LDAP-आधारित उपयोगकर्ता प्रावधान से SCIM (राशि प्रबंधन के लिए क्रॉस-डोमेन पहचान प्रणाली) में माइग्रेट करना पहचान प्रबंधन को सरल बनाता है और माइक्रोसॉफ्ट Entra ID जैसे आधुनिक पहचान प्रदाता (IdPs) के साथ एकीकरण को बढ़ाता है। यह लेख Cato Management Application (CMA) के भीतर LDAP सर्वरों से SCIM में मौजूदा उपयोगकर्ता और समूह प्रबंधन को माइग्रेट करने के लिए तकनीकी प्रशासकों को एक स्पष्ट मार्ग प्रदान करता है।
माइग्रेशन मौजूदा उपयोगकर्ता डेटा का लाभ उठाता है जो पहले से ही LDAP के माध्यम से सिंक्रोनाइज़ किया गया है और प्रावधान की जिम्मेदारी SCIM में स्थानांतरित करता है, न्यूनतम व्यवधान और उन्नत परिचालन दक्षता सुनिश्चित करता है। विशेष रूप से, इस गाइड में Microsoft Entra ID को IdP उदाहरण के रूप में उपयोग किया गया है, जिसमें आवश्यक कॉन्फ़िगरेशन और फील्ड मैपिंग का विवरण दिया गया है। हालांकि, उल्लिखित सिद्धांत और प्रक्रिया अन्य IdPs पर आसानी से लागू की जा सकती हैं जो SCIM का समर्थन करती हैं।
SCIM प्रोविज़निंग में माइग्रेट करने की तैयारी पूरी करने के बाद, जारी रखें:
-
वह सभी उपयोगकर्ताओं के लिए अस्थायी रूप से Always-On अक्षम करें जिनका आप माइग्रेशन कर रहे हैं।
-
सभी SCIM उपयोगकर्ता उपयोगकर्ता समूह को लाइसेंस असाइनमेंट पृष्ठ में जोड़ें।
इसका कारण यह है कि उपयोगकर्ता माइग्रेशन के दौरान नेटवर्क से डिस्कनेक्ट हो सकते हैं।
-
सुनिश्चित करें कि माइग्रेट होने वाले उपयोगकर्ताओं की संख्या SDP लाइसेंस के लिए आवंटित मुकाबले अधिक न हो।
यदि लाइसेंस की तुलना में अधिक उपयोगकर्ता हैं, तो उन समूहों की प्राथमिकता दें जिन्हें लाइसेंस की आवश्यकता है, और फिर All SCIM Users उपयोगकर्ता समूह को License Assignment पेज से हटाएं, इससे पहले कि आप बाकी माइग्रेशन जारी रखें।
-
LDAP डायरेक्टरी को साफ करें और सभी अनावश्यक उपयोगकर्ताओं और समूहों को हटाएं
-
यदि वे अब मौजूद नहीं हैं तो उन्हें अक्षम करने के बजाय हटाने के लिए LDAP सिंक में सेटिंग अपडेट करें।
-
CMA में, Access > Directory Services पर जाएं और LDAP टैब पर क्लिक करें।
-
LDAP डोमेन चुनें, और General सेक्शन में Disable चुनें।
-
-
किसी भी नेस्टेड समूहों की उपस्थिति के लिए मौजूदा AD समूहों की जांच करें - Cato नेस्टेड समूहों का समर्थन नहीं करता
-
WAN या इंटरनेट फ़ायरवॉल नियम खोजें जिनमें महत्वपूर्ण उपयोगकर्ता समूह Source/Destination के रूप में हैं, और नियम में All Users उपयोगकर्ता समूह जोड़ें।
माइग्रेशन के बाद इस बदलाव को रद्द करना सुनिश्चित करें।
-
उन नियमों को पहचानें जहाँ उपयोगकर्ता व्यक्तिगत रूप से जोड़े गए थे और उन उपयोगकर्ताओं को समूहों में बदलें।
ध्यान दें: यह एक अनिवार्य कदम नहीं है, और यह डाउनटाइम पर निर्भर करता है - अगर यह स्वीकार्य है कि उपयोगकर्ताओं के पास माइग्रेशन समय के दौरान संसाधनों तक पहुँच नहीं है।
-
-
सुनिश्चित करें कि SCIM में समूह सेटिंग्स LDAP समूह सेटिंग्स के समान हैं। उदाहरण के लिए, LDAP डोमेन उपयोगकर्ताओं के पास SCIM ऐप में समान समूह होता है
-
ईमेल, UPN, प्रथम नाम, अंतिम नाम जैसे उपयोगकर्ता और समूह एट्रिब्यूट IdP (यानी Entra ID, Okta) और LDAP (AD) में समान होने चाहिए ताकि अपडेट विफलता या डुप्लिकेट ऑब्जेक्ट्स को रोका जा सके।
-
यदि माइग्रेशन के हिस्से के रूप में ईमेल या अन्य एट्रिब्यूट्स में बदलाव आवश्यक हैं, तो ये समायोजन या तो संक्रमण से पहले या बाद में किए जाने चाहिए ताकि CMA में संघर्ष को रोका जा सके।
