SCIMおよびLDAPを使用したユーザーのプロビジョニング

この記事は、SCIMとLDAPを使用してユーザーをプロビジョニングする際の考慮事項を説明します。

概要

Catoは既存のIdentity Provider(IdP)を活用し、ユーザーのアイデンティティを管理する集中サービスであり、アカウントへのユーザーの簡単なプロビジョニングと同期をサポートします。 IdPはCatoアカウントと統合され、ユーザーを自動的にインポートおよび更新します。

Catoは以下のメソッドをサポートして、ユーザーとユーザーグループをプロビジョニングします:

  • ユーザーを IdP から SCIM および LDAP 経由でインポートする
  • ユーザーを IdP から SCIM 経由でインポートする
  • ユーザーを IdP から LDAP 経由でインポートする

詳細については、SCIMとLDAPのユーザープロビジョニングの変更を参照してください。

ライセンスを割り当てる

ユーザーまたはユーザーグループがこれらのいずれかの方法でプロビジョニングされると、いずれのポリシーにも含めることができ、SDPライセンスを割り当てることができます。 例えば、SCIMからユーザーを1人インポートし、LDAPから他のユーザーをインポートすることができ、双方にリモートユーザーライセンスを割り当てることができます。 詳細については、ZTNA ライセンスをユーザーに割り当てる をご覧ください。

SCIMの設定時のLDAPディレクトリの追加

CMAで設定されているSCIMディレクトリの数が、LDAPディレクトリを追加できるかを決定します。

  • SCIMディレクトリが1つ設定されている場合、複数のLDAPディレクトリを追加できます。 現在、追加できるLDAPディレクトリの数に既知の制限はありません。
  • 2つ以上のSCIMディレクトリが設定されている場合、LDAPディレクトリを追加することはできません。

2つ以上のSCIMディレクトリが設定されている場合、LDAPディレクトリを追加するには、まずSCIMディレクトリを無効にして1つだけ残してください。 その後、LDAPディレクトリを追加してください。

ユーザーをプロビジョニングするためのSCIMとLDAPの利用

SCIMとLDAPは一緒に使用してユーザーをプロビジョニングできます。 ただし、各ユーザーはSCIMまたはLDAPのいずれか一方を介して専用にプロビジョニングする必要があります。 これは、各ユーザーに対する単一の真実のソースを保証します。

同じユーザーがSCIMおよびLDAPの両方を介してプロビジョニングされていることが確認された場合、SCIMでプロビジョニングされたユーザーがLDAPでプロビジョニングされたユーザーを上書きします。 これはLDAPでプロビジョニングされたユーザーがLDAPでプロビジョニングされたグループから削除され、SCIMでプロビジョニングされたグループに追加されることを意味します。

SCIMプロビジョニングは一貫した動作を保証するために単一の真実のソースとして使用されます。 これは、ユーザーに意図されたアクセスが提供されているかどうかに影響を与える可能性があります。 例えば:

  • ユーザーのジョン・ドゥーはLDAPでプロビジョニングされ、インターネットファイアウォールルールによりギャンブルサイトがブロックされたユーザーグループのメンバーです。
  • 次に、ジョン・ドゥーはSCIMでプロビジョニングされ、インターネットファイアウォールルールにはSCIMグループは含まれていません。
  • SCIMでプロビジョニングされたユーザーはLDAPでプロビジョニングされたユーザーを上書きし、ジョン・ドゥーはギャンブルサイトへのアクセスをブロックするユーザーグループから削除されます。
  • ジョン・ドゥーはインターネットファイアウォールルールには含まれておらず、ギャンブルサイトにアクセスできます。

ユーザーはメールアドレスまたはUPNに基づいて一致と識別されます。

ユーザーグループをプロビジョニングするためのSCIMとLDAPの利用

SCIMとLDAPはユーザグループをプロビジョニングするために一緒に使用することができます。 ただし、個々のユーザグループはSCIMまたはLDAPのいずれか一方のみでプロビジョニングし、両方ではプロビジョニングしない必要があります。 これにより、ユーザーのアイデンティティに関する唯一の真実のソースが保証され、環境全体で一貫したユーザーのアイデンティティが確保されます。

同じユーザグループがSCIMとLDAPの両方でプロビジョニングされている場合、SCIMプロビジョニング済みユーザグループがLDAPプロビジョニング済みユーザグループを上書きします。 LDAPプロビジョニング済みユーザグループにSCIMプロビジョニング済みユーザグループに含まれていないユーザーがある場合、これらのユーザーはCato管理画面のユーザグループから削除されます。 これは、ユーザーに意図したアクセスを提供することを確保するための影響を及ぼす可能性があります。 例:

  • ファイナンステームのユーザグループはLDAPでプロビジョニングされ、インターネットファイアウォールルールによってギャンブルサイトがブロックされています。 これには次のユーザーが含まれます:

    • ジョン・ドゥー
    • ジェーン・フィリップス
    • サイモン・トンプソン

  • その後、ファイナンステームのユーザグループはSCIMでプロビジョニングされ、次のユーザーが含まれます:

    • ジョン・ドゥー
    • ジェーン・フィリップス
  • SCIMでプロビジョニングされたユーザーグループはLDAPでプロビジョニングされたユーザーグループを上書きします。
  • サイモン・トンプソンはファイナンステームユーザーグループから削除され、ギャンブルサイトにアクセスできます。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント