この記事では、Entra ID SCIM アプリを使用してユーザーとグループの情報を自動的に同期し、Entra ID から Cato アカウントにユーザーとグループをプロビジョニングする方法について説明します。
-
Cato 管理アプリケーションでユーザーを作成および無効にする
-
Entra ID から Cato 管理アプリケーション にユーザーと属性を同期する
-
Azure へのシングル サインオン (SSO)
-
ユーザーは、Azure の構成に応じてメールまたは UPN で認証することができます。
Entra ID アプリケーションを作成する前に、これらのアイテムが準備完了であることを確認してください:
-
Entra ID テナント
-
ユーザープロビジョニングを構成するための Entra ID 権限
-
IdP アプリケーションからユーザーを削除すると、Cato管理画面でユーザーが無効にされます(以下を参照 SCIM アプリからのユーザーまたはグループの削除)
-
LDAP 同期を使用するアカウントの場合、SCIM プロビジョニングを有効にすると、この同期がアカウントで無効になります。
-
ユーザー認識のための LDAP 同期は通常通り機能し、SCIM プロビジョニングの影響を受けません。
-
-
ネストされたグループのプロビジョニングはサポートされていません
-
SCIM 同期は、同じ名前の既存の LDAP グループを上書きします。 詳細情報については、「SCIM 同期が既存の LDAP グループをどのように上書きするか」を参照してください
-
SCIM プロビジョニングされたユーザーは、WMI ベースのユーザー認識で識別されません。 SCIM でのユーザー認識は、Cato アイデンティティ・エージェントを使用してサポートされます
-
オンデマンド プロビジョニングは、ユーザーをユーザグループに割り当てることをサポートしていません
このセクションでは、Entra ID を計画して、Cato アカウントとユーザーを同期する方法について説明します。 Azure と Cato 間のユーザー同期のプランに関してさらに詳しくは、次の Microsoft 記事を参照してください:
Entra ID は以下の方法で Cato と同期に含まれるユーザーを定義できます:
-
Entra ID アプリにユーザーを割り当てる
-
ユーザーまたはグループの属性に基づいてユーザーをフィルター処理する
Cato とユーザー同期を計画するプロセスの一環として、少人数のユーザーグループから始めることをお勧めします。 上記の方法に基づいて、以下を実行できます:
-
いくつかのユーザーを Entra ID アプリに割り当てる
-
少数のユーザーと一致する属性ベースのスコープフィルターを作成する
Entra ID をCato アカウントに接続して、間でユーザーを同期できます。 Azure ギャラリーにCato SCIM アプリをアカウントに追加し、Cato アカウントへの接続を構成します。 Azure は 40 分ごとに自動ユーザー同期を開始します。
その後、同期される Entra ID グループおよびユーザーを定義し、自動プロビジョニングを有効にできます。
Identity Provider (IdP) 内のユーザーの状態は自動的に Cato アカウントに同期されます。 たとえば、IdP でユーザーを無効にすると、それらが Cato アカウントに無効として同期されます。
注意
注意: Entra ID の SCIM グループ内のユーザーの総数を CMA SCIM グループと比較する際には、CMA SCIM グループではユーザーが少なくなることに注意してください。 これは、同期後に無効にされたユーザーや常に無効だったユーザーを考慮していないためです。
Azure ギャラリーから Cato SCIM アプリの設定を構成し、ユーザーをCatoに自動的に同期するようにアプリを設定します。
Cato管理画面で SCIM プロビジョニングを有効にし、URL とトークンを Cato SCIM アプリの管理者資格情報セクションにコピーします。
Cato管理画面 を SCIM アプリに接続するには:
-
Azureポータルから、エンタープライズアプリケーションを選択します。
-
新規アプリケーションへ進み、Cato Networks プロビジョニング アプリケーションを検索して、作成をクリックします。
-
Cato管理画面では、ナビゲーションメニューからアクセス > ディレクトリサービスを選択し、SCIMタブをクリックします。
-
SCIM プロビジョニングの有効化を選択して、アカウントをSCIMアプリと接続します。
-
保存をクリックしてください。
-
SCIM URLとトークンをコピーして空白のテキストファイルに貼り付けます。
-
ベース URLで、コピーアイコン
をクリックして、SCIM URLをクリップボードにコピーし、テキストファイルに貼り付けます。
-
Bearer Tokenで、コピーアイコン
-
-
Azureで、SCIMアプリのプロビジョニングセクションに移動し、SCIM URLとトークンを貼り付けます。
-
テナント URLにURLを貼り付けます。
-
シークレットトークンにトークンを貼り付けます。
-
保存をクリックしてください。
-
-
Azureで、接続テストをクリックして、Azure ADがCato SCIMアプリに接続できることを確認します。
-
アプリで自動プロビジョニングを有効にします。
-
ナビゲーションメニューからプロビジョニングを選択します。
-
プロビジョニング画面で、開始をクリックします。
-
プロビジョニングモードのドロップダウンメニューで、自動を選択します。
-
保存をクリックしてください。
-
-
アプリにグループとユーザーを割り当てます。
Cato SCIMアプリを設定した後、Entra IDとCato管理アプリケーションの間のSCIMプロビジョニング属性のマッピングを確認できます。
|
Azure AD属性 |
Catoユーザー属性 |
ユーザーに関するメモ |
|---|---|---|
|
userPrincipalName |
ユーザー名 |
ユーザーのユーザー名 |
|
Coalesce([mail], [userPrincipalName]) |
emails[type eq "work"].value |
メールアドレス |
|
givenName |
name.givenName |
名 |
|
surname |
name.familyName |
姓 |
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
電話番号(プレフィックスを含む) |
|
objectId |
externalId |
ユーザーのID(イベントで使用されます) |
|
Switch([IsSoftDeleted], , "False", "True", "True", "False") |
アクティブ |
SCIMアプリの割り当て解除されたユーザーは、以下のパラメータでソフト削除されます: "False", "True", "True", "False" |
IdPで、Catoアカウントと同期されるグループとユーザーを定義します。 初期同期が完了した後、すべてのユーザーがCato管理アプリケーションに作成され、ユーザーディレクトリページで表示されます。
その後、SDPライセンスをユーザーに割り当てることができます。詳細は、ユーザーへのSDPライセンスの割り当てを参照してください。
Cato管理画面は、ユーザーおよびグループがクライアント接続ポリシーの要件を満たさないためにブロックされた場合、イベントを生成します。
毎時、Cato管理画面はSCIMプロビジョニングのアクション(成功または失敗)の概要を示す電子メールアラートを送信します。
以下のテーブルは、異なるイベントを説明します。
0件のコメント
記事コメントは受け付けていません。