OktaでのSCIMプロビジョニング

この記事は、Okta SCIMアプリを使用してOktaアカウントからCatoアカウントへのユーザーを自動的に同期する方法を説明します。

サポートされている機能

Cato Networksは、分散されたポイントソリューションに基づく従来のITアプローチに関連する複雑さ、コスト、リスクを排除する次世代の安全なネットワークアーキテクチャを提供します。 シングルサインオン(SSO)からユーザーのプロビジョニングまで、OktaのCato統合はユーザーのライフサイクル全体を通じてユーザーのアクセスとグループを処理します。含まれているのは:

  • Cato管理アプリケーションでユーザーを作成および削除します。

  • OktaからCato管理アプリケーションへのユーザーと属性の同期

  • ユーザーを作成 - Cato管理アプリケーションからOktaにユーザーをインポートおよび作成

  • ユーザー属性の更新 - Cato管理アプリケーションからOktaへのユーザー属性変更の同期

  • ユーザーを無効にする

  • グループプッシュ

  • ユーザーは、Oktaの設定に応じてメールまたはUPNで認証できます。

必須要件

Oktaでユーザープロビジョニングを設定するためのOkta SCIMアプリ使用前に、Oktaで管理者権限を持っていることを確認してください。

既知の制限

  • ネストされたグループのプロビジョニングはサポートされていません。

  • SCIMは、ユーザーIDとして電子メールを使用するアカウントでのみサポートされています(この設定はCatoサポートで確認できます)。

  • ユーザーのプロビジョニングは、LDAPまたはSCIMのいずれか一方で行えます(二者択一)。

  • IdPアプリケーションからユーザーを削除しても、Cato管理アプリケーションから削除されるわけではなく、ユーザーが無効化されます。

  • グループリンクはサポートされていません。

  • SCIM同期が既存のLDAPグループと同じ名前で上書きされる。 詳細情報については、既存のLDAPグループの上書きについてのSCIM同期を参照してください。

Catoに自動的にユーザー同期を設定する

Oktaに用意されているCato SCIMアプリを使用すると、OktaアカウントからCatoアカウントにユーザーを接続して同期できます。 Cato管理画面でアカウントのSCIMプロビジョニングを有効にします。

OktaアカウントにCato SCIMアプリを追加し、Catoアカウントに接続するように設定をしてください。 その後、同期されるOktaグループとユーザーを定義でき、Oktaはすぐに自動ユーザー同期を開始します。

Identity Provider(IdP)内のユーザーのステータスは自動的にCatoアカウントに同期されます。 例えば、IdPでユーザーを無効にした場合、彼らはCatoアカウントで無効として同期されます。

注意

注意: 必要に応じて、組織の特定の要件を満たすように属性マッピングを編集できます。 下記を参照してください、スキーマ探索

SCIMアプリのためにCato管理アプリケーションを設定する

Cato管理画面で、SCIMプロビジョニングを有効にして、URLとトークンをテキストファイルにコピーします。 これらの設定を、Oktaアカウントで構成するCato SCIMアプリに入力します。

Cato管理アプリケーションとSCIMアプリを接続するには、

  1. Cato管理アプリケーションのナビゲーションメニューから アクセス > ディレクトリサービスを選択し、SCIMタブをクリックします。

    SCIM.png

  2. SCIMプロビジョニングを有効にするを選択して、アカウントをSCIMアプリに接続する設定を行います。

  3. 保存をクリックします。

  4. SCIM URLおよびトークンをコピーして、空白のテキストファイルに貼り付けます。

    1. ベースURLで、コピーアイコン copy.png をクリックしてSCIM URLをクリップボードにコピーし、テキストファイルに貼り付けます。

    2. ベアラートークンで、コピーアイコン copy.png をクリックして、ユニークなアカウントトークンをクリップボードにコピーし、テキストファイルに貼り付けます。

OktaにCato SCIMアプリを追加する

OktaアプリストアからCato SCIMアプリを追加し、Catoとユーザーを自動的に同期するようアプリを設定します。 Cato管理画面からコピーしたSCIMプロビジョニングのURLとトークンを入力します。

Cato SCIMアプリを作成するには、

  1. Oktaアカウントにログインし、管理コンソールにアクセスします。

  2. メニューバーから、アプリケーション > アプリケーションをクリックします。

    SCIM_Okta_AddApp.png

  3. OktaアカウントにCato SCIMアプリを追加します:

    1. アプリケーションを追加をクリックします。

    2. Cato ネットワークプロビジョニングを検索し、アプリを選択します。 アプリの概要が新しいウィンドウで開きます。

    3. 追加をクリックします。 Cato ネットワーク プロビジョニングの追加ウィザードが開きます。

      Okta_GeneralSettings.png

    4. アプリケーションラベルを入力し、アプリケーションの設定を行います。

    5. 次へをクリックします。

    6. ユーザー認証と資格情報の設定を行います。

      Okta_SSO_SWA.png

    7. アプリケーションユーザー名の更新をオンにして、作成および更新に設定します。

    8. 完了をクリックします。 Cato SCIMアプリがアカウントに追加されます。

  4. プロビジョニングタブをクリックし、統合ウィンドウが開きます。

  5. API統合を設定をクリックします。

  6. API統合を有効にするを選択します。

    SCIM_Okta_Integratoin.png

  7. Oktaを設定してCatoアカウントと統合するには:

    1. ベースURLに、Cato管理アプリケーションからコピーしたURLを貼り付けます。

    2. APIトークンに、Cato管理アプリケーションからコピーしたトークンを貼り付けます。

  8. API認証情報をテストをクリックして、Cato SCIMアプリがCatoアカウントに接続できることを確認します。

  9. 保存をクリックします。

プロビジョニングのためのSCIMアプリの設定

SCIMアプリの設定を構成し、ユーザーをCatoアカウントにプロビジョニングします。 SCIM属性の詳細については、以下のスキーマ探索を参照してください。

ユーザーをプロビジョンするためにSCIMアプリを設定するには、

  1. 新しいSCIMアプリで、プロビジョニングタブをクリックします。

  2. 設定セクションから、To Appを選択します。

  3. アプリへのプロビジョニング設定を行い、編集をクリックします。

  4. これらのオプションには有効にするを選択します:

    • ユーザーを作成する

    • ユーザー属性を更新する

    • ユーザーを無効にする

  5. 保存をクリックします。

OktaのためのCato SCIMアプリの更新

時折、Catoではユーザーに関するより細かい情報を提供するためにSCIMスキーマに属性を追加します。 CMAでこれらの属性にアクセスするには、OktaのCatoアプリを新しい属性で更新し、CMAでユーザーを作成および更新する際に含まれる属性を構成する必要があります。

Cato SCIMアプリを更新するには、

  1. Okta管理コンソール > アプリケーション > Cato Networks SCIM アプリケーション > プロファイル エディタ > アプリ ユーザー プロファイルに移動します。

  2. 属性を追加をクリックします。

  3. 追加したい属性を以下のように定義します:

    必須フィールドの値が「いいえ」の場合、そのフィールドはCMAでオプションです。

    属性名 (Cato SCIM)

    Okta外部名

    データ型

    必須

    マルチバリュー

    SCIMスキーマ/名前空間

    タイトル

    タイトル

    文字列

    いいえ

    いいえ

    urn:ietf:params:scim:schemas:core:2.0:User

    部門

    部門

    文字列

    いいえ

    いいえ

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

  4. Okta管理コンソール > アプリケーション > Cato Networks SCIM アプリケーション > プロビジョニング > アプリへに移動します。

  5. アプリユーザー属性の下で、SCIMアプリが作成または更新リクエストを処理する際にCMAに送信される各属性に対して、作成更新オプションを有効にします。

  6. 保存をクリックします。

VPNユーザーをCatoアカウントに同期する

SCIMアプリが接続済みの後、同期するユーザーをCatoに割り当てます。 その後、次のセクションに進んで、アプリにグループを追加できます。

個々のユーザーをCatoアカウントにプロビジョニングするには、

  1. Cato SCIMアプリで、割り当てタブをクリックします。

    SCIM_Okta_Assign.png

  2. SCIMアプリに追加するユーザーとグループをCatoアカウントに同期するために割り当てます:

    1. 割り当てをクリックし、人々を選択します。

    2. その人に割り当てをクリックします。

    3. 保存して戻るをクリックします。

    4. 全ての人またはグループに対して前のステップを繰り返し、その後完了をクリックします。

    ユーザーはOktaからCatoアカウントに同期されます。

OktaグループをあなたのCatoアカウントに同期する

OktaでCatoに同期するユーザーとグループを割り当てることができます。 次に、OktaプッシュグループをSCIMアプリに作成または割り当て、アプリがグループと関連するユーザーをCatoアカウントに同期します。

注意

注: ユーザーは、プッシュされたグループのメンバーであり、Okta Cato OINアプリケーションに割り当てられている必要があります。そのグループメンバーシップがアプリ内に正しく表示されるようにします。

