अवलोकन
SCIM (क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट के लिए सिस्टम) सिंक्रोनाइज़ेशन और उपयोगकर्ता प्रावधान आवश्यक हैं पहचान प्रबंधन को स्वचालित करने और अनुप्रयोगों और संसाधनों तक सुरक्षित, सुव्यवस्थित पहुंच सुनिश्चित करने के लिए। हालांकि, चुनौतियाँ उत्पन्न हो सकती हैं जो इस स्वचालन को अवरोधित करती हैं, संभावित रूप से पहुंच समस्याओं या अनुपालन जोखिमों की ओर ले जाती हैं। यह प्लेबुक सामान्य SCIM सिंक और प्रावधान समस्याओं को संबोधित करने और उनके समाधान के लिए प्रभावी समाधान पेश करने के लिए डिज़ाइन की गई है।
लक्षण
SCIM प्रावधान में विफलताएं कई प्रकार से प्रकट हो सकती हैं। एक व्यवस्थापक निम्नलिखित लक्षण देख सकता है:
- SCIM सक्षम करते समय त्रुटि संदेश
- उपयोगकर्ता CMA में प्रावधान नहीं किए गए हैं
- IdP से CMA तक कनेक्शन टेस्ट विफल होता है
- प्रावस्थापित उपयोगकर्ता SDP क्लाइंट्स से जुड़ने में विफल होते हैं
- CMA में डुप्लिकेट उपयोगकर्ता
संभावित कारण
समस्या निवारण करते समय वे जिन संभावित कारणों की पहचान करने की कोशिश करेंगे उनकी सूची बनाएं
- गलत कॉन्फ़िगरेशन
- गलत व्यवस्थापक प्रमाण-पत्रों का उपयोग
- लाइसेंसिंग
- IdP के माध्यम से डुप्लिकेट उपयोगकर्ता प्रावधानित
समस्या का समाधान
समस्या निवारण चरणों में प्रवेश करने से पहले, नीचे दिए गए आरेख से SCIM प्रावधान कैसे काम करता है इसका उच्च स्तरीय अवलोकन मिलता है। LDAP, जिसमें एक पुल-आधारित दृष्टिकोण पर निर्भर करता है, के विपरीत, SCIM उपयोगकर्ता अपडेट को सीधे Cato प्रबंधन एप्लिकेशन (CMA) में पहुंचाने के लिए एक पुश तंत्र का उपयोग करता है।
Cato उपयोगकर्ताओं के लिए Azure, Okta, और One Login के माध्यम से SCIM प्रावधान का समर्थन करता है। प्रत्येक पहचान प्रदाता (IdP) के लिए SCIM प्रावधान को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें SCIM के साथ उपयोगकर्ताओं का प्रावधान। यह प्लेबुक विशेष रूप से Azure (Entra ID) के साथ SCIM प्रावधान पर केंद्रित है, लेकिन मुख्य अवधारणाएं और समस्या निवारण तकनीक अन्य IdPs पर भी लागू होती हैं।
SCIM सक्षम करने पर त्रुटि
CMA में SCIM सक्षम करते समय निम्न त्रुटि देखी जाती है,"SCIM प्रावधान सक्षम नहीं किया जा सकता। कृपया सहायता से संपर्क करें और खाता आईडी कॉन्फ़िगरेशन - ईमेल" का संदर्भ दें।
जब आप इस त्रुटि का सामना करते हैं, कृपया अपने खाते में उपयोगकर्ता आईडी प्रकार को संशोधित करने के लिए सहायता से संपर्क करें।
उपयोगकर्ता CMA में प्रावधानित नहीं हो रहे हैं
यह अनुभाग कुछ सामान्य कारण दिखाएगा कि उपयोगकर्ता CMA में प्रावधानित क्यों नहीं हो रहे हैं।
प्राप्तिकर्ता प्रमाण-पत्र मान्य करें
- SCIM एप्लिकेशन > प्रावधान > प्रमाण-पत्र अपडेट पर जाएं।
