SCIM同期とプロビジョニングのトラブルシューティング

概要

SCIM（クロスドメインアイデンティティ管理システム）の同期とユーザープロビジョニングは、アイデンティティ管理を自動化し、アプリケーションやリソースへの安全でスムーズなアクセスを保証するために不可欠です。しかし、この自動化を妨げる問題が発生し、アクセスの問題やコンプライアンスリスクにつながる可能性があります。このプレイブックは、Catoでの一般的なSCIM同期とプロビジョニングの問題を解決するための効果的なソリューションを提供することを目的としています。

症状

SCIMプロビジョニングの失敗は、いくつかの方法で現れます。管理者は次の症状を確認するかもしれません:

SCIMの有効化時にエラーメッセージ
ユーザーがCMAにプロビジョニングされていない
IdPからCMAへの接続テストが失敗
プロビジョニングされたユーザーがSDPクライアントに接続できない
CMAに重複したユーザーが存在

考えられる原因

トラブルシューティング時に特定しようとする可能性のある原因を一覧にする

設定ミス
間違った管理者認証情報の使用
ライセンス
IdPを介してプロビジョニングされた重複ユーザー

問題のトラブルシューティング

トラブルシューティングの手順に入る前に、下記の図は SCIM プロビジョニングの機能の概要を示しています。 LDAPとは異なり、SCIM はプッシュメカニズムを使用して、ユーザー情報を直接 Cato Management Application (CMA) に配信します。

Cato は Azure、Okta、One Login を通じてユーザーの SCIM プロビジョニングをサポートしています。各アイデンティティプロバイダー (IdP) に対して SCIM プロビジョニングを設定する方法については、SCIM を使用したユーザーのプロビジョニングを参照してください。このプレイブックは、Azure（Entra ID）でのSCIMプロビジョニングに特に焦点を当てていますが、他のIdPにも適用可能な基本概念とトラブルシューティング技術を含んでいます。

SCIMの有効化時のエラー

CMAでSCIMを有効にすると、次のエラーが表示されます。「SCIMプロビジョニングを有効にできません。サポートにお問い合わせください。また、アカウントID設定については Email をご参照ください。」

このエラーに遭遇した場合、サポートに連絡して、アカウントのユーザーIDタイプを変更してください。

ユーザーがCMAにプロビジョニングされていない

このセクションでは、ユーザーがCMAにプロビジョニングされない一般的な理由のいくつかを示します。

管理者クレデンシャルを確認

SCIMアプリケーション > プロビジョニング > クレデンシャルの更新に移動します。
管理者クレデンシャルを展開し、接続テストをクリックします。
CMAとの統合とプロビジョニングが正常に行われた場合は、次の結果が表示されます。
接続テストが失敗した場合は、管理者クレデンシャルの解決を参照して、これを解決する方法を確認してください。

必須属性

Microsoft Entra IDとのSCIMプロビジョニングには、特定の属性が必要であり、必須です。これらの必要な属性が欠落していると、ユーザープロビジョニングが失敗するか、プロビジョニングされたユーザーが接続できない可能性があります。
以下のスクリーンショットは、プロビジョニングのために必要な必須フィールドを示しています。
メールフィールドが欠落している場合、ユーザーはCMAにプロビジョニングされますが、SDPクライアントに接続することはできません。
これが問題の原因であるかどうかを確認し、解決する方法については必須属性の解決セクションを参照してください。

Azureポータルでエンタープライズアプリケーションにユーザー/グループが未割り当て

ユーザーとグループは、Catoプロビジョニングアプリケーションに追加され、CMAへ同期される前にAzureポータルで追加される必要があります。このセクションでは、これを検証するための手順を示します。

エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > ユーザー＆グループに移動し、ユーザーまたはグループがリストされているかどうかを確認します。
以下の例では、「Cato Networks Provisioning—APJ T1 Lab」アプリケーションに1グループと1ユーザーが割り当てられていることが分かります。
ユーザーまたはグループがAzureのプロビジョニングアプリケーションにリストされていない場合は、プロビジョニングアプリケーションへのユーザー/グループの割り当てを参照してください。

ユーザー/グループのスコーピングフィルター

プロビジョニング設定にユーザーまたはグループのスコーピングフィルターが設定されているかどうかを確認します。
エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > プロビジョニング > マッピングに移動し、ユーザーまたはグループマッピングを選択します。
対象オブジェクトのスコープフィルターを確認し、問題のユーザーまたはグループが除外されていないか確認します。
スコーピングフィルターによるプロビジョニングの失敗が発生した場合、ユーザー/グループはスキップされ、Azureは失敗の理由を表示します。
これを解決するには、ユーザー/グループにおけるスコーピングフィルターの解決を参照してください。

SDPクライアントへの接続に失敗するプロビジョニングされたユーザー

CMAでSCIMプロビジョニングされた後、ユーザーはSDPクライアントを介して接続しようとした際、特にメールアドレスとサブドメインを入力した後に次のエラーに直面します。
この失敗の原因の1つはライセンスの問題です
この問題がライセンスに関連しているかどうかを確認し、それを解決する方法を知るには、ライセンス問題の解決を参照してください。

CMAに重複ユーザーが存在

同じメールアドレスの重複ユーザーがCMAに表示されることがあります。通常、一方のユーザーは無効にされ、もう一方にSDPライセンスが割り当てられています。

これが発生した理由と解決方法については、CMAにおける重複ユーザーの解決を参照してください。

発見された問題の解決

管理者クレデンシャルの解決

CMAにログインし、アクセス > ディレクトリサービス > SCIM に移動し、Base URLがAzureに設定されたTenant URLと同じであることを確認します。
ベース URL が同じ場合は、新規トークンを生成してください。
新しいトークンをCMAの設定を保存する前にコピーしてください。それが完了したら、新しいトークンをAzureに入力し、再度接続テストをクリックします。

必須属性の解決

メール属性は必須です。このフィールドがアイデンティティプロバイダー (IdP) 内のユーザー情報に欠けている場合、ユーザーはCMAにプロビジョニングされますが、プロファイルにはメールアドレスがない状態になります。
ユーザープロファイルにメールフィールドがない場合、システムはSDPライセンスを割り当てることができず、ユーザーはSDPクライアントを介して正常に接続することができません。

プロビジョニングアプリケーションにユーザー/グループを割り当てる

プロビジョニングアプリケーションにユーザーまたはグループを割り当てるには、ユーザー/グループの追加をクリックし、「ユーザーとグループ」を選択します。
その後、右側のペインが表示され、追加するそれぞれのユーザー/グループを選択できます。
ユーザーとグループをプロビジョニングアプリケーションに追加後、通常の自動プロビジョニングサイクルを待たずに、「Provision on Demand」を使用してこれらのユーザー/グループを CMA で手動でプロビジョニングできます。

注意: ネストされたグループのプロビジョニングはサポートされていません

ユーザー/グループにおけるスコーピングフィルターの解決

もしユーザーまたはグループがスコーピングフィルターによって意図せずに除外されている場合：
- スコーピングフィルターの条件を調整して、ユーザー/グループが含まれるようにします。
- フィルターのロジック（AND/OR）が意図した動作に一致していることを確認します。
詳細については、Microsoftドキュメント - スコーピングフィルターでプロビジョニングするユーザーまたはグループのスコープの定義を参照してください。
調整を行った後、オンデマンドでプロビジョニングを再実行し、ユーザー/グループが現在含まれていることを確認します。

ライセンス問題の解決

アクセス > ユーザーに移動し、ユーザーディレクトリをクリックします。ユーザーがSDPライセンスを割り当てられているかどうかを確認します。以下のスクリーンショットは、ScimユーザーにSDPライセンスが割り当てられていないことを示しています。
次にアクセス > ライセンス配布に移動し、"すべてのユーザーにSDPライセンスを割り当てる" オプションが有効になっているかどうかを確認します。
- 有効である場合、ユーザーの総数がSDPライセンスの総数を超えていないか確認します。
- ユーザー数が利用可能なライセンスを超えている場合は、追加のSDPライセンスを取得するためのオプションについてCatoの営業担当者にお問い合わせください。
- 担当者が誰か分からない場合は、サポートにお気軽にお問い合わせください。
"特定のユーザーまたはグループにSDPライセンスを割り当てる"が選択されている場合、SCIMプロビジョニングされたユーザーが割り当てられたグループに含まれていることを確認してください。

CMAにおける重複ユーザーの解決

Azureでユーザーが削除されると、システムはオブジェクトID値をUPN値に付加し、ユーザーのアクティブステータスをfalseに設定します。この操作により、SCIMデータベース内のユーザーが非アクティブになり、オブジェクトID+UPNを含むようにUPN値が更新されます。この動作はMicrosoftドキュメントに沿っています。
同じユーザーが同じメールアドレスを使用して Azure 内で再作成された場合、SCIM データベースと CMA の両方に異なる ObjectID を持つ重複ユーザーが作成されます。この段階で、重複ユーザーの UPN は異なります。このシナリオでは、重複を避けるために CMA 内で無効なユーザーを削除する必要があります。
Cato は重複したメールアドレスを持つユーザーを許可しますが、SDP ライセンスを割り当てることができる重複ユーザーは 1 人のみです。 UPN と ObjectID は、すべての SCIM ディレクトリサービスでユニークである必要があることに注意してください。

注意事項と制限

異なるユーザーはSCIMとLDAPを通じてプロビジョニングされることができます。しかし、ユーザーがSCIMとLDAPの両方を通じてプロビジョニングされた場合、SCIMプロビジョニングが優先されます。結果として、ユーザーはLDAPプロビジョニングされたグループから削除され、SCIMプロビジョニングされたグループに追加されます。詳細については、SCIMおよびLDAPでのユーザーのプロビジョニングを参照してください。
SCIMとLDAPの間で切り替えることを計画している場合は、スムーズな移行を確保するために、まずSCIMとLDAPユーザープロビジョニングの間で切り替えを読んでください。
ユーザーとグループは CMA で削除できますが、ユーザーは SCIM アプリ内で直接削除することをお勧めします。これを行う正しい方法の詳細については、SCIMアプリからのユーザーまたはグループの削除を参照してください。

Catoサポートへの問い合わせ

上記のトラブルシューティング手順の結果を含めてサポートチケットを提出してください。次の情報をチケットに含めてください：

問題の説明とユーザーへの影響
- SCIMプロビジョニング中に発生した問題の明確な説明。
- 影響を受けたユーザーへの範囲と影響の概要（例：影響を受けたユーザーの数、受け取ったエラーメッセージ等）。
CMAへのプロビジョニング状況
- 影響を受けたユーザーはCMAに正常にプロビジョニングされましたか？
  - そうでない場合、ログを調べることで追加の洞察が得られ、根本的な原因を特定するのに役立ち、さらなるトラブルシューティングと解決を促進します。
    - www.portal.azure.comにログインしてください。エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > プロビジョニングに移動
    - 「プロビジョニングログ」をクリックして、プロビジョニング履歴を表示します。
    - 特定のプロビジョニングをクリックすると、右側に「プロビジョニングログの詳細」ペインが表示されます。以下から、このオブジェクトの同期がアプリケーションに割り当てられていないためにスキップされたことがわかります。
  - また、影響を受けたユーザーに対してオンデマンドプロビジョニングを試みて、以下を含めてください：
    - 結果（成功またはエラーメッセージ）のスクリーンショット
    - オンデマンドプロビジョニングが実行された正確なタイムスタンプ
SDP クライアントへの接続性
- プロビジョニングが成功したユーザーはSDPクライアントに接続できますか？
  - 接続を試みた際のエラーを示すクライアントUIのスクリーンショットをご提供ください
  - 記録機能を使用してクライアントのログを提供してください。