OktaグループをCatoアカウントにプロビジョニングするには、

  1. SCIMアプリに追加して同期するグループをCatoアカウントに割り当てます:

    1. 割り当てをクリックし、グループを選択します。

    2. そのグループに割り当てをクリックします。

    3. 保存して戻るをクリックします。

    4. 全てのグループに対して前のステップを繰り返し、その後完了をクリックします。

  2. プッシュグループセクションに移動します。

  3. プッシュグループ > 名前でグループを探すを選択します。

  4. Oktaプッシュグループの名前を入力し、グループを選択します。

    SCIM_Okta_PushGroup.png

  5. さらにプッシュグループを追加する必要がある場合は、保存してもう一つ追加をクリックし、それ以外の場合は保存をクリックします。 アプリがグループと関連するユーザーをあなたのCatoアカウントに同期します。

SDPライセンスの割り当て

IdPで、Catoアカウントに同期されるグループとユーザーを定義します。 初回同期が完了すると、すべてのユーザーがCato管理アプリケーションで作成され、ユーザーディレクトリページに表示されます。

その後、SDPライセンスをユーザーに割り当てることができます。詳細については、ユーザーへのZTNAライセンス割り当てをご覧ください。

SCIMアプリからユーザーまたはユーザーグループを削除

注意

重要: CMA内でユーザーを削除することは可能ですが、SCIMアプリでプロビジョニングされたユーザーまたはユーザーグループの削除は直接Cato管理アプリケーションで行うことをお勧めします。

SCIMアプリでCatoアカウントにプロビジョニングされているユーザーやユーザーグループを削除したい場合は、アプリで未割り当てにします。 SCIMアプリが次回アカウントと同期する際に、ユーザーおよびユーザーグループは自動的に無効になります。

Catoアカウントに同期されたユーザーまたはユーザーグループを削除するには、

  1. Cato SCIMアプリで、ユーザーまたはユーザーグループの未割り当てを行います。

    次回の同期では、SCIMアプリがあなたのCatoアカウントのユーザーまたはユーザーグループを無効にします。

  2. (オプション)ユーザーまたはグループが無効になった後、Cato管理画面から削除できます。

    ユーザーまたはユーザーグループを手動で削除できるようになるまでに最大15分かかることがあります。

CMAで削除され、SCIMアプリにはないユーザーは、即座に削除されます。

スキーマ探索

アプリのプロビジョニング中タブで属性マッピングを使用して、SCIM属性を設定できます。 属性の適用設定は作成および更新です。

属性

Cato VPNユーザー属性

ユーザ名

ユーザー名

Oktaアプリのログイン設定で電子メールオプションを設定します。

givenName

user.firstName

familyName

user.lastName

プライマリ電子メール

電子メール

user.email

表示名

displayName

user.displayName

プライマリ電話

primaryPhone

属性タイプ - 表現

(user.primaryPhone != null && user.primaryPhone != '') ? user.primaryPhone : ''

プライマリ電話タイプ

primaryPhonetype

属性タイプ - 表現

(user.primaryPhone != null && user.primaryPhone != '') ? 'work' : ''

ジョブタイトル

title

user.title

部門

department

user.department

SCIMプロビジョニングのイベントを理解する

Cato管理画面は、クライアント接続ポリシーの要件を満たさないためにユーザーとグループがブロックされるたびに、イベントを生成します。

毎時間、Cato管理画面はSCIMプロビジョニングアクション(成功または失敗)を要約する電子メールアラートを送信します。

次のテーブルは異なるイベントを説明しています。

イベントタイプ

アクション

説明

SCIMプロビジョニング

成功

SCIMアプリがあなたのアカウントにユーザーやグループを同期するアクションが成功しました。

SCIMプロビジョニング

失敗

SCIMアプリはIdPをアカウントに同期するのに失敗しました。 イベントメッセージは同期失敗の理由を説明します。

SCIMプロビジョニング

無効

IdPで無効になったユーザーが正常に同期され、あなたのCatoアカウントで無効化されました。

アクティブSCIMディレクトリの削除

アカウントからSCIMディレクトリを削除できます。 ディレクトリを削除すると、そのユーザーとグループの変更は同期されなくなります。 まだアクティブなユーザーがいてもディレクトリを削除することができます。 削除後、それらのユーザーはディレクトリと関連付けられなくなります。

アクティブSCIMディレクトリを削除するには:

  1. アクセス > ディレクトリサービスに移動します。

  2. SCIMタブで、削除したいディレクトリの三点アイコンをクリックします。

  3. 削除をクリックします。

  4. 確認ポップアップで、削除をクリックします。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント