この記事では、ネットワークへの安全なリモート・アクセスのためにSDPユーザーをCatoアカウントにインポートする機能とオプションについて説明します。
ユーザー・アイデンティティはゼロトラストの基礎となる要素であり、Catoはユーザーのインポートと管理を容易にします。 Catoは既存のIdP(アイデンティティプロバイダー)を活用し、ユーザーのプロビジョニングと同期を容易にし、あなたのアカウントにユーザーを簡単に設定できます。 IdPはあなたのCatoアカウントと統合されており、ユーザーのインポートとアップデートを自動で行います。
これにより、ユーザー・アイデンティティの唯一の正確な情報源が保証され、環境全体のユーザー・アイデンティティの一貫性が保たれます。
Catoでは、ユーザーのインポートおよび作成に次の方法をサポートします:
-
LDAP経由でIdPからユーザーをインポート
-
SCIM経由でIdPからユーザーをインポート
-
Cato管理画面で手動でユーザーを作成する
CatoがサポートするIdPについての詳細は、あなたのCatoアカウントにおけるアイデンティティプロバイダーの使用をご覧ください。
LDAPを使用してアカウントにユーザーをプロビジョニングし、IdPからCatoにユーザーを同期できます。 Catoでは、LDAPインポートのために次のIdPをサポートしています:
-
MicrosoftオンプレミスまたはAzure Active Directory(AD)
(LDAPプロトコルでグループを同期)
-
Okta
-
OneLogin(vLDAPが必要)
-
Jump Cloud
IdPでのLDAPプロビジョニングの設定方法について詳しくは、LDAPユーザープロビジョニングセクションの記事をご覧ください。
-
ドメイン名
-
ADまたはLDAPプロバイダーに認証するためのログインDNまたはバインドDNと関連するパスワード
-
ベースDN:ディレクトリ内でユーザー認証を検索するときにLDAPサーバーが使用する開始地点
-
CatoがオンプレミスADまたはAzure ADに接続できるように、インバウンドファイアウォールルールを設定します
LDAPの同期プロセスは、自動的に24時間ごとに、GMTの0:00に発生します。 ユーザーの更新、削除されたユーザー、IdP内の異なるグループメンバーシップは、すべてアカウントに同期されます。
CatoはLDAPを通じて、ADとCato間でユーザーをインポートする際にセキュリティを強化し、LDAPからLDAPSに移行する能力を提供します。 CatoはLDAP接続を保護するためにTLS(SSL)を使用します。
CatoアカウントのためのLDAPSの設定手順:
-
IdP(例えばAD)でLDAPSを有効化する。
-
Cato管理アプリケーションにおいて、LDAPユーザープロビジョニングの暗号化を有効にする。
-
Catoはポート636を介してIdPに接続を試みます。
Azure ADやOktaなどのクラウドベースのIdPに対して、CatoはLDAPSのみをサポートします。これらのフローはパブリックインターネットを介して行われるため、本質的に安全ではありません。
CatoはIdPユーザーアカウントのパスワードを決してインポートまたは同期しません。
SCIMは異なるクラウドアプリベンダー間でアイデンティティ情報を交換する標準を定義し、IdPとCatoアカウント間で関連するアイデンティティデータを同期できます。
Catoは以下のIdPをサポートします:
-
Azure AD
-
Okta
-
OneLogin
-
OneWelcome
-
ユーザーをIdPからCatoアカウントに即座に同期します。
-
グループメンバーシップやユーザープロフィールの更新や変更はほぼリアルタイムで更新されます
-
IdPをCatoアカウントに統合する際に、インバウンドのファイアウォールルールを設定する必要はありません
-
SCIMはIdPベンダーによって広くサポートされており、あなたのアカウントにも簡単に統合できます
また、Cato管理画面でユーザーを手動で作成することもできます。 ユーザーを手動で作成することは特定の状況でよく使用されますが、ユーザーアイデンティティライフサイクルの管理に継続的な手作業が必要であるため、スケーラブルな解決策ではありません。
ユーザーを手動で作成する方法の詳細については、ユーザーの活用をご覧ください。
0件のコメント
サインインしてコメントを残してください。