Changement entre l'approvisionnement d'utilisateurs SCIM et LDAP

Cet article explique les considérations pour changer les méthodes d'approvisionnement entre SCIM et LDAP ou vice versa.

Vue d'ensemble

Cato utilise votre fournisseur d'identité (IdP) existant, qui est un service centralisé pour gérer les identités des utilisateurs, et supporte la capacité de provisionner et de synchroniser facilement les utilisateurs sur votre compte. L'IdP est intégré à votre compte Cato et importe et met à jour automatiquement les utilisateurs. Cela garantit que vous avez une source unique de vérité pour l'identité utilisateur et vous offre une identité utilisateur cohérente dans votre environnement. Pour plus d'informations sur le provisionnement des utilisateurs avec SCIM et LDAP, consultez Approvisionnement des utilisateurs avec SCIM et LDAP.

Cato supporte les méthodes suivantes pour importer et créer des utilisateurs :

  • Importer des utilisateurs depuis un IdP via SCIM

  • Importer des utilisateurs depuis un IdP via LDAP

  • Créer manuellement des utilisateurs dans l'application de gestion Cato

Pour plus d'informations sur la configuration de chaque méthode, consultez les articles sur Services d'annuaire.

Avantages de l'importation SCIM

  • La sensibilisation de l'utilisateur est supportée à partir de Windows Client v5.4 et supérieur et macOS Client v5.3 et supérieur. Pour plus d'informations, consultez Utilisation des agents d'identité Cato pour la sensibilisation de l'utilisateur.

  • Synchroniser immédiatement les utilisateurs de l'IdP vers votre compte Cato.

  • Les mises à jour ou les changements apportés aux appartenances de groupe ou aux profils d'utilisateurs sont mis à jour en quasi temps réel.

  • Intégrer l'IdP à votre compte Cato sans configurer de règles de pare-feu entrantes.

  • SCIM est largement supporté par les vendeurs IdP, et il est facile à intégrer avec votre compte.

Changer la façon dont les utilisateurs sont approvisionnés

Avant de changer la façon dont vos utilisateurs sont approvisionnés, il est important de comprendre l'impact sur les utilisateurs et les groupes d'utilisateurs.

Passer de l'approvisionnement LDAP à SCIM

Ce sont les règles qui s'appliquent aux utilisateurs et aux groupes d'utilisateurs lorsque vous changez de l'approvisionnement LDAP à SCIM :

  • Les utilisateurs approvisionnés par SCIM remplacent les utilisateurs approvisionnés par LDAP et les utilisateurs créés manuellement

    • Les utilisateurs sont identifiés comme correspondants en fonction de leur UPN ou email

      Remarque

      Remarque : Lorsque vous passez de LDAP à SCIM, suivez ces meilleures pratiques :

      1. Assurez-vous que les utilisateurs qui ont été approvisionnés avec LDAP :

        • Ont le même UPN ou adresse email que les utilisateurs à approvisionner avec SCIM

        • Sont des utilisateurs existants dans l'application de gestion Cato

      2. Si l'UPN ou l'adresse email est différente, des utilisateurs en double sont créés.

      3. Attribuer des licences SDP à Tous les utilisateurs SCIM. Cela évite que les utilisateurs perdent leurs licences SDP à mesure que leur approvisionnement passe de LDAP à SCIM.

      4. Si des utilisateurs en double sont créés par erreur, supprimez l'utilisateur en double de l'application de gestion Cato, mettez à jour l'adresse email dans votre IdP puis approvisionnez à nouveau l'utilisateur.

        • S'il y a plus d'un utilisateur avec le même ID d'objet ou UPN, l'utilisateur SCIM ne remplace pas l'utilisateur SCIM existant et un événement est déclenché.

  • Les groupes d'utilisateurs approvisionnés par SCIM remplacent les groupes d'utilisateurs approvisionnés par LDAP. Une fois que l'approvisionnement SCIM est activé, aucune mise à jour ne peut être effectuée sur les groupes d'utilisateurs approvisionnés par LDAP dans l'application de gestion Cato.

    • Les groupes d'utilisateurs sont identifiés comme correspondants en fonction de leur nom ou ID d'objet

    • S'il y a plusieurs groupes avec le même ID d'objet ou nom de groupe, le remplacement échoue. Nous recommandons de supprimer les groupes en double pour que le remplacement réussisse

    • Les utilisateurs sont retirés de tous les groupes d'utilisateurs approvisionnés par LDAP et sont assignés aux groupes d'utilisateurs provisionnés par SCIM

    • Par exemple :

      • 100 utilisateurs sont dans un groupe d'utilisateurs appelé R&D qui a été approvisionné avec LDAP

      • 10 utilisateurs sont dans un groupe d'utilisateurs appelé R&D qui a été approvisionné avec SCIM

      • Dans l'application de gestion Cato, le groupe d'utilisateurs R&D ne contient que les 10 utilisateurs approvisionnés avec SCIM

Pour passer progressivement du provisioning d'utilisateurs LDAP à SCIM :

  1. Dans le menu de navigation, cliquez sur Accès > Attribution de licences.

  2. Sélectionnez Assigner une licence SDP aux utilisateurs ou groupes sélectionnés.

  3. Depuis les listes déroulantes, sélectionnez Groupe système et Tous les utilisateurs SCIM.

    Cela empêche les utilisateurs de perdre leur licence SDP.

  4. Activez le provisioning SCIM. Pour plus d'informations, voir Provisionnement d'Utilisateurs avec SCIM.

    Les utilisateurs sont approvisionnés avec SCIM en suivant les règles décrites ci-dessus.

    Remarque : Après qu'un utilisateur est approvisionné avec SCIM, il est retiré des groupes provisionnés par LDAP. Cela peut avoir un impact sur les règles de politique qui sont appliquées.

Changement de l'approvisionnement de LDAP à SCIM Azure pour Azure AD hybride associé

Les règles d'approvisionnement qui s'appliquent aux utilisateurs et groupes d'utilisateurs lorsque vous passez de LDAP à SCIM pour l'AD local et Azure AD sont les mêmes que celles pour passer de l'approvisionnement LDAP à SCIM, décrites ci-dessus.

Les utilisateurs approvisionnés avec SCIM doivent avoir une licence SDP pour être identifiés par la sensibilisation utilisateur. Pour identifier les utilisateurs sans licence SDP, approvisionnez-les avec LDAP. L'utilisateur doit s'authentifier une fois pour être identifié.

Dans Windows Client v 5,9 et versions ultérieures, une licence SDP n'est pas requise et l'utilisateur n'a pas besoin de s'authentifier une fois pour être identifié par l'agent d'identité.

Changement de l'approvisionnement SCIM à LDAP

Ce sont les règles qui sont appliquées aux utilisateurs et groupes d'utilisateurs lorsque vous changez de l'approvisionnement SCIM à LDAP :

  • Les utilisateurs approvisionnés par LDAP ne remplacent pas les utilisateurs approvisionnés par SCIM

    • Avant de changer, retirez tous les utilisateurs approvisionnés par SCIM de l'IdP. Cela désactive l'utilisateur dans l'application de gestion Cato

  • Les groupes d'utilisateurs approvisionnés par LDAP ne remplacent pas les groupes d'utilisateurs approvisionnés par SCIM

    • Avant de changer, retirez tous les groupes d'utilisateurs approvisionnés par SCIM de l'IdP

  • Avant de changer, retirez les utilisateurs et les groupes d'utilisateurs approvisionnés par SCIM des politiques et supprimez-les de l'application de gestion Cato

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire