Approvisionnement des utilisateurs avec SCIM et LDAP

Cet article explique les considérations pour l'approvisionnement des utilisateurs avec SCIM et LDAP.

Aperçu

Cato exploite votre fournisseur d'identité (IdP) existant, qui est un service centralisé pour la gestion des identités des utilisateurs, et prend en charge la possibilité d'approvisionner et de synchroniser facilement les utilisateurs sur votre compte. L'IdP est intégré à votre compte Cato et importe et met à jour automatiquement les utilisateurs.

Cato supporte les méthodes suivantes pour approvisionner les utilisateurs et les groupes d'utilisateurs :

  • Importer des utilisateurs d'un IdP via SCIM et LDAP
  • Importer des utilisateurs d'un IdP via SCIM
  • Importer des utilisateurs d'un IdP via LDAP

Pour plus d'informations, consultez Changement entre le Provisionnement Utilisateur SCIM et LDAP.

Assigner des Licences

Une fois qu'un utilisateur ou un groupe d'utilisateurs est provisionné via l'une de ces méthodes, il peut être inclus dans n'importe quelle politique et recevoir une licence SDP. Par exemple, vous pouvez importer un utilisateur de SCIM et un autre utilisateur avec LDAP, et les deux peuvent recevoir une licence utilisateur distant. Pour plus d'informations, consultez Attribuer des Licences ZTNA aux Utilisateurs.

Ajout de Répertoires LDAP lorsque SCIM est Activé

Le nombre de répertoires SCIM configurés dans le CMA détermine si vous pouvez ajouter des répertoires LDAP :

  • Si un répertoire SCIM est configuré, vous pouvez ajouter plusieurs répertoires LDAP. Actuellement, il n'y a pas de limite connue au nombre de répertoires LDAP que vous pouvez ajouter.
  • Si deux répertoires SCIM ou plus sont configurés, vous ne pouvez pas ajouter de répertoires LDAP.

Pour ajouter un répertoire LDAP lorsque deux répertoires SCIM ou plus sont configurés, désactivez d'abord les répertoires SCIM jusqu'à ce qu'un seul répertoire SCIM reste configuré. Ensuite, ajoutez le répertoire LDAP.

Utilisation de SCIM et LDAP pour provisionner des utilisateurs

SCIM et LDAP peuvent être utilisés ensemble pour approvisionner les utilisateurs. Cependant, chaque utilisateur individuel doit être approvisionné exclusivement par SCIM ou LDAP, pas les deux. Cela garantit une source unique de vérité pour chaque utilisateur.

Si le même utilisateur est identifié comme étant approvisionné avec à la fois SCIM et LDAP, l'utilisateur approvisionné par SCIM remplace l'utilisateur approvisionné par LDAP. Cela signifie que l'utilisateur approvisionné par LDAP est retiré des groupes provisionnés par LDAP et ajouté aux groupes provisionnés par SCIM.

Le provisionnement SCIM est utilisé comme la source unique de vérité pour garantir un comportement cohérent. Cela peut influencer si les utilisateurs reçoivent l'accès prévu. Par exemple :

  • L'utilisateur John Doe est provisionné avec LDAP et membre d'un groupe qui a des sites de jeux bloqués par une règle de Pare-feu Internet
  • John Doe est ensuite provisionné avec SCIM, aucun groupe SCIM n'est dans la règle de Pare-feu Internet
  • L'utilisateur provisionné SCIM remplace l'utilisateur provisionné LDAP et John Doe est retiré du groupe d'utilisateurs qui bloque l'accès aux sites de jeux
  • John Doe n'est pas inclus dans la règle de Pare-feu Internet et peut accéder aux sites de jeux

Les utilisateurs sont identifiés comme une correspondance basée sur l'adresse e-mail ou UPN.

Utilisation de SCIM et LDAP pour provisionner des groupes d'utilisateurs

SCIM et LDAP peuvent être utilisés ensemble pour approvisionner des groupes d'utilisateurs. Cependant, chaque groupe d'utilisateurs individuel doit être approvisionné exclusivement par SCIM ou LDAP, pas les deux. Cela garantit une source unique de vérité pour l'identité des utilisateurs et assure une identité d'utilisateur cohérente dans votre environnement.

Si un groupe d'utilisateurs est approvisionné avec à la fois SCIM et LDAP, le groupe d'utilisateurs approvisionné par SCIM remplace le groupe d'utilisateurs approvisionné par LDAP. Si le groupe d'utilisateurs provisionné par LDAP contient des utilisateurs qui ne sont pas inclus dans le groupe d'utilisateurs provisionné par SCIM, ces utilisateurs sont supprimés du groupe d'utilisateurs dans l'application de gestion Cato. Cela peut avoir des implications pour garantir que vous fournissez aux utilisateurs l'accès prévu. Par exemple :

  • Le groupe d'utilisateurs de l'équipe financière est approvisionné avec LDAP et dispose de sites de jeux bloqués par une règle de pare-feu Internet. Il contient les utilisateurs suivants :

    • John Doe
    • Jane Phillips
    • Simon Thompson

  • Le groupe d'utilisateurs de l'équipe financière est ensuite approvisionné avec SCIM et contient les utilisateurs suivants :

    • John Doe
    • Jane Phillips
  • Le groupe d'utilisateurs provisionné SCIM remplace le groupe d'utilisateurs provisionné LDAP
  • Simon Thompson est retiré du groupe d'utilisateurs de l'équipe Finance et peut accéder aux sites de jeux

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire