La section Paramètres du service d'annuaire vous permet de configurer les paramètres pour synchroniser les utilisateurs entre votre compte et les domaines LDAP, tels que Active Directory (AD).
Remarque
Note : Vous devez inclure dans la liste autorisée les adresses IP de l'Application de gestion Cato (CMA) qui est l'adresse IP source pour le service LDAP Cato, voir Utilisation des adresses IP Cato (vous devez être connecté pour voir cet article).
Voici le flux de travail pour utiliser les services de répertoire afin d'intégrer un domaine LDAP à votre compte Cato :
Lorsque vous ajoutez un domaine LDAP à votre compte, vous devez ajouter une connexion de service d'annuaire à la CMA. Chaque domaine et sous-domaine dans votre organisation nécessite une connexion distincte dans la fenêtre Paramètres du Service de Répertoire. Par exemple, si votre compte a les domaines sample.com, alpha.sample.com et example.com, alors vous devez créer trois connexions dans Paramètres du Service de Répertoire.
Pour le domaine Password, la longueur maximale d'un mot de passe est de 48 caractères.
Lorsque vous entrez les noms distingués (DNs) pour le domaine :
-
Le DN de connexion se réfère à l'objet dans la hiérarchie du répertoire LDAP pour l'administrateur
-
Le DN de base se réfère à l'objet dans la hiérarchie du répertoire LDAP pour les utilisateurs et groupes que l'administrateur synchronise avec Cato
Les modifications des utilisateurs LDAP sur le contrôleur de domaine peuvent déclencher un nombre élevé de modifications d'utilisateurs dans la CMA. Pour réduire le risque d'erreurs, vous pouvez choisir de limiter le nombre de modifications effectuées à chaque synchronisation de ces manières :
-
Empêcher la suppression ou la désactivation des utilisateurs : Vous pouvez limiter le nombre d'utilisateurs supprimés ou désactivés.
-
Prevent updating group membership: If an LDAP sync changes user group membership of 1500 or more users, Microsoft on-premise Active Directory may remove the users from the group. Pour éviter cela, vous pouvez personnaliser le nombre maximum d'utilisateurs pouvant changer d'adhésion au groupe d'utilisateurs lors d'une seule synchronisation. Pour plus d'informations, consultez Dépannage des erreurs de services de répertoire et de sensibilisation des utilisateurs
-
Mettre à jour les e-mails des utilisateurs : Vous pouvez limiter le nombre d'adresses e-mail utilisateur mises à jour.
Si la limite est dépassée, la prochaine synchronisation LDAP échouera et un événement avec le sous-type Services de Répertoire est créé.
Remarque
Remarque : Si un utilisateur est désactivé puis réactivé sur votre AD, il peut être nécessaire de désinstaller et de réinstaller le client Cato pour se connecter au réseau.
Si vous modifiez le chemin vers un Groupe dans votre contrôleur de domaine, vous devez également mettre à jour le DN de base dans la CMA.
Si vous n'actualisez pas le CMA vers le nouveau chemin, les groupes d'utilisateurs qui ont été déplacés ne sont plus inclus dans les synchronisations et sont supprimés. These User groups are no longer visible on the User Groups page. Les groupes d'utilisateurs supprimés sont encore visibles dans les politiques et marqués comme supprimés et la politique n'est pas appliquée au groupe d'utilisateurs. Les licences SDP sont supprimées des utilisateurs dans le groupe d'utilisateurs provisionné LDAP supprimé et ne peuvent plus se connecter au réseau. Si les utilisateurs doivent se connecter au réseau, il est nécessaire de leur réattribuer des licences SDP.
Pour ajouter un domaine à la CMA :
-
Depuis le menu de navigation, cliquez sur Accès > Services de Répertoire.
-
Depuis la section ou l'onglet LDAP, et cliquez sur Nouveau.
Le panneau Nouvelle Service de Répertoire s'ouvre.
-
Sélectionnez le Fournisseur LDAP.
Un seul fournisseur LDAP peut être sélectionné.
-
Dans la section Description de l'authentification LDAP, configurez le DN de connexion :
-
Pour un AD local, utilisez le nom distingué (DN) du compte AD
-
Pour un Azure AD, utilisez le nom principal de l'utilisateur (UPN) du compte AD
-
-
Entrez le DN de connexion et le DN de base.
