LDAPベースのユーザー提供からSCIM(クロスドメインアイデンティティ管理のシステム)への移行は、アイデンティティ管理を合理化し、Microsoft Entra IDなどの現代的なアイデンティティプロバイダー(IdP)との統合を強化します。 この記事は、技術管理者に対して、既存のユーザーおよびグループ管理をLDAPサーバーからCato Management Application(CMA)内のSCIMへ移行する明確な方法を提供します。
この移行は、既にLDAPを通じて同期された既存のユーザーデータを活用し、プロビジョニングの責任をSCIMに移し、最小限の中断で運用効率を強化します。 特に、このガイドではIdPの例としてMicrosoft Entra IDを使用し、必要な設定とフィールドマッピングを詳述します。 ただし、ここに記載された原則と手順は、SCIMをサポートする他のIdPに容易に適応できます。
SCIMプロビジョニングへの移行準備が完了したら、続行してください:
-
移行するすべてのユーザーに対してAlways-Onを一時的に無効にします。
-
全てのSCIMユーザーユーザグループをライセンス割り当てページに追加。
これは、移行中にユーザーがネットワークから切断される可能性があるためです。
-
移行するユーザーの数が割り当てられたSDPライセンスの数を超えていないことを確認します。
ライセンスよりも多くのユーザーがいる場合、ライセンスが必要なグループの移行を優先し、続行する前にすべてのSCIMユーザーグループをライセンス割り当てページから削除します。
-
LDAPディレクトリをクリーンアップし、不要なユーザーおよびグループをすべて削除します。
-
LDAP同期の設定を更新して、存在しなくなったユーザーを無効にするのではなく削除します。
-
CMAで、アクセス > ディレクトリサービスに移動し、LDAPタブをクリックします。
-
LDAPドメインを選択し、一般セクションで無効を選択します。
-
-
既存のADグループにネストされたグループがないか確認します。Catoはネストされたグループをサポートしていません。
-
ソース/デスティネーションとして重要なユーザーグループを持つWANまたはインターネットファイアウォールルールを見つけ、すべてのユーザーグループをルールに追加します。
移行後にこの変更を元に戻すことを確認してください。
-
個別に追加されたユーザーがいるルールを特定し、これらのユーザーをグループに変換します。
注意:これは必須のステップではなく、ダウンタイムに依存します。移行中にリソースにアクセスできなくなることがユーザーにとって許容される場合です。
-
-
SCIMのグループ設定がLDAPのグループ設定と同じであることを確認します。 例えば、LDAPドメインのユーザーはSCIMアプリで同じグループを持っています。
-
メールアドレス、UPN、名前、姓などのユーザーおよびグループ属性は、IdP(例:Entra ID、Okta)とLDAP(AD)で同一であり、更新失敗や重複オブジェクトを防ぐべきです。
-
移行の一環としてメールやその他の属性の変更が必要な場合、CMAで競合を避けるためにこれらの調整は移行前または後に行う必要があります。
移行中は変更禁止期間を設けることを強くお勧めします。
-
IdPアプリケーションを構成するための適切な権限が必要です。
-
ユーザーおよびグループ属性のバリデーションは、PowerShell(例)などのツールを使用して移行前に行い、メンテナンス開始前にLDAPとSCIMプロバイダー間の不一致を特定および修正します。
-
(オプション)影響を受けたCMAページのエクスポート(またはスクリーンショット)を作成します:ファイアウォール(インターネット / WAN)ルール、ネットワークルール、Always-Onポリシー、クライアント接続ポリシー、ユーザーディレクトリ、ユーザーグループ。
-
https://status.catonetworks.com:CMAサービスのメンテナンスウィンドウが、移行の実際のメンテナンスウィンドウと重ならないようにチェックします。
これは、Catoアカウント内のSCIMでプロビジョニングされたユーザーのロジックです:
-
SCIMでプロビジョンされたユーザーは、LDAPでプロビジョンされたユーザーや手動で作成されたユーザーを上書きします。
-
ユーザーは内部ID、オブジェクトID、UPN、またはメールで一致します。
LDAPでプロビジョンされたユーザーがこれらの条件を満たしていることを確認します:
-
既存のユーザーはCMAアクセス > ユーザー > ユーザーディレクトリにいます。
-
SCIMでプロビジョンされるユーザーと同じUPNまたはメールアドレスを持っています。
-
UPNまたはメールアドレスが異なる場合、重複したユーザーが作成されます。
-
重複したユーザーが誤って作成された場合、以下の手順に従います:
-
SCIM Cato Network Provisioningアプリからユーザーを削除します。
-
CMAから重複したユーザーを削除します。
-
LDAP IdPでメールアドレスを更新し、もう一度ユーザーをプロビジョンします。
-
-
-
同じオブジェクトIDまたはUPNを持つユーザーが複数いる場合、SCIMユーザーは既存のLDAPユーザーを上書きせず、イベントが生成されます。
-
SCIMでプロビジョンされたユーザーグループは、LDAPでプロビジョンされたユーザーグループを上書きします。
-
同じオブジェクトIDまたはグループ名を持つグループが複数ある場合、上書きに失敗します。 この場合、重複しているグループを削除することをお勧めします。
-
LDAP用のユーザーグループ - SCIMプロビジョニングへの移行後、ユーザーは自動的にLDAPユーザーグループから削除され、新しいSCIMユーザーグループに追加されます。
ユーザーグループの移行例:ユーザーが複数のユーザーグループに属している場合、SCIMに移行されたユーザーグループにはアクティブになり、まだ移行されていないユーザーグループ(CMAでLDAPとしてマークされた)からは一時的に削除されます。 すべてのユーザーグループがSCIMに移行されると、それらのユーザーグループでユーザーが再び有効になります。 これは、一部のアプリケーションでCMAに異なるユーザーグループタイプ(SCIMとLDAP)のルールが使用され、ユーザーグループタイプが同じ移行バッチにない場合、ユーザーのダウンタイムを引き起こす可能性があります。
0件のコメント
記事コメントは受け付けていません。