概要
SCIMプロビジョニングはアイデンティティプロバイダ(IdP)からのディレクトリサービス機能であり、Cato管理アプリケーション(CMA)内にユーザーをプロビジョニングするために使用されます。 このプロビジョニングを完了することができない場合、CMAにユーザーが追加されません。 このプレイブックでは、SCIMプロビジョニングプロセスの問題のトラブルシューティングに関するガイダンスを提供します。
症状
SCIMプロビジョニングに関する問題は、さまざまな方法で現れる可能性があります。 管理者は次の症状を指摘することがあります:
- SCIMプロビジョニングを有効にできません
- SCIMプロビジョニングを介してCMAにユーザーを追加できません
- 新しいユーザーがCMAに追加されましたが、正しく動作していません
- SCIMプロビジョニングを通じてCMAに追加できない追加ユーザー
- SCIMユーザーは更新されましたが、CMAには変更が反映されていません
考えられる原因
トラブルシューティング中に特定できる可能性のある原因は次のとおりです。
- アカウントがSCIMプロビジョニングの要件を満たしていません
- IdPとCMA間で認証情報の不一致があります
- IdPに属性が欠落しており、CMAに伝達できません
- ユーザーをプロビジョニングするためのライセンスが不十分です
- IdPのグループがアプリケーションに割り当てられていません
- ユーザーまたはグループがプロビジョニングアプリケーションで正しくスコープされていません
- 必要なユーザーまたはグループがIdP内でネストされています
- ユーザーまたはグループがプロビジョニングアプリケーションからCMAに関連フィールドを更新していません
トラブルシューティング
管理者が直面する症状をトラブルシューティングする手順を以下に示します。 これらのステップは、直面する問題の可能性のある原因を特定することを目的としています。 解決の手順はプレイブックの後半で強調表示されます。
SCIMプロビジョニングを有効にできないトラブルシューティング
アカウントがSCIMプロビジョニングの要件を満たしていることを確認してください
SCIMを有効にしようとすると、表示されるエラーメッセージを確認してください。 この場合、「SCIMプロビジョニングを有効にできません。 サポートに問い合わせ、アカウントID設定 - 電子メールを参照してください"
トラブルシューティング用のSCIMプロビジョニングはユーザーを追加するのに失敗します
プロビジョニングアプリケーションで認証情報が正しいことを確認してください
SCIMアプリケーション > Provisioning > Provisioning > 管理者認証情報に進んで接続テストを押し、エラーメッセージを確認します。
利用可能なライセンスを確認
モニタリング > イベントの下でアカウントのイベントを確認し、フィルターを適用します: イベントタイプはシステム サブタイプSdpライセンスのイベントを確認します
トラブルシューティングがありますます新しいユーザーがCMAに追加されましたが、正しく動作していません
CMAで属性が正しく設定されていることを確認
CMAは必須のメール属性がないユーザーにライセンスを割り当てることができません。
アクセス > ユーザー > ユーザー ディレクトリでユーザー エントリを確認し、メールフィールドに有効な内容があることを確認してください。
モニタリング > イベントの下でアカウントのイベントを確認し、フィルターを適用します: イベントタイプはシステム
利用可能なライセンスを確認
モニタリング > イベントの下でアカウントのイベントを確認し、フィルターを適用します: イベントタイプはシステム サブタイプSdpライセンスのイベントを確認します
トラブルシューティング追加ユーザーをSCIMプロビジョニングを介してCMAに追加できません
CMAにユーザーやグループが存在しない箇所を確認
アクセス > ユーザー > ユーザー ディレクトリまたはアクセス > ユーザー グループで期待されるユーザーやグループがCMAに表示されていない場合。
ユーザーディレクトリではSource SCIMでフィルタリングすることができます。
ユーザーグループを見るとタイプ:SCIM 定義が表示されます。
オンデマンド機能を使用してプロビジョニングの失敗理由を確認
プロビジョニングアプリケーションで、オンデマンドプロビジョニング機能を使用して、ユーザーのスコープを確認できます。 エンタープライズ アプリケーション > Catoプロビジョニングアプリケーション > プロビジョニング > オンデマンドプロビジョニングに移動し、ユーザーの詳細を入力してプロビジョンを押します。
失敗したら、スキップされたアクションの詳細を見ることができます。
このシナリオでは、ユーザーがブラザーフッド部門の一員であり、スコープルール'No Mutants'に適合していないことがわかります。これは、部門が 'Brotherhood' ではないという条項を含んでいます。
他のプロビジョニングエラーを確認中
グループがアプリケーションの一部でない他のシナリオも考えられます。表示されたメッセージを確認し、原因を特定します。
この場合、グループはアクティブでスコーピングに適合していますが、アプリケーションに割り当てられていないと報告されています:
トラブルシューティングSCIMユーザーは更新されましたが、CMAに変更が反映されていません
ユーザーはSCIMプロビジョニングアプリケーションで属性を更新することがありますが、プロビジョニングの同期が完了してもこれが反映されません。
発見された問題を解決する
アカウントがSCIMプロビジョニングの要件を満たしていないことを解決する
Catoサポートにケースを提出する必要があります。 以下の「Catoサポートへのケース提出」セクションを参照してください。
IdPとCMA間で認証情報の不一致を解決する
SCIMアプリケーション > プロビジョニング > プロビジョニング > 管理者認証情報に進んでください。 アプリケーションの認証情報(テナントURLとトークン)が有効であることを確認してください。
認証情報はCMAのアクセス > ディレクトリサービス > SCIMに利用可能です
これは、プロビジョニングアプリケーション内から接続テストボタンを押すことで確認できます。
解決:IdPで属性が欠落しており、CMAに伝達できません
エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > プロビジョニング > Mappingsに進み、Microsoft Entra IDユーザーのプロビジョニングを選択し、属性マッピングセクションでuserPrincipalNameがメールアドレスと共にマッピングされていることを確認します。
ユーザーをプロビジョニングするためのライセンスが不十分であることを解決する
CMAで管理 > ライセンス > ユーザーに移動し、追加を試みているユーザー数をプロビジョニングするための十分なライセンスがあることを確認します。
十分なライセンスが不足している場合は、非アクティブユーザーを未割り当て、無効、削除するか、販売チームに連絡して追加のライセンスオプションを確認してください。
解決: IdPのグループがプロビジョニングアプリケーションに割り当てられていません
エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > ユーザー&グループに進み、ユーザー/グループがリストにあることを確認します。
存在しない場合は、ユーザー/グループ追加ボタンから追加することができます
解決: ユーザーまたはグループがプロビジョニングアプリケーションで正しくスコープされていません
エンタープライズアプリケーション > Catoプロビジョニングアプリケーション > プロビジョニング > Mappingsに進んで、ユーザーやグループのマッピングを選択します。 ソースオブジェクトスコープフィルターに関連するユーザー/グループが含まれていることを確認します。
解決:必要なユーザーまたはグループがIdP内でネストされています
プロビジョニングアプリケーションにグループを追加する際には、他のグループ内にネストされずに個別のエントリとして追加されていることを確認してください。
SCIMユーザーは更新されましたが、CMAに変更が反映されていません
- 電子メール
- UPN
- 名
- 姓
- 電話番号
Catoサポートへのケースを提出
このナレッジベース記事を使用して、サポートチケットを提出してください。
リクエストに対して最も有益な対応を得るために、管理者はこの手順書を使用して実施されたトラブルシューティング手順の結果を提供する必要があります。 例えば、含む:
- アカウント名/番号
- 使用中のIdPプロバイダの詳細
- 関連するユーザーのUPNを含むIdPからのスクリーンショット
- IdPのユーザグループの詳細
0件のコメント
サインインしてコメントを残してください。