हम दृढ़ता से अनुशंसा करते हैं कि आप माइग्रेशन के दौरान परिवर्तन फ्रीज़ अवधि का उपयोग करें।
-
IdP आवेदन को कॉन्फ़िगर करने के लिए पर्याप्त अनुमतियाँ होनी चाहिए।
-
माइग्रेशन से पहले उपयोगकर्ता और समूह एट्रिब्यूट्स का सत्यापन ऐसे उपकरणों का उपयोग करके किया जाना चाहिए जैसे कि उदाहरण के लिए PowerShell ताकि LDAP और SCIM प्रदाताओं के बीच के किसी भी अंतर को पहचाना और सुधारा जा सके, इससे पहले कि रखरखाव शुरू हो।
-
(वैकल्पिक) प्रभावित CMA पृष्ठों का निर्यात (या स्क्रीनशॉट) बनाएं: फ़ायरवॉल (इंटरनेट / WAN) नियम, नेटवर्क नियम, Always-On नीति, क्लाइंट कनेक्टिविटी नीति, उपयोगकर्ता निर्देशिका, और उपयोगकर्ता समूह।
-
सुनिश्चित करें कि यह वास्तव में माइग्रेशन के रखरखाव विंडो के साथ मेल नहीं खाता है: https://status.catonetworks.com
यह आपके Cato खाते में SCIM प्राव धारण उपयोगकर्ताओं के लिए तर्क है:
-
SCIM प्राव धारण उपयोगकर्ता LDAP प्राव धारण उपयोगकर्ताओं और मैन्युअल रूप से बनाए गए उपयोगकर्ताओं को ओवरराइड करते हैं।
-
उपयोगकर्ताओं का आंतरिक ID, ऑब्जेक्ट ID, UPN, या ईमेल के आधार पर मेल किया जाता है
सुनिश्चित करें कि LDAP के साथ प्राव धारण किए गए उपयोगकर्ता इन शर्तों को पूरा करते हैं:
-
मौजूदा उपयोगकर्ता CMA Access > Users > User डायरेक्टरी में हैं।
-
SCIM के साथ प्राव धारण किए जाने वाले उपयोगकर्ताओं के रूप में एक ही UPN या ईमेल पता रखें।
-
यदि UPN या ईमेल पता अलग है, तो डुप्लिकेट उपयोगकर्ता बनाए जाएंगे।
-
यदि गलती से डुप्लिकेट उपयोगकर्ता उत्पन्न होते हैं, तो इन चरणों का पालन करें:
-
उपयोगकर्ता को SCIM Cato नेटवर्क प्राव धारण ऐप से हटाएं।
-
डुप्लिकेट उपयोगकर्ता को CMA से हटाएं।
-
LDAP IdP में ईमेल पता अपडेट करें और फिर से उपयोगकर्ता को प्राव धारण करें।
-
-
-
यदि एक ही ऑब्जेक्ट ID या UPN के साथ एक से अधिक उपयोगकर्ता हैं, तो SCIM उपयोगकर्ता मौजूदा LDAP उपयोगकर्ता को ओवरराइड नहीं करता है, और एक घटना उत्पन्न होती है।
-
SCIM प्राव धारण उपयोगकर्ता समूह LDAP प्राव धारण उपयोगकर्ता समूहों को ओवरराइड करते हैं
-
यदि ऑब्जेक्ट ID या समूह नाम के साथ कई समूह हैं, तो ओवरराइड विफल होता है। इस मामले में, हम डुप्लिकेट समूहों को हटाने की अनुशंसा करते हैं।
-
LDAP के लिए उपयोगकर्ता समूह - जैसे ही आप SCIM प्राव धारण से माइग्रेशन पूरा करते हैं, उपयोगकर्ताओं को स्वचालित रूप से LDAP उपयोगकर्ता समूहों से हटाकर नए SCIM उपयोगकर्ता समूहों में जोड़ा जाता है।
उपयोगकर्ता समूहों को माइग्रेट करने का उदाहरण: यदि कोई उपयोगकर्ता कई उपयोगकर्ता समूहों का हिस्सा है, तो वे उसी उपयोगकर्ता समूहों पर सक्रिय रहेंगे जो SCIM पर माइग्रेट किए जाएंगे और अस्थायी रूप से उन उपयोगकर्ता समूहों से हटाए जाएंगे जो (CMA में LDAP के रूप में चिह्नित) अभी तक माइग्रेट नहीं किए गए हैं। जैसे ही सभी उपयोगकर्ता समूह SCIM पर माइग्रेट किए जाते हैं, उपयोगकर्ता उन उपयोगकर्ता समूहों में पुनः सक्रिय हो जाएंगे। यह कुछ उपयोगकर्ताओं के लिए डाउनटाइम का परिणाम हो सकता है जब CMA के कुछ अनुप्रयोगों के लिए विभिन्न उपयोगकर्ता समूह प्रकार (SCIM और LDAP) नियमों का उपयोग किया जाता है, और उपयोगकर्ता समूह प्रकार एक ही माइग्रेशन बैच में नहीं हैं।
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.