XOpsネットワークプレイブック - SCIMプロビジョニング失敗

このプレイブックは、スケジュールされたSCIMプロビジョニングが失敗したときに問題を解決する手順を説明します。

概要

SCIMの同期は、ユーザをCMAにプロビジョニングするために重要であり、シームレスなオンボーディングとリソースへの一貫したアクセスを保証します。 同期の頻度は使用されるIDプロバイダー(IdP)によって異なります。「SCIMプロビジョニング」で説明されています。 

SCIMプロビジョニングが失敗すると、新しく作成されたユーザーが必要なサービスに接続またはアクセスできず、セキュリティポリシーが正しく適用されない可能性があります。 迅速な検出と解決を支援するために、IdPとCMAの間でプロビジョニングの失敗が発生した場合、自動的にXOpsストーリーが生成されます。

ネットワークXOpsストーリーに対応する際には、問題に対して体系的にアプローチすることが重要です。 まず、問題が進行中であることを確認し、次に問題をトラブルシューティングし、最終的に問題が解決されたことを確認してください。

ステップ1 - SCIM同期失敗の検証

Cato Management Applicationの管理者がSCIM同期が失敗したことを確認する方法は以下の通りです。 

ストーリードリルダウンを使用

  • SCIMの同期が失敗すると、XOpsストーリーが生成されます。
  • ストーリーワークベンチページに移動し、「ネットワークオペレーション」プリセットを使用し、フィルタ「強調表示 含む SCIM」を含めます。 必要に応じて時間枠を調整します。
  • ストーリーが生成されているかを確認します。
  • ストーリーをクリックして詳細をドリルダウンします。 ストーリーのステータス、インシデントタイムライン、そして重要なことに、SCIM同期のステータスに関する情報を提供します。 
  • ストーリードリルダウンをさらにスクロールすることで、インシデントタイムラインが見つかります。 このタイムラインは、SCIM同期のステータスにおける変更を強調表示します。 右側のペインには、問題をトラブルシューティングする手順を示したプレイブックワークフローが表示されます。

     

イベントを使用

  • SCIM同期の失敗は、関連するイベントエントリを調査することで確認できます。
  • このイベントを表示するには、イベントダッシュボードをフィルタし、サブタイプSCIMプロビジョニングに設定し、アクション失敗に設定します。 問題が発生したときに合うように時間枠を調整します。

  • SCIM同期の失敗が検出された場合、以下の例に示すようなイベントが表示されます。 イベントメッセージには同期失敗の理由が表示されます。 以下の例では、「内部サーバーエラー」が原因です。 

 

ステップ2 - SCIM同期失敗のトラブルシューティング

このセクションでは、このタイプのインシデントに対して、Catoで利用可能な構造化されたトラブルシューティングアプローチのためのツールを概説します。 ステップは通常順番に従うことを意図していますが、各チェックの結果は次のステップに影響を与える可能性があります。

オンデマンドプロビジョニングの実行

  • 問題が一度だけの発生であるかどうかを判断するために、IdPプラットフォームからオンデマンドプロビジョニングを実行します。 Azureの場合、エンタープライズアプリケーション > Cato Networks Provisioning > プロビジョニングに移動し、「オンデマンドプロビジョニング」をクリックします。
  • アプリケーションに割り当てられたユーザーまたはグループを選択し、「プロビジョン」ボタンをクリックします。
  • SCIM同期が正常に完了すると、SCIM同期障害が孤立したインシデントであった可能性があります。 管理者は、SCIM同期時間と一致するプロバイダーの中断またはCatoの保守活動がないかを確認する必要があります。
  • SCIM同期も失敗した場合、問題が持続しており、IdPとの同期が正常に完了していないことを示します。 この場合、問題の原因となる可能性がある最近の設定変更を確認します。
     

監査トレイルでの変更の確認

  • 監査証跡ページで変更を確認して、構成変更がこの問題の原因かどうかを判断します。 このステップは、スケジュールされた同期が正常に機能していたが突然停止した場合に特に重要です。
  • ドメイン構成に加えられた変更を表示するには、モデルタイプをドメインに設定して監査ダッシュボードをフィルタリングします。 問題が発生したときに合うように時間枠を調整します。
  • 以下のスクリーンショットの例では、管理者がOktaのSCIMプロビジョニングに設定変更を加えたことが示されています。 この活動のタイミングがSCIM同期障害と一致する場合、管理者は変更を元に戻して、変更が原因かどうかを判断できます。 
  • SCIM接続性に影響を与える可能性のある他の要因は、IdP側のアプリケーションへの変更です。 Azureの場合、エンタープライズアプリケーション > Cato Networks Provisioningに移動し、監査ログおよびプロビジョニングログを確認して、構成変更がSCIM障害を引き起こしたかどうかを判断します。

管理者資格情報の更新

  • IdPとの資格情報障害を確認するには、ディレクトリサービス > SCIMの下にあるCMAから新しいトークンを生成します。 トークンの生成をクリックし、新しいトークンをコピーします。

  • Azureの場合、エンタープライズアプリケーション > Cato Networks Provisioning > プロビジョニングに移動して、プロビジョニング > 管理者資格情報を展開します。 CMAから生成されたトークンを入力し、「接続テスト」をクリックします。

  • 認証が成功した場合、IdPとCMAの間でのトークンミスマッチが問題の原因である可能性があります。

     

ステップ3 - SCIM同期が機能していることを確認する

SCIM同期の失敗を引き起こした問題を特定して解決した後、同期がストーリーで解決済みとして表示されていることを確認します。 

ストーリードリルダウンを使用

注: 問題が解決されると、ストーリーのステータスは「オープン」から「モニタリング」に変わります。 さらなるインシデントがなければ、この状態は次の1時間続きます。 詳細情報については、ストーリーの列を理解するを参照してください。 

インシデントタイムライン

インシデントタイムラインは、スケジュールされた同期のステータスにおける変更を表示します。 最も最近のステータスが「クローズド」に更新されたかどうかを確認するために使用できます。

 

Catoサポートへのケースのエスカレーション

このプレイブックを実行しても問題が解決しない場合は、サポートチケットを提出してください。 リクエストに対する最も役立つ回答を得るには、管理者が実施したトラブルシューティング手順の結果を提供する必要があります。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント