OneLoginとのSCIMプロビジョニング

この記事では、OneLoginのCato SCIMアプリを使用して、ユーザーをOneLoginアカウントからCatoアカウントに自動的に同期する方法について説明します。

対応可能機能

Cato Networks は、分散されたポイントソリューションに基づく従来のITアプローチに関連する複雑さ、コスト、およびリスクを排除する次世代の安全なネットワークアーキテクチャを提供します。 シングルサインオン(SSO)からユーザープロビジョニングまで、OneLoginのCato統合は、ユーザーのライフサイクル全体を通じてユーザーアクセスとグループを管理します。これに含まれるもの:

  • Cato管理画面でユーザーを作成および削除する
  • OneLoginからCato管理画面へユーザーと属性を同期する
  • OneLoginへのシングルサインオン (SSO)
  • ユーザー属性の更新
  • ユーザーの無効化
  • ユーザーのインポート
  • グループ(OneLoginロール)のインポート

要件

カスタムCato SCIMアプリを作成する前に、OneLoginでアプリケーションとユーザープロビジョニングを設定するための管理者権限を持っていることを確認してください。

既知の制限

  • OneLoginで削除されたユーザーがCato管理画面で無効化される
  • OneLoginで削除されたロールに対応するグループは、Cato管理画面で削除されない
  • ネストされたグループはサポートされていません
  • SCIM同期が同じ名前の既存LDAPグループを上書きします。 詳細は、「SCIM同期による既存LDAPグループの上書き」を参照してください。

ユーザーをCatoに自動同期するためのSCIMアプリの設定

OneLoginアプリライブラリでCato SCIMアプリを使用して、OneLoginアカウントからCatoアカウントにユーザーを接続し、同期できます。 このセクションでは、次のワークフローに従って、このSCIMアプリを設定する方法について説明します:

  • Cato管理画面で、CatoアカウントのSCIMプロビジョニングを有効化
  • OneLoginアカウントにCato SCIMアプリを追加する
  • アプリを設定してCatoアカウントに接続する
  • 同期されるOneLoginユーザーを定義する
  • OneLoginロールをCatoアカウント内のグループに同期するロールを定義する

あなたのアイデンティティプロバイダ (IdP) 内のユーザーステータスが自動的にCatoアカウントに同期されます。 例えば、IdPでユーザーを無効化すると、Catoアカウントに無効として同期されます。

SCIMアプリのためのCato管理画面の設定

Cato管理画面で、SCIMプロビジョニングを有効化し、URLとトークンをテキストファイルにコピーします。 これらの設定をOneLoginで設定したCato SCIMアプリに入力します

アカウント。

SCIMアプリに接続するためにCato管理画面を設定する

  1. Cato管理画面で、ナビゲーションメニューから アクセス > ディレクトリサービス を選択し、 SCIM タブをクリックします。

    SCIM.png
  2. SCIMプロビジョニングを有効化を選択して、アカウントをSCIMアプリに接続する
  3. 保存をクリックします。
  4. SCIM URLとトークンをコピーして空のテキストファイルに貼り付けます。
    1. Base URLで、コピーアイコンcopy.pngをクリックしてSCIM URLをクリップボードにコピーし、テキストファイルに貼り付けます。
    2. Bearer Tokenで、コピーアイコンcopy.pngをクリックして、固有のアカウントトークンをクリップボードにコピーし、テキストファイルに貼り付けます。

Cato SCIMアプリの追加

OneLoginアカウントにCato SCIMアプリケーションを追加し、OneLoginアカウントからCatoアカウントにユーザをプロビジョンできます。

OneLoginアカウントにCato SCIMアプリを追加するには:

OneLoginアカウントにCato SCIMアプリを追加する:

  1. OneLogin管理者ダッシュボードから、アプリケーション > アプリケーションをクリックします。
  2. アプリを追加をクリックします。

  3. Cato Networksアプリを検索し、SAML2.0,プロビジョニングを伴うCato Networksアプリケーションをクリックします。

    OneLogin_CatoApp.png

  4. アプリ一覧 / Cato Networks 追加ウィンドウで、アプリケーションの表示名を入力し、保存をクリックします。

    OneLogin_CatoApp_AddApp.png

    メッセージは、アプリケーションがアカウントに正常に追加されることを示しています。

アカウントに接続するためのSCIMアプリの設定

アプリケーションの設定およびプロビジョニングセクションで設定を構成し、Catoアカウントに接続できるようにします。 You need to enter the URL and Token that you copied from the Cato Management Application in Configuring the Cato Management Application for the SCIM App above.

