SCIMとLDAPのユーザープロビジョニングの変更

この記事では、SCIMからLDAPまたはその逆にプロビジョニング方法を変更する際の考慮事項を説明します。

概要

Catoは、ユーザーのアイデンティティを管理するための集中サービスである既存のIDプロバイダ（IdP）を活用し、アカウントへのユーザープロビジョニングと同期を簡単に行えるようにサポートしています。 IdPはCatoアカウントに統合されており、ユーザーを自動的にインポートおよび更新します。これにより、ユーザー識別の唯一のソースを持つことが保証され、環境全体で一貫したユーザー識別を提供します。 SCIMプロトコル対LDAPのユーザープロビジョニングの詳細については、SCIMプロトコルとLDAPを使用したユーザープロビジョニングを参照してください。

Catoは、ユーザーをインポートおよび作成するための以下の方法をサポートしています：

SCIMを介してIdPからユーザーをインポート
LDAPを介してIdPからユーザーをインポート
Cato管理アプリケーションでユーザーを手動で作成

各メソッドの設定方法についての詳細は、ディレクトリサービスを参照してください。

SCIMインポートの利点

ユーザー認識は、Windowsクライアントv5.4以降およびmacOSクライアントv5.3以降で対応しています。詳細については、User Awarenessに関するCatoアイデンティティ・エージェントの使用をご覧ください。
IdPからCatoアカウントにユーザーを即座に同期します。
グループメンバーシップまたはユーザープロフィールへの更新や変更は、ほぼリアルタイムで更新されます。
受信ファイアウォールルールを設定することなく、IdPをCatoアカウントに統合します。
SCIMはIdPベンダーによって広くサポートされており、アカウントとの統合も簡単です。

ユーザーがどのようにプロビジョニングされるかの変更

ユーザーがプロビジョニングされる方法を変更する前に、ユーザーとユーザーグループに及ぼす影響を理解することが重要です。

LDAPからSCIMプロビジョニングへの変更

LDAPからSCIMプロビジョニングに変更する際、ユーザーとユーザーグループに適用されるルールは以下の通りです：

SCIMプロビジョニング済みユーザーは、LDAPプロビジョニング済みユーザーと手動で作成されたユーザーを上書きします
- ユーザーは、そのUPNまたはメールアドレスに基づいて一致として識別されます
  注意
  
  注意: LDAPからSCIMに変更する際、以下のベストプラクティスに従ってください：
  LDAPでプロビジョニングされたユーザーを確認してください：
  
  SCIMでプロビジョニングされるユーザーと同じUPNまたはメールアドレスを持っていること
  
  Cato管理画面の既存のユーザーであること
  
  UPNまたはメールアドレスが異なる場合、重複ユーザーが作成されます。
  
  すべてのSCIMユーザーにSDPライセンスを割り当てます。これにより、プロビジョニングがLDAPからSCIMに移行する際に、ユーザーがSDPライセンスを失うのを防ぎます。
  
  誤って重複したユーザーが作成された場合、Cato管理画面から重複するユーザーを削除し、IdPのメールアドレスを更新してから再度ユーザーをプロビジョニングします。
  
  同じオブジェクトIDまたはUPNを持つユーザーが複数いる場合、SCIMユーザーは既存のSCIMユーザーを上書きせず、イベントがトリガーされます。
SCIMでプロビジョニングされたユーザーグループは、LDAPでプロビジョニングされたユーザーグループを上書きします。 SCIMプロビジョニングが有効になると、Cato管理画面でLDAPでプロビジョニングされたユーザーグループを更新することはできません。
- ユーザグループはその名称またはオブジェクトIDに基づいて一致として識別されます
- 同じオブジェクトIDまたはグループ名を持つグループが複数ある場合、上書きは失敗します。上書きを成功させるには、重複するグループを削除することをお勧めします
- ユーザーは全てのLDAPでプロビジョニングされたユーザーグループから削除され、SCIMでプロビジョニングされたユーザーグループに割り当てられます
- 例：
  - 100人のユーザがLDAPでプロビジョニングされたR&Dという名前のユーザグループにいます
  - 10人のユーザがSCIMでプロビジョニングされたR&Dという名前のユーザグループにいます
  - Cato管理画面では、R&DのユーザグループはSCIMでプロビジョニングされた10人のユーザのみが含まれます

LDAPからSCIMユーザのプロビジョニングへ徐々に移行するには：

ナビゲーションメニューから、アクセス > ライセンス割り当てをクリックします。
選択されたユーザーまたはグループにSDPライセンスを割り当てるを選択します。
ドロップダウンからシステムグループとすべてのSCIMユーザーを選択します。

これにより、ユーザーがSDPライセンスを失うのを防ぎます。
SCIMプロビジョニングを有効にします。詳細については、SCIMでのユーザープロビジョニングを参照してください。

上記のルールに従って、ユーザーがSCIMでプロビジョニングされます。

注意: SCIMでユーザーがプロビジョニングされた後、LDAPでプロビジョニングされたグループから削除されます。これは適用されるポリシーに影響を与える可能性があります。

ハイブリッドAzure AD参加用のLDAPからSCIMプロビジョニングAzureへの変更

オンプレミスADおよびAzure ADのためにLDAPからSCIMプロビジョニング中に変更する際に適用されるプロビジョニングルールは、上記のLDAPからSCIMプロビジョニング中への変更と同じです。

SCIMでプロビジョニング中のユーザーは、User Awarenessによって識別されるためにSDPライセンスが必要です。 SDPライセンスなしでユーザーを識別するには、LDAPでプロビジョニングしてください。ユーザーを識別するために、一度認証が必要です。

Windowsクライアントv5.9以降では、SDPライセンスは不要で、アイデンティティ・エージェントによって識別されるために一度認証する必要もありません。

SCIMプロビジョニングからLDAPプロビジョニングへの変更

これらはSCIMからLDAPプロビジョニング中に変更を行う際にユーザーとユーザーグループに適用されるルールです：

LDAPでプロビジョニング中のユーザーは、SCIMでプロビジョニング中のユーザーを上書きしません
- 変更する前に、IDPからすべてのSCIMプロビジョニング済みユーザーを削除してください。これにより、Cato管理画面でユーザーが無効化されます
LDAPでプロビジョニング中のユーザーグループは、SCIMでプロビジョニング中のユーザーグループを上書きしません
- 変更する前に、IDPからすべてのSCIMプロビジョニング済みユーザグループを削除してください
変更する前に、SCIMプロビジョニング済みのユーザーとユーザグループをポリシーから削除し、Cato管理画面から削除してください