- एडमिन प्रमाण-पत्र विस्तार करें और कनेक्शन का परीक्षण करें पर क्लिक करें
- CMA के साथ सफल एकीकरण और प्रावधान के लिए आपको निम्नलिखित परिणाम देखना चाहिए।
- यदि परीक्षण कनेक्शन विफल हो जाता है, तो इसे हल करने का तरीका जानने के लिए एडमिन प्रमाण-पत्र हल करना देखें।
अनिवार्य विशेषताएँ
- कुछ विशेषताएं आवश्यक और अनिवार्य हैं Microsoft Entra ID के साथ SCIM प्रावधान के लिए। यदि इनमें से कोई भी आवश्यक विशेषता गायब है, तो उपयोगकर्ता प्रावधान विफल हो सकता है, या प्रावस्थापित उपयोगकर्ता कनेक्ट नहीं हो सकता है।
- नीचे दिए गए स्क्रीनशॉट में प्रावधान के लिए आवश्यक आवश्यक फ़ील्ड दिखाए गए हैं।
- यदि ईमेल फ़ील्ड अनुपलब्ध है, तो उपयोगकर्ता CMA में प्रावधानित हो जाएगा, लेकिन SDP क्लाइंट से कनेक्ट नहीं कर पाएगा।
- यह सत्यापित करने के लिए कि यह मुद्दा उत्पन्न कर रहा है या नहीं और इसे कैसे हल करें, देखें अनिवार्य विशेषता हल करना अनुभाग।
उपयोगकर्ता/समूह Azure पोर्टल में एंटरप्राइज़ एप्लिकेशन को असाइन नहीं किए गए हैं
उपयोगकर्ताओं और समूहों को CMA में सिंक किए जाने से पहले Azure पोर्टल में Cato प्रावधान एप्लिकेशन में जोड़ा जाना चाहिए। यह अनुभाग कैसे सत्यापित करें इस पर चरण-दर-चरण निर्देश प्रदान करता है।
- एंटरप्राइज़ एप्लिकेशन > Cato प्रावधान एप्लिकेशन > उपयोगकर्ता & समूह पर जाएं और सत्यापित करें कि उपयोगकर्ता या समूह सूचीबद्ध है।
- नीचे दिए गए उदाहरण में, हम देख सकते हैं कि 1 समूह और 1 उपयोगकर्ता "Cato Networks प्रावधान—एपीजे T1 लैब" एप्लिकेशन को असाइन किए गए हैं।
- यदि आपके प्रावधान एप्लिकेशन में Azure के अंतर्गत उपयोगकर्ता या समूह सूचीबद्ध नहीं हैं, तो देखें प्रावधान एप्लिकेशन को उपयोगकर्ताओं/समूहों को असाइन करना।
प्रयोग के उपयोगकर्ता/समूह
- प्रावधान सेटअप में उपयोगकर्ताओं या समूहों के लिए स्कोपिंग फिल्टर कॉन्फ़िगर किए गए हैं या नहीं इसकी जांच करें।
- एंटरप्राइज़ एप्लिकेशन पर जाएं > Cato प्रावधान एप्लिकेशन > प्रावधान > मैपिंग, फिर उपयोगकर्ता या समूह मैपिंग का चयन करें।
- स्रोत ऑब्जेक्ट स्कोप फ़िल्टर की समीक्षा करें ताकि यह देखा जा सके कि वे संबंधित उपयोगकर्ता या समूह को बाहर कर सकते हैं या नहीं।
- यदि स्कोपिंग फिल्टर के कारण प्रावधान विफल हो जाता है, तो उपयोगकर्ता/समूह को छोड़ दिया जाएगा, और Azure विफलता का कारण दिखाएगा।
- इसे ठीक करने के लिए, देखें उपयोगकर्ता/समूह में स्कोपिंग फिल्टर हल करना।
SDP क्लाइंट से कनेक्ट करने में असफल प्रावस्थापित उपयोगकर्ता
- CMA में SCIM प्रावधानित होने के बाद, उपयोगकर्ता SDP क्लाइंट के माध्यम से जुड़ने का प्रयास करते समय निम्न त्रुटि का सामना करते हैं, विशेष रूप से अपने ईमेल पते और उपडोमेन दर्ज करने के बाद।
- इस विफलता का एक संभावित कारण लाइसेंसिंग समस्या है
- लाइसेंसिंग समस्या का समाधान करने के लिए देखें लाइसेंसिंग समस्या हल करना यह सत्यापित करने के तरीके के लिए कि यह मुद्दा लाइसेंसिंग से संबंधित है और इसे कैसे हल किया जाए।
CMA में डुप्लिकेट उपयोगकर्ता
CMA में एक ही ईमेल पते वाले डुप्लिकेट उपयोगकर्ता दिखाई दे सकते हैं। आमतौर पर, एक उपयोगकर्ता अक्षम होता है, जबकि दूसरे को SDP लाइसेंस सौंपा जाता है।
इस के संभवतः क्यों हुआ यह जानने और इसे कैसे हल करना है इसके लिए देखें CMA में डुप्लिकेट उपयोगकर्ताओं का समाधान अनुभाग।
खोजे गए मुद्दों का समाधान
एडमिन प्रमाण-पत्र समाधान
- अपने CMA में लॉग इन करें और सत्यापित करने के लिए एक्सेस > डायरेक्टरी सेवाएं > SCIM पर जाएं कि बेस URL वही है जो Azure में टेनंट URL के रूप में कॉन्फ़िगर किया गया है।
- यदि आधार URL समान है, तो एक नया टोकन पंजीकरण कोड उत्पन्न करें।
- CMA पर कॉन्फ़िगरेशन सहेजने से पहले नए टोकन को कॉपी करें। उसके बाद, नया टोकन Azure में प्रवेश करें और फिर से कनेक्शन टेस्ट पर क्लिक करें।
अनिवार्य विशेषता समाधान
- ईमेल विशेषता अनिवार्य है। यदि यह फ़ील्ड पहचान प्रदाता (IdP) के भीतर उपयोगकर्ता जानकारी में अनुपलब्ध है, तो उपयोगकर्ता CMA में प्रावास्थापित होगा, लेकिन उनके प्रोफ़ाइल में ईमेल पता नहीं होगा।
- जब उपयोगकर्ता की प्रोफ़ाइल में ईमेल फ़ील्ड अनुपस्थित होता है, तो सिस्टम एक SDP लाइसेंस असाइन नहीं कर सकता है, जिससे उपयोगकर्ता सफलतापूर्वक SDP क्लाइंट के माध्यम से कनेक्ट नहीं कर सकते।
प्रावधान एप्लिकेशन को उपयोगकर्ताओं/समूहों को असाइन करना
- अपने प्रावधान एप्लिकेशन को उपयोगकर्ताओं या समूहों को असाइन करने के लिए, Add user/group पर क्लिक करें, और फिर "उपयोगकर्ता और समूह" चुनें।
- फिर, चयन के लिए क्रमशः उन उपयोगकर्ताओं/समूहों को जोड़ने के लिए सही पैन दिखाई देगा।
- वैकल्पिक रूप से, उपयोगकर्ताओं और व्यवस्थापक समूह को प्रोविजनिंग एप्लिकेशन में जोड़ने के बाद, नियमित स्वचालित प्रोविजन्ड चक्र की प्रतीक्षा करने के बजाय, आप "प्रोविजन ऑन डिमांड" में CMA में मैन्युअल रूप से इन उपयोगकर्ता/समूह को प्रोविजन कर सकते हैं।
नोट: नेस्टेड समूह प्रोविजनिंग समर्थित नहीं है
उपयोगकर्ता/समूह में स्कोपिंग फिल्टर हल करना
- यदि स्कोपिंग फ़िल्टर अनजाने में उपयोगकर्ता या समूह को निकाल रहा है:
- स्कोपिंग फ़िल्टर मानदंड को समायोजित करें ताकि यह सुनिश्चित हो सके कि यह उपयोगकर्ता/समूह को शामिल करता है।
- सुनिश्चित करें कि आपके फ़िल्टर की लॉजिक (और/या) इच्छित व्यवहार से मेल खाता है।
- अधिक विवरण के लिए, Microsoft दस्तावेज़ देखें - उपयोगकर्ता खातों को प्रावधान करने के लिए वि चैक्षिक नियम परिभाषित करें।