-
Entrez le Mot de passe pour l'utilisateur CN que vous avez créé pour la connexion des services de répertoire.
-
Pour les domaines LDAP qui utilisent une connexion SSL, sélectionnez Chiffrement.
Le domaine est ajouté à la CMA. Configurez les contrôleurs de domaine pour le domaine.
-
Sélectionnez vos Paramètres de synchronisation des utilisateurs SDP.
Ajoutez le contrôleur de domaine (DC) associé au serveur LDAP au domaine des services de répertoire.
Pour les serveurs LDAP qui se trouvent derrière un site, vous pouvez ajouter le DC en utilisant l'adresse IP ou en tant qu'hôte défini pour un site (Réseau > Sites > {site name} > Paramètres du Site > Hôtes).
Pour les serveurs externes utilisant une adresse IP publique, vous pouvez définir le DC en utilisant une adresse IP ou le domaine.
Ajout à la liste autorisée des IPs Cato
Pour vous assurer que le trafic peut atteindre vos services AD, ajoutez à la liste autorisée les adresses IP figurant dans Utilisation des adresses IP Cato (vous devez être connecté pour voir cet article). Le trafic vers et depuis ces adresses IP est routé à l'intérieur du tunnel Cato.
Assurez-vous que les pare-feux ou dispositifs de routage sont configurés correctement pour les déploiements suivants :
-
Le DC se trouve derrière un site IPsec (au lieu d'un Socket)
-
Tout le trafic n'est pas routé vers le Socket
Pour ajouter un contrôleur de domaine :
-
Dans le menu de navigation du panneau Nouveau Service de Répertoire, cliquez sur Contrôleurs de Domaine.
-
Définissez les paramètres de connexion au DC en fonction de son emplacement :
-
Pour les DC sur un hôte défini derrière un site, sélectionnez Hôte Interne, puis sélectionnez l'hôte statique pour le serveur LDAP
-
Pour les DC qui utilisent une adresse IP interne, sélectionnez IP Interne et entrez l'adresse IP pour le DC
-
Pour les DC qui ne sont pas derrière un site, sélectionnez IP Externe ou Domaine, et entrez l'adresse IP ou le domaine pour le DC
-
-
Cliquez sur Ajouter.
-
Pour les déploiements avec plusieurs DC, répétez les étapes précédentes pour ajouter chaque DC.
-
Cliquez sur Enregistrer et fermer.
Après avoir défini le domaine et ajouté le contrôleur de domaine, nous vous recommandons de tester la connectivité entre le domaine et la CMA.
La CMA teste automatiquement la connectivité avec tous les contrôleurs de domaine pour le domaine et montre les résultats pour chaque contrôleur de domaine.
Si le test de connectivité échoue, consultez Dépannage des erreurs et problèmes des services d'annuaire et de la sensibilisation des utilisateurs pour des recommandations de dépannage.
Pour tester la connectivité au domaine :
-
Depuis la colonne Connexion pour le domaine, cliquez sur Tester la connexion. La CMA montre les résultats du test de connectivité.
Après avoir ajouté les DCs, configurez les paramètres qui définissent comment synchroniser les utilisateurs dans les groupes LDAP.
-
Si vous utilisez des services d'annuaire et que vous devez modifier le numéro de téléphone mobile d'un utilisateur pour MFA, modifiez uniquement le numéro de téléphone dans le répertoire LDAP
-
Sélectionnez les groupes LDAP qui sont synchronisés avec votre compte.
-
Activez ou désactivez automatiquement la synchronisation quotidienne des utilisateurs.
-
Définissez le comportement pour les utilisateurs supprimés du Groupe LDAP - pour les désactiver ou les supprimer de la CMA.
Sélectionnez les groupes LDAP à synchroniser dans votre compte.
Pour sélectionner les groupes AD qui sont importés dans votre compte :
-
Dans le panneau Nouveau service d'annuaire, cliquez sur Groupes d'utilisateurs.
-
Depuis le menu déroulant Sélectionner les groupes d'utilisateurs, sélectionnez les groupes que vous synchronisez avec votre compte.
Remarque : Si aucun groupe n'est sélectionné, l'ensemble de l'Active Directory est importé.
Configurez les paramètres de synchronisation pour ce domaine (voir ci-dessous).
Une fois les utilisateurs synchronisés dans votre compte, vous pouvez leur attribuer des licences SDP et appliquer des politiques qui sont appliquées où que l'utilisateur se connecte. Pour plus d'informations sur l'attribution des licences SDP, consultez Assignation des licences ZTNA aux utilisateurs.
Vous pouvez permettre à votre compte de se synchroniser automatiquement chaque jour avec l'annuaire LDAP, et de mettre à jour les groupes et les utilisateurs dans le CMA pour correspondre à ceux du Domaine.
Vous pouvez voir quels utilisateurs ont été importés et lesquels ont été créés manuellement dans la colonne Nom du répertoire - les utilisateurs importés apparaissent avec le nom de l'annuaire LDAP et les manuels apparaissent comme Manuel. Vous pouvez également filtrer par nom de répertoire, ou voir tous les utilisateurs ajoutés manuellement dans votre système.
Cato commence la synchronisation automatique quotidienne LDAP pour tous les comptes à 12h00 UTC. Cato effectue la synchronisation un compte à la fois, et cela peut prendre plusieurs heures pour compléter la synchronisation quotidienne de tous les comptes. Si l'option Synchronisation quotidienne des Groupes d'Utilisateurs est désactivée après 12h00, mais avant que Cato commence la synchronisation LDAP, alors la synchronisation automatique est ignorée jusqu'à la prochaine fenêtre temporelle où l'option est activée.
Remarque
Remarque : Pour les comptes avec plusieurs domaines, les paramètres de synchronisation doivent être identiques pour tous les domaines dans votre compte. Sinon, il peut y avoir des problèmes liés à des dépendances de confiance possibles entre les différents domaines.
Utilisateurs qui n'existent plus dans les Groupes du Service d'annuaire
Le paramètre Si l'utilisateur n'existe plus dans les Groupes du Service d'annuaire importés vous permet de définir le comportement de synchronisation lorsque des utilisateurs ou des groupes sont supprimés du serveur LDAP ou ont expiré ou ont été désactivés. Vous pouvez choisir parmi les options suivantes :
-
Désactiver - les utilisateurs sont désactivés et ne peuvent pas se connecter au Cato Cloud. L'utilisateur reste dans les groupes d'utilisateurs dont il était membre
-
Supprimer - les comptes utilisateurs sont retirés de la CMA, y compris des Groupes d'utilisateurs dont ils étaient membres
Lorsque des groupes ou des utilisateurs sont retirés du serveur LDAP, mais qu'ils sont utilisés par un objet ou une règle dans la CMA, voici le comportement de synchronisation :
-
Les utilisateurs sont désactivés plutôt que supprimés
-
Les groupes sont marqués comme n'étant plus synchronisés
-
Les groupes ou utilisateurs sont étiquetés comme Manuel au lieu de LDAP
-
Par défaut, le CMA empêche les comptes de supprimer ou de désactiver plus de 100 utilisateurs dans le cadre de la synchronisation LDAP. Au début de la synchronisation LDAP, si la synchronisation va supprimer ou désactiver plus de 100 utilisateurs (pour le paramètre par défaut), alors la synchronisation est annulée et une notification par e-mail est envoyée. Vous pouvez désactiver la prévention de suppression ou de désactivation d'utilisateurs, ou changer le nombre maximal d'utilisateurs supprimés par synchronisation LDAP.
Configurez les paramètres pour la synchronisation entre le domaine et votre compte Cato. Vous choisissez d'activer une synchronisation automatique quotidienne et le comportement lorsqu'un utilisateur est retiré d'un Groupe de service d'annuaire.
Pour configurer les paramètres de synchronisation pour un domaine :
-
Gérez les paramètres de synchronisation automatique :
-
Dans le panneau Nouveau service d'annuaire, sélectionnez Groupes d'utilisateurs.
-
Dans la section Groupes d'utilisateurs, sélectionnez pour activer ou désactiver Groupes d'utilisateurs de synchronisation quotidienne.
La bascule est verte lorsqu'elle est activée.
-
-
Définir le comportement Si l'utilisateur n'existe plus dans les groupes de services d'annuaire importés dans le domaine AD :
-
Désactiver l'utilisateur dans la CMA
-
Supprimer l'utilisateur de la CMA
-
-
(Optionnel) Personnaliser le paramètre pour Empêcher de supprimer plus de un nombre d'utilisateurs pendant la synchronisation LDAP :
-
Pour changer combien d'utilisateurs peuvent être supprimés pendant la synchronisation LDAP, dans utilisateurs, entrez le nombre maximum d'utilisateurs supprimés.
-
Pour supprimer la limite du nombre d'utilisateurs pouvant être supprimés lors de la synchronisation LDAP, désactivez
ce paramètre.
-
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Le domaine est configuré pour synchroniser les utilisateurs et les groupes avec votre compte.
Utilisez la fonction Synchroniser maintenant pour synchroniser manuellement les utilisateurs et les groupes entre le serveur AD et le CMA. Pour les comptes avec plusieurs domaines, le CMA synchronise tous les domaines simultanément car il peut y avoir des dépendances de confiance entre les domaines.
Même après avoir examiné les modifications candidates et cliqué sur Soumettre, toutes les modifications soumises ne sont pas nécessairement appliquées. Le CMA valide chaque modification avant de créer ou de mettre à jour les utilisateurs et les groupes. Par exemple, une modification peut échouer si un groupe Manuel avec le même nom existe déjà. Vous pouvez examiner les résultats de chaque modification traitée dans la page des Événements.
Remarque
Remarque : Il peut prendre quelques minutes à la page des Événements pour se mettre à jour avec les modifications.
Pour synchroniser manuellement les services d'annuaire pour tous les domaines :
-
Depuis le menu de navigation, cliquez sur Accès > Services d'annuaire.
-
Dans la section ou l'onglet LDAP, cliquez sur Synchroniser maintenant.
-
La fenêtre de Synchronisation LDAP Manuelle s'ouvre et affiche les modifications potentielles aux utilisateurs et groupes. Passez en revue les modifications et cliquez sur Soumettre.
-
Une page de confirmation indique que la demande a été soumise et inclut un lien vers la page des Événements, déjà filtré pour l'événement système pertinent et sous-type.
-
Si la synchronisation réussit, un événement système avec le sous-type Provisionnement LDAP est généré avec un message similaire à :
Utilisateur 'x' a été créé
-
Si la synchronisation échoue, un événement système avec le même sous-type est généré avec un message similaire à :
Échec de l'enregistrement de l'utilisateur
-
Si vous souhaitez à nouveau rechercher des modifications potentielles qui ont été soumises, recherchez les événements système avec le sous-type Services d'annuaire qui ont un message similaire à :
'x' modification(s) potentielle(s) ont été soumises
-
Dans l'exemple suivant, vous pouvez voir que 3 modifications potentielles ont été soumises manuellement.
Les modifications ont été soumises avec succès, et en vérifiant la page des Événements, vous pouvez voir que Jane Phillips a été créée avec succès :
Cependant, John Doe n'a pas pu être créé car un utilisateur créé manuellement avec cet email existe déjà dans le compte.
Vous pouvez supprimer des domaines et des contrôleurs de domaine lorsqu'ils ne sont plus nécessaires.
Remarque
Remarque : Lorsque vous supprimez un domaine ou un contrôleur de domaine, ses utilisateurs ne sont plus associés au domaine et sont étiquetés comme utilisateurs Cato. Si vous ajoutez les mêmes utilisateurs du même domaine ou d'un autre, ils sont dupliqués dans le système. Une fois comme utilisateurs Cato et une fois sous le domaine.
Pour supprimer un domaine :
-
Dans le menu de navigation, cliquez sur Accès > Services de Répertoire.
-
Dans la section ou l'onglet LDAP, dans la ligne du domaine, cliquez sur
.
-
Cliquez sur Enregistrer. Le domaine est supprimé de votre compte.
Pour supprimer un contrôleur de domaine :
-
Dans le menu de navigation, cliquez sur Accès > Services de Répertoire.
-
Dans la section ou l'onglet LDAP, modifiez le domaine.
Le panneau Modifier le Service de Répertoire s'ouvre.
-
Dans le menu de navigation du panneau Nouveau Service de Répertoire, cliquez sur Contrôleurs de Domaine.
-
Dans la ligne avec le DC, cliquez sur
-
Cliquez sur Appliquer puis cliquez sur Enregistrer. Le contrôleur de domaine est supprimé du domaine.
0 commentaire
Cet article n'accepte pas de commentaires.