SCIMアプリケーションをCatoアカウントに接続するために設定する:

  1. アプリケーションナビゲーションペインから、設定をクリックします。

  2. In the API Connection section, configure OneLogin to integrate with your account:

    OneLogin_CatoApp_Configuration.png
    1. SCIM Base URLに、Cato管理画面からコピーしたURLを貼り付けます。
    2. SCIM Bearer Tokenに、Cato管理画面からコピーしたトークンを貼り付けます。
  3. APIステータスで、有効化をクリックします。
  4. 保存をクリックします。

  5. ナビゲーションペインから、プロビジョニングをクリックします。

    OneLogin_CatoApp_Provisioning.png
  6. アプリケーションのためにこれらのプロビジョニング設定を構成する:
    1. プロビジョニングを有効化を選択します。
    2. (任意) このアクションが実行される前に管理者承認を必要とする設定を構成する:
    3. ユーザーがOneLoginで削除されたとき、またはユーザーのアプリアクセスが解除されたとき、以下のアクションを実行するで、一時停止を選択します。
    4. 権限セクションの更新リンクがクリック可能であることを確認してください。

  7. 保存をクリックしてください。

    Cato SCIM アプリケーションのパラメーターが設定され、アプリケーションは Cato アカウントに接続する準備が整いました。

VPNユーザーをCatoアカウントに同期する

SCIM アプリケーションがアカウントに接続できたら、同期するユーザーを Cato に割り当てます。 次のセクションに進んで、アプリケーションにグループを追加できます。

個別のユーザーをCatoアカウントにプロビジョニングするために:

  1. トップメニューから、ユーザー > ユーザーを選択します。

  2. SCIM アプリケーションに割り当てるユーザーを選択します。

    OneLogin_SelectUser.png

  3. ユーザーのナビゲーションペインから アプリケーション を選択します。

    OneLogin_User_Applications.png
  4. SCIMアプリケーションをユーザーに割り当てる:
    1. ユーザーに新しいアプリケーションを追加するためにプラスボタンをクリックします。

    2. 新しいログインを割り当てる ウィンドウで、アプリケーションを選択 ドロップダウンメニューから SCIM アプリケーションを選択します。

      OneLogin_User_Applications_AssignApp.png
    3. 継続をクリックします。

    4. ポップアップウィンドウで、保存をクリックします。

      OneLogin_EditAppForUser.png

      SCIM アプリケーションがユーザーに割り当てられます。

  5. ユーザーを保存をクリックします。 このユーザーの設定は更新されました。

  6. Cato アカウントにプロビジョンする各ユーザーについて、上記の手順 4 と 5 を繰り返します。

    SCIM アプリケーションに割り当てられたユーザーを表示するには、SCIM アプリケーションに移動し、アプリケーションのナビゲーションペインから ユーザー を選択します。

OneLoginロールをCatoアカウントに同期する

あなたはユーザーをCatoに同期しているときに、OneLoginで役割を割り当てることができます。 この役割にユーザーを手動で追加することを選択できます。

各役割ごとに、その役割をアプリケーションに接続するルールを作成してください。 それからその役割をアプリケーションに割り当て、役割とその関連するユーザーはCatoアカウントの新しいグループに同期されます。

OneLoginロールをCatoアカウントにプロビジョニングする:

  1. トップメニューから、ユーザー > ロールを選択します。
  2. SCIMアプリケーションに割り当てる役割を選択します。
  3. ユーザーを役割に手動で割り当てる:

    1. 役割のナビゲーションメニューから、ユーザーを選択します。

      OneLogin_Role_AddUser.png
    2. このルールに既存のユーザーを確認するか新しいユーザーを追加するに、アプリケーションに追加するユーザー名を入力します。
    3. チェックをクリックすると、ウィンドウにユーザーが表示されます。
    4. 役割に追加をクリックします。 ユーザーが手動で追加されたユーザー節に追加されます。
  4. 役割をSCIMアプリケーションに接続するルールを作成する。
    1. トップメニューから、アプリケーション > アプリケーションをクリックしてSCIMアプリケーションを開きます。
    2. アプリケーションナビゲーションペインから、ルールを選択します。
    3. ルールを追加をクリックします。

    4. 新しいマッピングウィンドウで、ルールの名前を入力します。

      OneLogin_App_Rule.png
    5. アクションセクションで、グループを<アプリケーション名>に設定するを選択します。 上記のスクリーンショットでは、オプションとしてサンプルCato SCIMアプリでグループを設定が表示されています。
    6. ドロップダウンメニューから役割を選択します。
    7. 役割名に一致するを入力します。 上記のスクリーンショットは役割名としてサンプルロールを示しています。

    8. 保存をクリックしてください。 このルールはアプリケーションに追加されます。

      OneLogin_Rule_Configured.png
    9. 保存をクリックします。 役割とアプリケーションを接続するルールがアプリケーションに保存されます。

  5. SCIMアプリケーションをロールに割り当てます。

    1. 役割のナビゲーションメニューから、アプリケーションを選択します。
    2. プラスボタンをクリックしてOneLoginアカウント内のアプリケーションを表示します。

    3. Cato SCIMアプリケーションを選択し、保存をクリックします。 アプリケーションがロールに追加されます。

      OneLogin_Role_Add_App.png

    SCIMアプリケーションはOneLoginからCatoアカウントにロールを同期します。

SCIMアプリからユーザーやグループを削除する

重要

重要: Cato管理画面からSCIMアプリでプロビジョニングされたユーザーやグループを直接削除しないでください。 最初にSCIMアプリで未配置にする必要があります。

SCIMアプリを使ってCatoアカウントにプロビジョニングされたユーザーやグループを削除したい場合は、アプリで割り当てを解除してください。 次回SCIMアプリがアカウントと同期する際に、ユーザーとグループは自動的に無効化されます。

同期されたユーザーまたはグループをCatoアカウントから削除するために:

  1. Cato SCIMアプリでユーザーやグループの割り当てを解除します。

    次回の同期中に、SCIMアプリがCatoアカウント内のユーザーやグループを無効化します。

  2. (任意) ユーザーまたはグループが無効化された後、Cato管理画面から削除することができます。

ZTNAライセンスの割り当て

In the IdP, define the groups and users that are synced to your Cato account. 初期同期が完了すると、すべてのユーザーがCato管理画面で作成され、ユーザーディレクトリページに表示されます。

次にユーザーにZTNAライセンスを割り当てることができます。詳細はユーザーへのZTNAライセンスの割り当てを参照してください。

SCIMプロビジョニングのイベントの理解

Cato管理画面は、クライアント接続ポリシーを満たさないためにユーザー及びグループがブロックされたときに、イベントを生成します。

毎時間、Cato管理画面はSCIMプロビジョニングアクション(成功または失敗)を要約するメールアラートを送信します。

次のテーブルは、異なるイベントを説明します。

 

イベントタイプ

アクション

説明

SCIMプロビジョニング

成功

SCIMアプリでアカウントへのユーザーまたはグループの同期が成功しました。

SCIMプロビジョニング

失敗

SCIMアプリがアカウントとのIdPを同期できませんでした。 イベントメッセージが同期失敗の理由を説明します。

SCIMプロビジョニング

無効

IdPで無効化されたユーザーが、Catoアカウントで同期され正常に無効化されました。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント