Dépannage de provisionnement SCIM

Vue d'ensemble

Le provisionnement SCIM est une fonctionnalité de services d'annuaire d'un fournisseur d'identité (IdP) utilisée pour provisionner les utilisateurs dans l'application de gestion Cato (CMA). Être incapable de terminer ce provisionnement signifie que les utilisateurs ne seront pas ajoutés à la CMA. Ce guide a pour but de fournir des conseils sur le dépannage des problèmes liés au processus de provisionnement SCIM. 

Symptômes

Les problèmes avec le provisionnement SCIM peuvent se manifester de plusieurs façons. Un administrateur peut noter les symptômes suivants :

  • Le provisionnement SCIM ne peut pas être activé
  • Aucun utilisateur ne peut être ajouté à la CMA via le provisionnement SCIM
  • De nouveaux utilisateurs sont ajoutés à la CMA, mais ne fonctionnent pas correctement
  • Des utilisateurs supplémentaires ne peuvent pas être ajoutés à la CMA via le provisionnement SCIM
  • Les utilisateurs SCIM ont été mis à jour, mais les changements ne sont pas reflétés dans la CMA

Causes possibles 

Les causes suivantes sont possibles et peuvent être identifiées lors du dépannage

  • Le compte ne respecte pas les exigences pour le provisionnement SCIM
  • Il y a un décalage de références entre le fournisseur d'identité IdP et la CMA
  • Des attributs manquent dans l'IdP et ne peuvent pas être propagés à la CMA
  • Il y a des licences insuffisantes pour provisionner les utilisateurs
  • Les groupes dans l'IdP ne sont pas assignés à l'application
  • L'utilisateur ou le groupe n'est pas correctement ciblé dans l'application de provisionnement
  • Les utilisateurs ou groupes requis sont imbriqués dans l'IdP
  • L'utilisateur ou le groupe n'a pas mis à jour les champs concernés de l'application de provisionnement à la CMA

Dépannage 

Les étapes pour résoudre les symptômes qu'un administrateur peut rencontrer sont listées ci-dessous. Ces étapes visent à identifier les causes possibles pour les problèmes rencontrés. Les étapes de résolution seront mises en avant plus tard dans le guide.

Dépannage : le provisionnement SCIM ne peut pas être activé

Assurez-vous que le compte respecte les exigences pour le provisionnement SCIM

Lors de la tentative d'activation du SCIM, notez le message d'erreur affiché. Dans ce cas, "Impossible d'activer le provisionnement SCIM. Veuillez contacter l'assistance et vous référer à la configuration ID de compte - Email"

Impossible d'activer.png

Dépannage initial L'échec du provisionnement SCIM pour ajouter des utilisateurs à la CMA

Confirmer que les références sont correctes dans l'application de provisionnement

Accédez à l'application SCIM > Provisionnement > Provisionnement > Références administratives, appuyez sur Tester la connexion et examinez le message d'erreur :

Tester le Provisionnement.png

Vérifier les licences disponibles

Consultez les événements pour le compte sous Surveillance > Événements appliquez un filtre : Type d'événement est Système et vérifiez les événements dont le Sous-type est licence SDP

Licences insuffisantes.png

Dépannage nouveaux utilisateurs ajoutés à la CMA mais ne fonctionnent pas correctement

Confirmer que les attributs sont correctement remplis dans la CMA

La CMA ne peut pas attribuer de licences aux utilisateurs qui n'ont pas l'attribut email obligatoire.

Vérifiez l'entrée des utilisateurs dans Accès > Utilisateurs > Annuaire des utilisateurs et confirmez que le champ E-mail a du contenu valide.

Pas d'email.png

 

Consultez les événements pour le compte sous Surveillance > Événements appliquez un filtre : Type d'événement est Système

Échec d'assignation de licence.png

 

Vérifier les licences disponibles

Consultez les événements pour le compte sous Surveillance > Événements appliquez un filtre : Type d'événement est Système et vérifiez les événements dont le Sous-type est licence SDP

Licences insuffisantes.png

 

Dépannage additionnels les utilisateurs ne peuvent pas être ajoutés à la CMA via le provisionnement SCIM

Vérifiez où les utilisateurs ou groupes ne sont pas présents dans la CMA

Si vous ne voyez pas les utilisateurs ou groupes attendus dans la CMA sous Accès > Utilisateurs > Annuaire des utilisateurs ou Accès > Groupes d'utilisateurs.

Pour l'Annuaire des utilisateurs vous pouvez filtrer par Source SCIM

Source SCIM.png

 

Pour Groupes d'utilisateurs voir Type : Défini par SCIM.

Groupes définis par SCIM.png

 

Vérifiez la raison d'un échec de provisionnement à l'aide de la fonctionnalité de provisionnement à la demande

Dans l'application de provisionnement, vous pouvez confirmer la portée d'un utilisateur en utilisant la fonctionnalité Provisionnement à la demande. Accédez à Applications d'entreprise > Application de provisionnement Cato > Provisionnement > Provisionnement à la demande entrez les détails des utilisateurs et appuyez sur Provisionner.

Une fois l'échec survenu, vous pouvez voir les détails de l'action ignorée

Département de l'utilisateur dans le champ.png

Dans ce scénario, nous pouvons voir que l'utilisateur fait partie du département Brotherhood qui ne correspond pas à la règle de scoping 'No Mutants', qui a la clause département N'EST PAS ÉGAL à 'Brotherhood'

Mystique.png

Vérification des autres erreurs de provisionnement.

Il peut y avoir d'autres scénarios où le groupe ne fait pas partie de l'application, examinez le message présenté et identifiez la cause.

Dans ce cas, le groupe est actif et respecte le scoping mais est rapporté comme n'étant pas attribué à l'application :

Groupe dans le champ.png

Dépannage : les utilisateurs SCIM ont été mis à jour, mais les changements ne sont pas reflétés dans la CMA

Les utilisateurs peuvent avoir des attributs mis à jour dans l'application de provisionnement SCIM, mais cela n'est pas reflété lorsqu'une synchronisation de provisionnement est terminée.

Résolution des problèmes découverts

Résolution : le compte ne respecte pas les exigences pour le provisionnement SCIM

Vous devrez ouvrir un cas avec le support de Cato. Voir la section Ouvrir des cas avec le support de Cato ci-dessous. 

Résolution : il y a un décalage de références entre l'IdP et la CMA

Accédez à l'application SCIM > Provisionnement > Provisionnement > Références administratives. Assurez-vous que les références (URL du locataire et jeton) pour l'application sont valides. 

Les références sont disponibles dans la CMA sous Accès > Services d'annuaire > SCIM

SCIM Provisioning in CMA.png 

Cela peut être vérifié en appuyant sur le bouton Tester la connexion depuis l'application de provisionnement.

Tester le Provisionnement.png

 

Résolution : les attributs manquent dans l'IdP et ne peuvent pas être propagés à la CMA

Accédez à Applications d'entreprise > Application de provisionnement Cato > Provisionnement > Provisionnement > Mappings puis sélectionnez la Provision Microsoft Entra ID Utilisateurs dans la section Mapping des Attributs et confirmez que le nomPrincipalUtilisateur est mappé ainsi que l'adresse Email.

Mapping des Attributs.png

 

Résolution : il y a des licences insuffisantes pour provisionner les utilisateurs

Dans la CMA, allez à Administration > Licence > Utilisateurs et vérifiez qu'il y a suffisamment de licences pour provisionner le nombre d'utilisateurs que vous essayez d'ajouter. 

Licences dans la CMA.png

Si vous manquez de suffisamment de licences, veuillez désassigner/désactiver/supprimer les utilisateurs inactifs ou contacter votre équipe commerciale pour d'autres options de licence.

 

Résolution : Les groupes dans l'IdP ne sont pas assignés à l'application de provisionnement

Accédez à Applications d'entreprise > Application de provisionnement Cato > Utilisateur et Groupes et vérifiez que l'utilisateur/groupe est listé.

Groupes assignés.png

Si non présent, il peut être ajouté via le Bouton Ajouter utilisateur/groupe

Résolution : l'utilisateur ou le groupe n'est pas correctement ciblé dans l'application de provisionnement

Accédez à Applications d'entreprise > Application de provisionnement Cato > Provisionnement > Provisionnement > Mappings puis sélectionnez le mappage Utilisateurs ou Groupe. Vérifiez que les filtres de Portée des Objets Source incluent l'utilisateur/groupe concerné. 

Mappsing pour l'Application.pngChamp d'application de l'objet source.pngFiltre de Scoping de l'utilisateur.png

Remarque : Les filtres de scoping multiples utilisent la logique OU, tandis que plusieurs attributs au sein d'un filtre utilisent la logique ET.

Résolution : les utilisateurs ou groupes requis sont imbriqués dans l'IdP 

Confirmer que lors de l'ajout de groupes à l'application de provisionnement, ils sont ajoutés en tant qu'entrées individuelles et ne sont pas imbriqués dans d'autres groupes.

Fraternité Imbriquée.png
Assignation imbriquée.png

Résolution : Les utilisateurs SCIM ont été mis à jour, mais les changements ne sont pas reflétés dans la CMA

Lorsque une synchronisation est effectuée, confirmez que l'un des champs suivants pour l'utilisateur dans votre IdP a été mis à jour.
  • Email
  • UPN
  • Prénom
  • Nom de famille
  • Numéro de téléphone
 
Si le problème persiste, tentez de retirer l'utilisateur de votre IdP, si possible, puis vérifiez si l'utilisateur passe à l'état désactivé sur la CMA. 
 
Sinon, veuillez escalader au Support.

Lever des cas vers le Support Cato

Si suivre ce guide n'a pas résolu le problème, soumettez un ticket de support en utilisant cet article de la Base de Connaissances

Afin d'obtenir la réponse la plus utile à une demande, un administrateur devrait fournir les résultats des étapes de dépannage effectuées tout au long de l'utilisation de ce guide. Incluant par exemple :

  • Nom/Numéro de Compte
  • Détails du fournisseur IdP en utilisation
  • Captures d'écran de l'IdP contenant les UPN des utilisateurs pertinents
  • Détails des groupes d'utilisateurs de l'IdP

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire