ou un UPN, selon votre configuration Azure.
Assurez-vous que ces éléments sont prêts avant de créer l'application SCIM d'Azure :
-
Un locataire Entra ID
-
Autorisations Entra ID pour configurer l'approvisionnement des utilisateurs
-
La suppression d'un utilisateur de l'application IdP désactive l'utilisateur dans l'Application de gestion Cato (voir ci-dessous Suppression des utilisateurs ou groupes d'utilisateurs de l'application SCIM)
-
Pour les comptes qui utilisent la synchronisation LDAP pour les utilisateurs, lorsque vous activez l'approvisionnement SCIM, cette synchronisation est désactivée pour votre compte.
-
La synchronisation LDAP pour la Sensibilisation des Utilisateurs continue de fonctionner régulièrement et n'est pas impactée par l'approvisionnement SCIM.
-
-
L'approvisionnement de groupes imbriqués n'est pas pris en charge
-
La synchronisation SCIM remplace les groupes LDAP existants portant le même nom. Pour plus d'informations, consultez Comment la synchronisation SCIM remplace les groupes LDAP existants
-
Les utilisateurs approvisionnés par SCIM ne sont pas identifiés par la Sensibilisation de l'Utilisateur basée sur WMI. La Sensibilisation de l'Utilisateur avec SCIM est prise en charge en utilisant l'Agent d'identité Cato
-
L'approvisionnement à la demande ne prend pas en charge l'affectation des utilisateurs à un groupe d'utilisateurs
Cette section décrit comment planifier l'ID Entra pour synchroniser les utilisateurs avec votre compte Cato. Pour en savoir plus sur la planification de la synchronisation de l'utilisateur entre Azure et Cato, consultez ces articles de Microsoft :
Entra ID vous permet de définir les utilisateurs inclus dans la synchronisation des utilisateurs avec Cato selon l'une de ces méthodes :
-
Affecter des utilisateurs à l'application Entra ID
-
Filtrer les utilisateurs en fonction des attributs pour utilisateurs ou groupes
Dans le cadre du processus de planification de la synchronisation des utilisateurs avec Cato, nous vous recommandons de commencer par un petit groupe d'utilisateurs. Selon la méthode ci-dessus, vous pouvez :
-
Affecter quelques utilisateurs à l'application Entra ID
-
Créer un filtre de portée basé sur des attributs qui ne correspond qu'à quelques utilisateurs
Configuration de la synchronisation automatique des utilisateurs avec Cato à l'aide de l'application SCIM de Cato
Vous pouvez connecter Entra ID à votre compte Cato et synchroniser les utilisateurs entre eux. Ajoutez l'application SCIM de Cato dans la galerie Azure à votre compte, puis configurez les paramètres pour vous connecter à votre compte de Cato. Azure initie la synchronisation automatique des utilisateurs toutes les 40 minutes.
Vous pouvez ensuite définir les groupes et utilisateurs Entra ID qui sont synchronisés et activer l'approvisionnement automatique.
Le statut des utilisateurs dans votre Fournisseur d'identité (IdP) est automatiquement synchronisé avec votre compte Cato. Par exemple, lorsque vous désactivez des utilisateurs dans l'IdP, ils sont synchronisés avec votre compte Cato en tant que désactivés.
Note : Lorsque vous considérez le nombre total d'utilisateurs dans un groupe SCIM sur Azure par rapport au groupe SCIM de l'AMC, notez que vous aurez moins d'utilisateurs dans le groupe SCIM de l'AMC. Ceci est dû au fait que nous ne comptons pas les utilisateurs désactivés, qui ont soit été synchronisés et ont été ensuite désactivés, soit ont toujours été désactivés.
Configurez les paramètres de l'application SCIM de Cato depuis la galerie Azure, puis définissez l'application pour synchroniser automatiquement les utilisateurs vers Cato.
Dans l'Application de Gestion de Cato, activez l'Approvisionnement SCIM et copiez l'URL et le jeton dans la section des Informations d'Administrateur dans l'application SCIM de Cato.
Pour ajouter de nouveaux attributs à votre application existante, mettez à jour l'application SCIM.
Pour connecter l'Application de gestion Cato à l'application SCIM :
-
Depuis le portail Azure, accédez à Applications d'Entreprise.
-
Allez à Nouvelle application, recherchez l'application de Provisionnement Cato Networks, et cliquez sur Créer.
-
Dans l'Application de gestion Cato, depuis le menu de navigation, sélectionnez Accès > Services d'annuaire et cliquez sur l'onglet SCIM.
-
Sélectionnez Activer la provision SCIM pour configurer votre compte pour se connecter à l'application SCIM.
-
Cliquez sur Sauvegarder.
-
Copiez et collez l'URL SCIM et le jeton dans un fichier texte vierge.
-
Dans URL de base, cliquez sur l'icône de copie
pour copier l'URL SCIM vers le presse-papiers et ensuite collez-le dans le fichier texte.
-
Dans Jeton Porteur, cliquez sur l'icône de copie
-
-
Dans Azure, allez à la section Provisionnement pour l'application SCIM, et collez l'URL SCIM ainsi que le jeton.
-
Collez l'URL dans URL du locataire.
-
Collez le jeton dans Jeton Secret.
-
Cliquez sur Sauvegarder.
-
-
Dans Azure, cliquez sur Tester la connexion pour vous assurer qu'Azure AD peut se connecter à l'application SCIM de Cato.
-
Activez le provisionnement automatique dans l'application.
-
Dans le menu de navigation, sélectionnez Provisionnement.
-
Dans l'écran Provisionnement, cliquez sur Commencer.
-
Dans le menu déroulant Mode de provisionnement, sélectionnez Automatique.
-
Cliquez sur Sauvegarder.
-
-
Assignez des groupes et des utilisateurs à l'application.
Après que l'application SCIM de Cato peut se connecter à votre compte, activez le provisionnement automatique et sélectionnez les utilisateurs et groupes qui sont synchronisés.
Utilisez les étapes suivantes pour mettre à jour la liste des attributs et les mappages d'attributs pour une application SCIM Microsoft Entra ID existante afin que des attributs d'utilisateur supplémentaires soient provisionnés à Cato. Ceci est requis pour avoir accès aux derniers attributs utilisés par Cato, par exemple le Titre de poste et le Département.
Remarque
Note : Si l'application SCIM a été créée avant novembre 2025, vous devez créer une nouvelle application SCIM et configurer les attributs comme décrit ci-dessous.
Mettez à jour une application SCIM existante :
-
Depuis le portail Azure, allez à applications d'entreprise > Toutes les applications et sélectionnez votre application SCIM de Cato.
-
Cliquez sur Provisionnement puis sur Mappage des attributs.
-
Dans la page de Mappage des Attributs, cochez la case Afficher les options avancées et cliquez sur Modifier la liste des attributs pour <appName>.
-
Ajoutez l'attribut et dans le menu déroulant Type, sélectionnez la valeur pertinente.
Répétez ce processus pour chaque attribut que vous souhaitez ajouter.
-
Cliquez sur Sauvegarder.
-
Dans la page de Mappage des Attributs, cliquez sur Modifier l'attribut.
-
Dans la page Modifier l'attribut, sélectionnez l'Attribut source et mappez-le à l'Attribut cible.
Par exemple, sélectionnez jobTitle comme source et mappez-le au titre dans la cible.
Répétez ce processus pour chaque attribut que vous ajoutez.
-
Cliquez sur Sauvegarder.
-
Provisionner des utilisateurs et des groupes sur le compte.
Après avoir configuré l'application SCIM de Cato, vous pouvez revoir le mapping des attributs de provisionnement SCIM entre Entra ID et l'Application de Gestion Cato.
|
Attribut Azure AD |
Attribut Utilisateur Cato |
Notes sur Utilisateur |
|---|---|---|
|
userPrincipalName |
nomUtilisateur |
Nom d'utilisateur pour utilisateur |
|
Coalesce([mail], [userPrincipalName]) |
emails[type eq "work"].value |
Adresse e-mail |
|
givenName |
nom.givenName |
Prénom |
|
surname |
nom.nomDeFamille |
Nom de famille |
|
telephoneNumber |
numérosTéléphone[type eq "work"].value |
Numéro de téléphone (y compris le préfixe) |
|
objectId |
externalId |
ID pour utilisateur (utilisé dans les events) |
|
Switch([IsSoftDeleted], , "False", "True", "True", "False") |
actif |
Lorsque vous désaffectez un utilisateur de l'application SCIM, l'utilisateur est supprimé temporairement avec les paramètres : "False", "True", "True", "False" |
|
onPremisesSecurityIdentifier |
onPremisesSecurityIdentifier |
|
|
dirSyncEnabled |
dirSyncEnabled |
|
|
jobTitle |
titre |
|
|
département |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department |
Dans l'IdP, définissez les groupes et utilisateurs qui sont synchronisés avec votre compte Cato. Après la synchronisation initiale, tous les utilisateurs sont ensuite créés dans l'Application de Gestion Cato et visibles sur la page Répertoire des Utilisateurs.
Vous pouvez alors attribuer des licences SDP aux utilisateurs, pour plus d'informations, voir Assignation de Licences ZTNA aux Utilisateurs.
L'Application de Gestion Cato génère des événements chaque fois que les utilisateurs et groupes sont bloqués parce qu'ils ne répondent pas aux exigences de la Politique de Connectivité du Client.
Chaque heure, l'Application de Gestion Cato envoie des alertes par e-mail qui résument les actions de provisioning SCIM (succès ou échec).
Le tableau suivant explique les différents événements.
|
Type d'Événement |
Action |
Description |
|---|---|---|
|
Provisionnement SCIM |
Succès |
L'action de synchronisation des utilisateurs ou des groupes à votre compte avec l'application SCIM a réussi. |
|
Provisionnement SCIM |
Échec |
L'application SCIM n'a pas réussi à synchroniser l'IdP avec votre compte. Le message de l'événement explique la raison de l'échec de synchronisation. |
|
Provisionnement SCIM |
Désactivé |
Un utilisateur désactivé dans l'IdP a été synchronisé et désactivé avec succès dans votre compte Cato. |
0 commentaire
Cet article n'accepte pas de commentaires.