- समायोजन करने के बाद, ऑन डिमांड प्रावधान को फिर से चलाएं ताकि यह सत्यापित किया जा सके कि उपयोगकर्ता/समूह अब शामिल है।
लाइसेंसिंग समस्या हल करना
- एक्सेस पर जाएं > उपयोगकर्ता, और उपयोगकर्ता निर्देशिका पर क्लिक करें। सत्यापित करें कि उपयोगकर्ता को SDP लाइसेंस सौंपा गया था। नीचे दिया गया स्क्रीनशॉट दिखाता है कि Scim उपयोगकर्ता को कोई SDP लाइसेंस सौंपा नहीं गया था।
- इसके बाद, यह सत्यापित करने के लिए एक्सेस > लाइसेंस असाइनमेंट पर जाएं कि क्या "सभी उपयोगकर्ताओं को SDP लाइसेंस सौंपें" विकल्प सक्षम है।
- यदि यह है, तो जांच करें कि क्या उपयोगकर्ताओं की कुल संख्या उपलब्ध SDP लाइसेंस की कुल संख्या से अधिक है।
- यदि उपयोगकर्ताओं की संख्या उपलब्ध लाइसेंस से अधिक है, तो कृपया अतिरिक्त SDP लाइसेंस प्राप्त करने के लिए अपने Cato बिक्री प्रतिनिधि से संपर्क करें।
- यदि आप नहीं जानते कि वे कौन हैं, तो कृपया सहायता से संपर्क करने के लिए स्वतंत्र महसूस करें।
- यदि यह है, तो जांच करें कि क्या उपयोगकर्ताओं की कुल संख्या उपलब्ध SDP लाइसेंस की कुल संख्या से अधिक है।
- यदि "निर्धारित उपयोगकर्ताओं या समूहों को SDP लाइसेंस सौंपें" चुना हुआ है, तो सुनिश्चित करें कि SCIM-प्रावधानित उपयोगकर्ताओं को सौंपे गए समूहों में शामिल किया गया है।
CMA में डुप्लिकेट उपयोगकर्ताओं का समाधान
-
जब एक उपयोगकर्ता Azure में हटा दिया जाता है, तो सिस्टम UPN मूल्य में ObjectID मूल्य को जोड़ देता है और उपयोगकर्ता की सक्रिय स्थिति को गलत पर सेट करता है। यह क्रिया SCIM डेटाबेस में उपयोगकर्ता को निष्क्रिय कर देती है और ObjectID+UPN को शामिल करने के लिए UPN मूल्य को अपडेट करती है। यह व्यवहार Microsoft दस्तावेज़ के साथ संरेखित होता है ।
- यदि समान ईमेल पते का उपयोग करके एक ही उपयोगकर्ता Azure में फिर से बनाया जाता है, तो एक डुप्लिकेट उपयोगकर्ता SCIM डेटाबेस और CMA दोनों में एक अलग ObjectID के साथ बनाया जाएगा। इस चरण में, डुप्लिकेट उपयोगकर्ताओं के लिए UPN अलग होगा। इस परिदृश्य में, डुप्लिकेट से बचने के लिए CMA में अक्षम उपयोगकर्ता को हटाना चाहिए।
- Cato डुप्लिकेट ईमेल पतों वाले उपयोगकर्ताओं को अनुमति देता है; हालांकि, केवल एक डुप्लिकेट उपयोगकर्ता को SDP लाइसेंस असाइन किया जा सकता है। यह महत्वपूर्ण है कि UPN और ObjectID सभी SCIM डायरेक्टरी सेवाओं में अद्वितीय बने रहें।
टिप्पणियाँ और सीमाएँ
- विभिन्न उपयोगकर्ताओं को SCIM और LDAP के माध्यम से प्रावधानित किया जा सकता है। हालांकि, यदि उपयोगकर्ता को कहीं से भी प्रावधानित किया जाता है, तो SCIM प्रावधान प्राथमिकता लेता है। परिणामस्वरूप, उपयोगकर्ता LDAP-प्रावस्थापित समूहों से हटा दिया जाता है और SCIM-प्रावस्थापित समूहों में जोड़ा जाता है। अधिक विवरण के लिए, देखें SCIM और LDAP के साथ उपयोगकर्ताओं का प्रावशन।
- यदि आप SCIM और LDAP प्रावधान के बीच स्विच करने की योजना बनाते हैं, तो पहले पढ़ें SCIM और LDAP प्रावधन बदलना ताकि एक सुचारु परिवर्तन सुनिश्चित किया जा सके।
- हालांकि CMA में उपयोगकर्ता और समूह को हटाया जा सकता है, हम सुझाव देते हैं कि आप सीधे अपने SCIM ऐप में उपयोगकर्ताओं को हटाएं। इसे सही तरीके से करने के लिए, देखें SCIM ऐप से उपयोगकर्ताओं या समूहों को हटाना।
Cato समर्थन के लिए मामले उठाना
ऊपर दिए गए समस्या निवारण चरणों के परिणामों के साथ एक समर्थन टिकट सबमिट करें। कृपया टिकट में निम्नलिखित जानकारी शामिल करें:
- मुद्दे का विवरण और उपयोगकर्ता प्रभाव
- SCIM प्रावधान के दौरान सामना की गई मुद्दे का स्पष्ट विवरण।
- प्रभावित उपयोगकर्ताओं पर स्कोप और प्रभाव का अवलोकन (जैसे, प्रभावित उपयोगकर्ताओं की संख्या, प्राप्त त्रुटि संदेश, आदि)।
- प्रावधान स्थिति CMA के लिए
- क्या प्रभावित उपयोगकर्ता सफलतापूर्वक CMA में प्रावधानित किए गए थे?
- यदि नहीं, तो लॉग की जांच करने से अतिरिक्त अंतर्दृष्टि मिल सकती है और समस्या का मूल कारण पहचानने, आगे की समस्या निवारण और समाधान को बढ़ावा देने में मदद मिल सकती है।
- www.portal.azure.com पर लॉग इन करें। एंटरप्राइज़ एप्लिकेशन > Cato प्रावधान एप्लिकेशन > प्रावधान पर जाएं
- प्रावधन इतिहास देखने के लिए "प्रावधन लॉग" पर क्लिक करें।
- किसी विशेष प्रावधन पर क्लिक करने से दाईं ओर "प्रावधन लॉग विवरण" फलक खुल जाएगा। नीचे से, हम देख सकते हैं कि इस वस्तु के लिए सिंक्रोनाइज़ेशन को छोड़ दिया गया था क्योंकि इसे एप्लिकेशन को असाइन नहीं किया गया था।
- कृपया प्रभावित उपयोगकर्ताओं के लिए ऑन-डिमांड प्राविसनिंग का प्रयास करें और शामिल करें:
- परिणाम (सफलता या त्रुटि संदेश) का स्क्रीनशॉट
- जब ऑन-डिमांड प्रोविजनिंग की गई थी, उसका सटीक समय
- यदि नहीं, तो लॉग की जांच करने से अतिरिक्त अंतर्दृष्टि मिल सकती है और समस्या का मूल कारण पहचानने, आगे की समस्या निवारण और समाधान को बढ़ावा देने में मदद मिल सकती है।
- क्या प्रभावित उपयोगकर्ता सफलतापूर्वक CMA में प्रावधानित किए गए थे?
- SDP क्लाइंट से कनेक्टिविटी
- क्या उपयोगकर्ता जो सफलतापूर्वक प्रोविजन किए गए हैं, SDP क्लाइंट से कनेक्ट हो सकते हैं?
- यदि नहीं, तो कृपया क्लाइंट UI का स्क्रीनशॉट प्रदान करें जिसमें वह त्रुटि दिखाई जाती है जब उपयोगकर्ता कनेक्ट करने का प्रयास करता है
- रिकॉर्ड समस्या फ़ीचर का उपयोग करके क्लाइंट के लॉग्स प्रदान करें।
- क्या उपयोगकर्ता जो सफलतापूर्वक प्रोविजन किए गए हैं, SDP क्लाइंट से कनेक्ट हो सकते हैं?
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.