Dépannage de la synchronisation et de l'approvisionnement SCIM

Vue d'ensemble

La synchronisation SCIM (System for Cross-domain Identity Management) et la mise à disposition des utilisateurs sont essentielles pour automatiser la gestion des identités et garantir un accès sécurisé et simplifié aux applications et aux ressources. Cependant, des défis peuvent survenir qui interrompent cette automatisation, entraînant potentiellement des problèmes d'accès ou des risques de conformité. Ce guide est conçu pour résoudre les problèmes courants de synchronisation et d'approvisionnement SCIM dans Cato et offrir des solutions efficaces pour les résoudre.

Symptômes

Les échecs liés à l'approvisionnement SCIM peuvent se manifester de plusieurs manières. Un administrateur peut remarquer les symptômes suivants :

  • Message d'erreur lors de l'activation de SCIM
  • Les utilisateurs ne sont pas provisionnés au CMA
  • Le test de connexion de l'IdP au CMA échoue
  • Les utilisateurs provisionnés n'arrivent pas à se connecter aux clients SDP
  • Utilisateurs dupliqués dans CMA

Causes possibles

Liste des causes possibles qu'ils vont essayer d'identifier lors du dépannage

  • Mauvaise configuration
  • Mauvaises informations d'identification de l'administrateur utilisées
  • Licences
  • Utilisateur dupliqué provisionné via IdP

Dépannage du problème

Avant de plonger dans les étapes de dépannage, le diagramme ci-dessous offre une vue d'ensemble de haut niveau de la façon dont fonctionne le provisionnement SCIM. Contrairement à LDAP, qui repose sur une approche par tirage, SCIM utilise un mécanisme de poussée pour envoyer directement les mises à jour des utilisateurs à l'application de gestion Cato (CMA).

Cato prend en charge le provisionnement SCIM pour les utilisateurs via Azure, Okta et One Login. Pour plus d'informations sur la configuration du provisionnement SCIM pour chaque fournisseur d'identité (IdP), voir Provisionner des utilisateurs avec SCIM. Ce guide se concentre spécifiquement sur le provisionnement SCIM avec Azure (Entra ID), mais les concepts de base et les techniques de dépannage sont également applicables à d'autres IdP.

Erreur lors de l'activation de SCIM

Lors de l'activation du SCIM dans le CMA, l'erreur suivante est observée : "Impossible d'activer le provisionnement SCIM. Veuillez contacter le support et vous référer à la configuration de l'ID de compte - Email".

Lorsque vous rencontrez cette erreur, veuillez contacter le support pour modifier le type d'ID utilisateur de votre compte.

Les utilisateurs ne sont pas provisionnés au CMA

Cette section montrera certaines des raisons courantes pour lesquelles les utilisateurs ne sont pas provisionnés au CMA.

Valider les informations d'identification de l'administrateur

  • Allez dans Application SCIM > Provisioning > Mettre à jour les informations d'identification.
  • Développez les informations d'identification de l'administrateur et cliquez sur Tester la connexion
     
  • Pour une intégration et un approvisionnement réussis avec CMA, vous devriez voir le résultat suivant.
  • Si le test de connexion échoue, référez-vous à Résolution des informations d'identification de l'administrateur pour savoir comment résoudre ce problème. 

Attributs obligatoires

  • Certaines attributs sont requis et obligatoires pour le provisionnement SCIM avec Microsoft Entra ID. Si l'un de ces attributs requis est manquant, le provisionnement des utilisateurs peut échouer ou l'utilisateur provisionné peut être incapable de se connecter.
  • La capture d'écran ci-dessous montre les champs obligatoires nécessaires pour que le provisionnement fonctionne.
  • Si le champ email est manquant, l'utilisateur sera toujours provisionné au CMA, mais ne pourra pas se connecter au client SDP.
  • Consultez la section Résolution des attributs obligatoires pour vérifier si cela est à l'origine du problème et comment le résoudre.

Utilisateurs/Groupes non affectés à l'application d'entreprise dans le portail Azure

Les utilisateurs et les groupes doivent être ajoutés à l'application de provisionnement Cato dans le portail Azure avant de pouvoir être synchronisés dans CMA. Cette section fournit des instructions étape par étape sur la façon de valider cela.

  • Allez dans Applications d'entreprise > Application de Provisionnement Cato > Utilisateurs & Groupes et vérifiez que l'utilisateur ou le groupe est répertorié.
  • Dans l'exemple ci-dessous, nous pouvons voir qu'un groupe et un utilisateur sont affectés à l'application "Cato Networks Provisioning—APJ T1 Lab".
  • Si l'utilisateur ou les groupes ne sont pas répertoriés sous votre application de provisionnement dans Azure, consultez Affectation des utilisateurs/groupes à l'application de provisionnement

Filtre de cadrage dans les utilisateurs/groupes

  • Vérifiez si des filtres de cadrage sont configurés pour les utilisateurs ou les groupes dans la configuration de provisionnement.
  • Accédez à Applications d'entreprise > Application de Provisionnement Cato > Provisioning > Mappings, puis sélectionnez le mappage utilisateur ou groupe.
  • Examinez les filtres de portée de l'objet source pour voir s'ils pourraient exclure l'utilisateur ou le groupe en question.
  • Si le provisionnement échoue en raison d'un filtre de cadrage, l'utilisateur/groupe sera ignoré et Azure indiquera un motif de l'échec.
  • Pour résoudre ce problème, consultez Résolution des filtres de cadrage dans les utilisateurs/groupes.

Les utilisateurs provisionnés échouent à se connecter au client SDP

  • Après avoir été provisionnés SCIM dans le CMA, les utilisateurs rencontrent l'erreur suivante lorsqu'ils tentent de se connecter via le client SDP, en particulier après avoir entré leur adresse email et leur sous-domaine.
  • Une cause possible de cet échec est un problème de licence
  • Consultez la section Résolution des problèmes de licence pour savoir comment vérifier si ce problème est lié à la licence et comment le résoudre.

Utilisateurs dupliqués dans CMA

Des utilisateurs en double avec la même adresse email peuvent apparaître dans le CMA. En général, un utilisateur est désactivé, tandis que l'autre a la licence SDP attribuée.

Consultez la section Résolution des utilisateurs en double dans le CMA pour la raison possible de cet incident et comment le résoudre.

Résolution des problèmes découverts

Résolution des informations d'identification de l'administrateur

  • Connectez-vous à votre CMA et accédez à Accès > Services d'annuaire > SCIM pour valider que l'URL de base est la même que l'URL du locataire configurée dans Azure.
  • Si l'URL de base est la même, essayez de générer un nouveau token.
  • Copiez le nouveau jeton avant de sauvegarder la configuration sur le CMA. Une fois cela fait, saisissez le nouveau jeton dans Azure et cliquez à nouveau sur Tester la connexion.

Résolution des attributs obligatoires

  • L'attribut email est obligatoire. Si ce champ est absent des informations utilisateur au sein du fournisseur d'identité (IdP), l'utilisateur sera toujours provisionné au CMA, mais son profil n'aura pas d'adresse email.
  • Lorsque le champ d'email est absent du profil de l'utilisateur, le système ne peut pas attribuer de licence SDP, ce qui empêche l'utilisateur de se connecter avec succès via le client SDP.

Affectation des utilisateurs/groupes à l'application de provisionnement

  • Pour affecter des utilisateurs ou des groupes à votre application de provisionnement, cliquez sur Ajouter un utilisateur/groupe, puis sélectionnez "Utilisateur et groupes."
  • Ensuite, le volet de droite apparaîtra pour vous permettre de sélectionner les utilisateurs/groupes respectifs à ajouter.
  • Facultativement, après avoir ajouté les Utilisateurs et Groupes à l'Application de Provisionnement, au lieu de patienter pour le cycle de provisionnement automatisé normal, vous pouvez provisionner manuellement ces utilisateurs/groupes dans CMA grâce à "Provision sur Demande."

    NOTE: Le provisionnement des groupes imbriqués n'est pas pris en charge

Résolution des filtres de cadrage dans les utilisateurs/groupes

  • Si un filtre de cadrage exclut l'utilisateur ou le groupe de manière involontaire :
    • Ajustez les critères du filtre de cadrage pour vous assurer qu'il inclut l'utilisateur/groupe.
    • Confirmez que la logique de vos filtres (ET/OU) correspond au comportement souhaité.
  • Pour plus de détails, consultez le document Microsoft - Ciblage des utilisateurs ou groupes à provisionner avec des filtres de cadrage.
  • Après avoir effectué les ajustements, relancez le provisioning à la demande pour vérifier que l'utilisateur/groupe est maintenant inclus.

Résolution du problème de licence

  • Accédez à Accès > Utilisateurs et cliquez sur Répertoire des utilisateurs. Validez si l'utilisateur a obtenu une licence SDP. La capture d'écran ci-dessous montre que l'utilisateur SCIM n'a pas de licence SDP attribuée.
  • Ensuite, accédez à Accès > Assignation de licence pour vérifier si l'option "Attribuer la licence SDP à tous les utilisateurs" est activée.
    • Si c'est le cas, vérifiez si le nombre total d'utilisateurs dépasse le nombre total de licences SDP.
    • Si le nombre d'utilisateurs dépasse les licences disponibles, veuillez contacter votre représentant commercial Cato pour explorer des options d'acquisition de licences SDP supplémentaires.
    • Si vous ne savez pas qui ils sont, n'hésitez pas à contacter le support.
  • Si l'option "Attribuer la licence SDP aux utilisateurs ou groupes sélectionnés" est sélectionnée, assurez-vous que les utilisateurs provisionnés SCIM sont inclus dans les groupes assignés.

Résolution des utilisateurs en double dans CMA

  • Lorsqu'un utilisateur est supprimé dans Azure, le système ajoute la valeur ObjectID à la valeur UPN et définit le statut actif de l'utilisateur sur faux. Cette action désactive l'utilisateur dans la base de données SCIM et met à jour la valeur UPN pour inclure ObjectID+UPN. Ce comportement est conforme à la documentation Microsoft.

  • Si le même utilisateur est recréé dans Azure utilisant la même adresse e-mail, un utilisateur en double sera créé dans la base de données SCIM ainsi que dans CMA avec un ObjectID différent. À ce stade, l'UPN pour les utilisateurs dupliqués sera différent. Dans ce scénario, l'utilisateur désactivé doit être supprimé dans CMA pour éviter les doublons.
  • Cato permet les utilisateurs avec des adresses e-mail dupliquées ; cependant, uniquement un utilisateur dupliqué peut recevoir une licence SDP. Il est important de noter que l'UPN et l'ObjectID doivent rester uniques dans tous les Services d'Annuaire SCIM.

Remarques et limitations

  1. Différents utilisateurs peuvent être provisionnés via SCIM et LDAP. Cependant, si un utilisateur est provisionné à la fois via SCIM et LDAP, le provisionnement SCIM prend le dessus. En conséquence, l'utilisateur est retiré des groupes provisionnés par LDAP et ajouté aux groupes provisionnés par SCIM. Pour plus de détails, consultez Provisionner des utilisateurs avec SCIM et LDAP
  2. Si vous envisagez de passer du provisionnement SCIM au provisionnement LDAP, lisez d'abord Passer du provisionnement SCIM au provisionnement LDAP pour garantir une transition en douceur.
  3. Bien que les utilisateurs et groupes puissent être supprimés dans le CMA, nous vous recommandons de supprimer les utilisateurs directement dans votre application SCIM. Consultez Suppression des utilisateurs ou des groupes de l'application SCIM pour des détails sur la manière correcte de procéder.

Création de dossiers pour le support Cato

Soumettez un ticket de support avec les résultats des étapes de dépannage ci-dessus. Veuillez inclure les informations suivantes dans le ticket :

  1. Description du problème et impact utilisateur
    • Une description claire du problème rencontré lors du provisionnement SCIM.
    • Un aperçu de la portée et de l'impact sur les utilisateurs concernés (par exemple, le nombre d'utilisateurs impactés, les messages d'erreur reçus, etc.).
  2. Statut de provisionnement vers CMA
    • Les utilisateurs concernés ont-ils été provisionnés avec succès au CMA ?
      • Sinon, l'examen des journaux peut offrir des informations supplémentaires et aider à identifier la cause sous-jacente du problème, facilitant ainsi un dépannage et une résolution plus poussés.
        • Connectez-vous à www.portal.azure.com. Allez dans Applications d'entreprise > Application de Provisionnement Cato > Provisioning
        • Cliquez sur "Journaux de provisioning" pour voir l'historique de provisioning.
        • Cliquer sur un provisioning spécifique ouvrira le volet "Détails du journal de provisioning" à droite. Ci-dessous, nous pouvons voir que la synchronisation pour cet objet a été ignorée car elle n'était pas assignée à l'application.
      • Veuillez également tenter un provisioning à la demande pour les utilisateurs impactés et inclure :
        • Une capture d'écran du résultat (message de réussite ou d'erreur)
        • Le timestamp exact du moment où le provisionnement à la demande a été effectué
  3. Connectivité au client SDP
    • Les utilisateurs provisionnés avec succès peuvent-ils se connecter au client SDP ? 
      • Si ce n'est pas le cas, veuillez fournir une capture d'écran de l'interface utilisateur du client montrant l'erreur lorsque l'utilisateur a essayé de se connecter
      • Fournissez les journaux du client en utilisant la fonctionnalité Enregistrer le problème.
  4.  
  5.  

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire