Préparation à la migration vers SCIM (Partie 1)

Vue d'ensemble

La migration de la provision de l'utilisateur basée sur LDAP vers SCIM (Système pour la gestion d'identité multi-domaines) simplifie la gestion des identités et améliore l'intégration avec les fournisseurs d'identité modernes (IdP) tels que Microsoft Entra ID. Cet article offre aux administrateurs techniques un plan clair pour migrer la gestion existante des utilisateurs et des groupes des serveurs LDAP vers SCIM au sein de l'Application de Gestion Cato (CMA).

La migration exploite les données utilisateur existantes déjà synchronisées via LDAP et transfère les responsabilités de provision à SCIM, assurant ainsi une perturbation minimale et une efficacité opérationnelle améliorée. Ce guide utilise spécifiquement Microsoft Entra ID comme exemple d'IdP, détaillant la configuration nécessaire et les mappages de champs. Cependant, les principes et procédures décrits peuvent être facilement adaptés à d'autres IdP qui supportent SCIM.

Après que vous ayez terminé la préparation pour la migration vers le provisionnement SCIM, continuez avec :

  1. Test de provisionnement des utilisateurs (Partie 2)

  2. Migration de LDAP vers SCIM (Partie 3)

Prérequis

  1. Désactivez temporairement Always-On pour tous les utilisateurs que vous migrez.

  2. Ajouter le Groupe d'utilisateurs Tous SCIM à la page d'attribution de licence.

    La raison est que les utilisateurs pourraient être déconnectés du réseau pendant la migration.

  3. Vérifiez que le nombre d'utilisateurs à migrer ne dépasse pas le nombre de licences SDP assignées.

    S'il y a plus d'utilisateurs que de licences, priorisez la migration des groupes qui nécessitent des licences, puis retirez le groupe d'utilisateurs Tous les utilisateurs SCIM de la page d'assignation des licences avant de continuer avec le reste de la migration.

  4. Nettoyez le répertoire LDAP et supprimez tous les utilisateurs et groupes inutiles

  5. Mettez à jour le paramètre dans la synchronisation LDAP pour supprimer les utilisateurs plutôt que de les désactiver s'ils n'existent plus.

    1. Dans le CMA, accédez à Accès > Services d'annuaire et cliquez sur l'onglet LDAP.

    2. Sélectionnez le domaine LDAP, et dans la section Général, sélectionnez Désactiver.

      image1.png

  6. Vérifiez les groupes AD existants pour la présence de groupes imbriqués - Cato ne supporte pas les groupes imbriqués

  7. Trouvez des règles de pare-feu WAN ou Internet qui ont des groupes d'utilisateurs importants comme Source/Destination, et ajoutez le groupe d'utilisateurs Tous les utilisateurs à la règle.

    Veillez à annuler ce changement après la migration.

    1. Identifiez les règles où les utilisateurs ont été ajoutés individuellement et convertissez ces utilisateurs en groupes.

      Note : Ceci n'est pas une étape obligatoire, et cela dépend du temps d'arrêt - s'il est acceptable que les utilisateurs n'aient pas accès aux ressources pendant le temps de migration.

  8. Assurez-vous que les paramètres de groupe dans SCIM sont identiques à ceux du groupe LDAP. Par exemple, les utilisateurs du domaine LDAP ont le même groupe dans l'application SCIM

  9. Les attributs utilisateur et groupe tels que l'email, l'UPN, le prénom, le nom de famille doivent être identiques dans l'IdP (ex. : Entra ID, Okta) et LDAP (AD) pour éviter les échecs de mise à jour ou les objets en double.

  10. Si des modifications des emails ou d'autres attributs sont nécessaires dans le cadre de la migration, ces ajustements doivent être effectués soit avant, soit après la transition pour éviter des conflits dans le CMA.

    Nous vous recommandons fortement de respecter une période de gel des modifications pendant la migration.

  11. Des autorisations adéquates doivent être en place pour configurer l'application IdP.

  12. La validation des attributs utilisateurs et groupes avant la migration doit être effectuée à l'aide d'outils tels que PowerShell (par exemple) pour identifier et corriger tout écart entre les fournisseurs LDAP et SCIM avant le début de la maintenance.

  13. (Facultatif) Créez une exportation (ou des captures d'écran) des pages CMA impactées : les règles de pare-feu (Internet / WAN), les règles de Réseau, la politique Always-On, la politique de Connectivité client, le répertoire des utilisateurs et les groupes d'utilisateurs.

  14. Vérifiez la période de maintenance des services CMA afin qu'elle ne coïncide pas avec la fenêtre de maintenance réelle de la migration : https://status.catonetworks.com

Préparer la migration des utilisateurs

Voici la logique pour les utilisateurs provisionnés par SCIM dans votre compte Cato :

  • Les utilisateurs provisionnés par SCIM remplacent les utilisateurs provisionnés par LDAP et les utilisateurs créés manuellement. 

  • Les utilisateurs sont appariés sur la base de l'ID interne, l'ID d'objet, l'UPN ou l'email

Assurez-vous que les utilisateurs qui ont été provisionnés avec LDAP remplissent ces conditions :

  1. Les utilisateurs existants sont dans le CMA Accès > Utilisateurs > Répertoire utilisateur.

  2. Ont le même UPN ou adresse email que les utilisateurs qui seront provisionnés avec SCIM.

    1. Si l'UPN ou l'adresse email est différente, des utilisateurs en double seront créés.

    2. Si des utilisateurs en double sont créés par erreur, suivez ces étapes :

      1. Retirez l'utilisateur de l'application de provision Cato Network SCIM.

      2. Supprimez l'utilisateur en double du CMA.

      3. Mettez à jour l'adresse email dans l'IdP LDAP puis provisionnez à nouveau l'utilisateur.

  3. S'il y a plus d'un utilisateur avec le même ID d'objet ou UPN, l'utilisateur SCIM ne remplace pas l'utilisateur LDAP existant, et un événement est généré.

Préparer la migration des groupes d'utilisateurs

  1. Les groupes d'utilisateurs provisionnés par SCIM remplacent les groupes d'utilisateurs provisionnés par LDAP

  2. S'il y a plusieurs groupes avec le même ID d'objet ou nom de groupe, le remplacement échoue. Dans ce cas, nous recommandons de supprimer les groupes en double.

  3. Groupes d'utilisateurs pour LDAP - une fois que vous avez terminé la migration vers le provisionnement SCIM, les utilisateurs sont automatiquement retirés des groupes utilisateur LDAP et ajoutés aux nouveaux groupes utilisateur SCIM.

Exemple de migration de groupes d'utilisateurs : Si un utilisateur fait partie de plusieurs groupes d'utilisateurs, il restera actif sur les groupes d'utilisateurs migrés vers SCIM et sera temporairement retiré des groupes d'utilisateurs non encore migrés (marqués comme LDAP dans le CMA). Une fois que tous les groupes d'utilisateurs sont migrés vers SCIM, les utilisateurs seront réactivés dans ces groupes d'utilisateurs. Cela pourrait entraîner un temps d'arrêt pour certains utilisateurs lorsque des règles avec différents types de groupes d'utilisateurs (SCIM et LDAP) sont utilisées dans le CMA pour certaines applications, et les types de groupes d'utilisateurs ne font pas partie du même lot de migration.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire