Approvisionnement SCIM avec OneLogin

Cet article explique comment utiliser l'application SCIM Cato de OneLogin pour synchroniser automatiquement les utilisateurs de votre compte OneLogin vers votre compte Cato.

Capacités supportées

Cato Networks offre une architecture de réseau sécurisé de nouvelle génération qui élimine la complexité, les coûts et les risques associés aux approches informatiques traditionnelles basées sur des solutions ponctuelles disjointes. De l'authentification unique (SSO) au provisionnement des utilisateurs, l'intégration Cato de OneLogin gère l'accès utilisateur et les groupes tout au long du cycle de vie de l'utilisateur, y compris :

Créer et supprimer des utilisateurs dans l'Application de gestion Cato
Synchroniser les utilisateurs et attributs de OneLogin vers l'Application de gestion Cato
Authentification Unique (SSO) vers OneLogin
Mettre à jour les attributs utilisateur
Désactiver des utilisateurs
Importer des utilisateurs
Importer des groupes (rôles OneLogin)

Exigences

Assurez-vous qu'avant de créer l'application SCIM personnalisée Cato, vous disposez des autorisations d'administration dans OneLogin pour configurer les applications et le provisionnement des utilisateurs.

Limitations Connues

Les utilisateurs supprimés de OneLogin sont désactivés dans l'Application de gestion Cato
Les rôles supprimés de OneLogin, les groupes correspondants ne sont PAS supprimés dans l'Application de gestion Cato
Les groupes imbriqués ne sont pas supportés
La synchronisation SCIM écrase les groupes LDAP existants avec le même nom. Pour plus d'information, consultez Comment la synchronisation SCIM écrase les groupes LDAP existants

Configurer l'application SCIM de Cato pour synchroniser automatiquement des utilisateurs vers Cato

Vous pouvez utiliser l'application SCIM Cato dans la bibliothèque d'applications de OneLogin, pour connecter et synchroniser les utilisateurs de votre compte OneLogin à votre compte Cato. Cette section explique comment configurer cette application SCIM, selon le flux de travail suivant :

Dans l'Application de gestion Cato, activer le provisionnement SCIM pour votre compte Cato
Ajouter l'application SCIM Cato à votre compte OneLogin
Configurer l'application pour se connecter à votre compte Cato
Définir les utilisateurs OneLogin synchronisés
Définir les rôles OneLogin synchronisés vers les groupes de votre compte Cato

Le statut des utilisateurs dans votre fournisseur d'identité (IdP) est automatiquement synchronisé avec votre compte Cato. Par exemple, lorsque vous désactivez des utilisateurs dans l'IdP, ils sont synchronisés avec votre compte Cato en tant que désactivés.

Configurer l'Application de gestion Cato pour l'application SCIM

Dans la Cato Management Application, activez le provisioning SCIM et copiez l'URL et le jeton dans un fichier texte. Vous saisirez ces paramètres dans l'application SCIM Cato que vous configurez dans votre OneLogin

compte.

Pour connecter Application de gestion Cato à l'application SCIM

Dans la Cato Management Application, à partir du menu de navigation, sélectionnez Access > Directory Services et cliquez sur l'onglet SCIM.
Sélectionnez Activer le Provisionnement SCIM pour configurer votre compte pour se connecter à l'application SCIM.
Cliquez sur Sauvegarder.
Copier et coller l'URL SCIM et le token vers un fichier texte vierge.
1. Dans URL de base, cliquez sur l'icône copier pour copier l'URL SCIM dans le presse-papiers, puis collez-la dans le fichier texte.
2. Dans Jeton Porteur, cliquez sur l'icône copier pour copier le token unique du compte dans le presse-papiers, puis collez-le dans le fichier texte.

Ajout de l'application SCIM Cato

Vous pouvez ajouter l'application SCIM Cato à votre compte OneLogin, et l'utiliser pour approvisionner des utilisateurs de votre compte OneLogin à votre compte Cato.

Pour ajouter l'application SCIM Cato à votre compte OneLogin :

Pour ajouter l'application SCIM de Cato à votre compte OneLogin :

Depuis votre tableau de bord administrateur OneLogin, cliquez sur Applications > Applications.
Cliquez sur Ajouter une application.
Recherchez l'application Cato Networks, puis cliquez sur l'application Cato Networks avec SAML2.0, provisioning.
Dans la fenêtre Liste d'applications / Ajouter Cato Networks, entrez le Nom d'affichage de l'application et cliquez sur Enregistrer.

Le message indique que l'application a été ajoutée avec succès à votre compte.

Configurer l'application SCIM pour se connecter à votre compte

Configurez les paramètres dans les sections Configuration et Provisionnement de l'application afin qu'elle puisse se connecter à votre compte Cato. Vous devez entrer l'URL et le jeton que vous avez copiés de la Cato Management Application dans Configurer la Cato Management Application pour l'application SCIM ci-dessus.

Pour configurer l'application SCIM pour se connecter à votre Cato compte :

Depuis le volet de navigation de l'application, cliquez sur Configuration.
Dans la section Connexion API, configurez OneLogin pour intégrer votre compte :
1. Dans URL de base SCIM, collez l'URL que vous avez copiée depuis l'Application de gestion Cato.
2. Dans Jeton Porteur SCIM, collez le token que vous avez copié depuis l'Application de gestion Cato.
Dans Statut de l'API, cliquez sur Activer.
Cliquez sur Sauvegarder.
À partir du volet de navigation, cliquez sur Provisionnement.
Configurez ces paramètres de provisionnement pour l'application :
1. Sélectionnez Activer le provisionnement.
2. (Optionnel) Configurez les paramètres de besoin de l'approbation de l'administrateur avant que cette action soit effectuée :
3. Dans Lorsque des utilisateurs sont supprimés dans OneLogin, ou que l'accès de l'utilisateur à l'application est supprimé, effectuez l'action ci-dessous, sélectionnez Suspensionner.
4. Assurez-vous que le lien Rafraîchir dans la section Droits est cliquable.
Cliquez sur Enregistrer.

Les paramètres pour l'application SCIM Cato sont configurés et l'application est prête à se connecter à votre compte Cato.

Synchronisation des Utilisateurs VPN vers votre compte Cato

Après que l'application SCIM puisse se connecter à votre compte, assignez les utilisateurs que vous synchronisez à Cato. Ensuite, vous pouvez continuer avec la section suivante pour ajouter des groupes à l'application.

Pour provisionner des utilisateurs individuels à votre compte Cato :

Depuis le menu du haut, sélectionnez Utilisateurs > Utilisateurs.
Sélectionnez l'utilisateur que vous assignez à l'application SCIM.
Depuis le volet de navigation pour l'utilisateur, sélectionnez Applications.
Assignez l'application SCIM à l'utilisateur :
1. Cliquez sur le bouton plus pour ajouter une nouvelle application à l'utilisateur.
2. Dans la fenêtre Assigner une nouvelle connexion à, depuis le menu déroulant Sélectionner l'application, sélectionnez l'application SCIM.
3. Cliquez sur Continuer.
4. Dans la fenêtre pop-up, cliquez sur Sauvegarder.
  
  L'application SCIM est assignée à l'utilisateur.
Cliquez sur Enregistrer l'utilisateur. Les paramètres pour cet utilisateur sont mis à jour.
Répétez les étapes 4 et 5 ci-dessus pour chaque utilisateur que vous provisionnez sur votre compte Cato.

Pour afficher les utilisateurs qui sont assignés à l'application SCIM, allez à l'application SCIM et depuis le volet de navigation de l'application, sélectionnez Utilisateurs.

Synchronisation des rôles OneLogin vers votre compte Cato

Vous pouvez assigner des rôles dans OneLogin avec des utilisateurs que vous synchronisez avec Cato. Vous pouvez choisir d'ajouter manuellement des utilisateurs à ce rôle.

Pour chaque rôle, créez une règle qui connecte le rôle à l'application. Ensuite, assignez le rôle à l'application et les rôles et leurs utilisateurs associés sont synchronisés vers de nouveaux groupes dans votre compte Cato.

Pour provisionner des rôles OneLogin à votre compte Cato :

Depuis le menu du haut, sélectionnez Utilisateurs > Rôles.
Sélectionnez le rôle que vous assignez à l'application SCIM.
(Optionnel) Assignez manuellement des utilisateurs au rôle :
1. Depuis le menu de navigation dans le rôle, sélectionnez Utilisateurs.
2. Dans Vérifiez l'existence ou ajoutez de nouveaux utilisateurs à cette règle, entrez le nom d'utilisateur que vous ajoutez à l'application.
3. Cliquez sur Vérifier, la fenêtre montre l'utilisateur.
4. Cliquez sur Ajouter au Rôle. L'utilisateur est ajouté à la section Utilisateurs ajoutés manuellement.
Créez une règle pour connecter le rôle à l'application SCIM.
1. Depuis le menu supérieur, cliquez sur Applications > Applications puis ouvrez l'application SCIM.
2. Depuis le volet de navigation de l'application, sélectionnez Règles.
3. Cliquez sur Ajouter une règle.
4. Dans la fenêtre Nouvelle correspondance, entrez un Nom pour la règle.
5. Dans la section Actions, sélectionnez Définir des groupes dans <nom de l'application>. La capture d'écran ci-dessus montre l'option comme Définir des groupes dans l'application SCIM Cato d'exemple.
6. Depuis le menu déroulant Pour chacun, sélectionnez le rôle.
7. Entrez la valeur qui correspond au nom du rôle. La capture d'écran ci-dessus montre le nom du rôle rôle d'exemple.
8. Cliquez sur Sauvegarder. La règle est ajoutée à l'application.
9. Cliquez sur Sauvegarder. La règle connectant le rôle à l'application est enregistrée dans l'application.
Assignez l'application SCIM au rôle.
1. Depuis le menu de navigation dans le rôle, sélectionnez Applications.
2. Cliquez sur le bouton plus pour afficher les applications dans votre compte OneLogin.
3. Sélectionnez l'application SCIM de Cato et cliquez sur Sauvegarder. L'application est ajoutée au rôle.
L'application SCIM synchronise les rôles de OneLogin avec votre compte Cato.

Suppression des utilisateurs ou des groupes de l'application SCIM

Important

Important : N'effacez pas les utilisateurs ou les groupes qui sont provisionnés avec l'application SCIM directement depuis la Cato Management Application. Vous devez d'abord les désassigner dans l'application SCIM.

Lorsque vous souhaitez supprimer des utilisateurs ou des groupes provisionnés sur votre compte Cato avec l'application SCIM, dissociez-les dans l'application. Les utilisateurs et groupes sont automatiquement désactivés lors de la prochaine synchronisation de l'application SCIM avec votre compte.

Pour supprimer des utilisateurs ou des groupes synchronisés vers votre compte Cato :

Dans l'application SCIM de Cato, désassigniez les utilisateurs ou les groupes.

Lors de la prochaine synchronisation, l'application SCIM désactive les utilisateurs ou les groupes dans votre compte Cato.
(Optionnel) Après que les utilisateurs ou groupes soient désactivés, vous pouvez les supprimer de l'Application de gestion Cato.

Attribuer des licences ZTNA

Dans l'IdP, définissez les groupes et utilisateurs qui sont synchronisés sur votre compte Cato. Après la synchronisation initiale, tous les utilisateurs sont alors créés dans l'Application de gestion Cato et visibles sur la page Annuaire des utilisateurs.

Vous pouvez alors attribuer des licences ZTNA aux utilisateurs, pour plus d'informations, consultez Assignation de Licences ZTNA aux Utilisateurs.

Comprendre les événements de provisionnement SCIM

La Cato Management Application génère des événements chaque fois que des utilisateurs et des groupes sont bloqués car ils ne répondent pas aux exigences de la Politique de Connectivité des Clients.

Chaque heure, la Cato Management Application envoie des alertes par email qui résument les actions d'approvisionnement SCIM (succès ou échec).

Le tableau suivant explique les différents événements.

Type d'événement	Action	Description
Provisionnement SCIM	Réussite	L'action de synchroniser les utilisateurs ou les groupes avec votre compte via l'application SCIM a réussi.
Provisionnement SCIM	Échec	L'application SCIM n'a pas réussi à synchroniser l'IdP avec votre compte. Le message d'événement explique la raison de l'échec de la synchronisation.
Provisionnement SCIM	Désactivé	Un utilisateur désactivé dans l'IdP a été synchronisé avec succès et désactivé dans votre compte Cato.