Entra ID(이전 명칭: Azure)와의 SCIM 프로비저닝

이 문서는 Azure SCIM 앱을 사용하여 사용자 및 그룹 정보를 자동으로 동기화하고, Entra ID에서 Cato 계정으로 사용자와 그룹을 프로비저닝하는 방법을 설명합니다.

지원되는 기능

  • Cato 관리 애플리케이션에서 사용자 생성 및 비활성화

  • Azure AD에서 Cato 관리 애플리케이션으로 사용자 및 속성을 동기화하세요.

  • Azure로의 단일 사인온 (SSO)

  • 사용자는 Azure 구성에 따라 이메일 또는 UPN으로 인증할 수 있습니다.

사전 준비 사항

Azure SCIM 앱을 생성하기 전에 다음 항목이 준비되었는지 확인하세요.

  • Entra ID 테넌트

  • 사용자 프로비저닝을 구성하기 위한 Entra ID 권한

서비스 제한

  • IdP 애플리케이션에서 사용자를 제거하면 Cato 관리 애플리케이션에서 사용자가 비활성화됩니다 (아래에서 SCIM 앱에서 사용자 또는 사용자 그룹 제거 참조).

  • 사용자에 대한 LDAP 동기화를 사용하는 계정의 경우, SCIM 프로비저닝을 활성화하면 이 동기화가 계정에서 비활성화됩니다.

    • 사용자 인식에 대한 LDAP 동기화는 정기적으로 계속 작동하며 SCIM 프로비저닝에 영향을 받지 않습니다.

  • 중첩된 그룹의 프로비저닝은 지원되지 않습니다

  • SCIM 동기화는 같은 이름을 가진 기존 LDAP 그룹을 덮어씁니다. 자세한 내용은 SCIM 동기화가 기존 LDAP 그룹을 덮어쓰는 방법을 참조하세요

  • SCIM으로 프로비저닝된 사용자는 WMI 기반 사용자 인식과 함께 식별되지 않습니다. Cato 신원 에이전트를 사용하여 SCIM과의 사용자 인식이 지원됩니다.

  • 온디맨드 프로비저닝은 사용자를 사용자 그룹에 할당하는 것을 지원하지 않습니다

사용자 동기화 계획

이 섹션은 사용자 동기화를 위해 Entra ID를 계획하는 방법을 설명합니다. Azure와 Cato 사이의 사용자 동기화 계획에 대한 자세한 내용은 Microsoft의 다음 문서를 참조하세요:

사용자 동기화를 위한 사용자 및 그룹 정의

Entra ID는 다음 방법 중 하나에 따라 Cato와의 사용자 동기화에 포함된 사용자를 정의할 수 있게 해줍니다:

Cato와의 사용자 동기화 계획 과정의 일환으로, 소규모 사용자 그룹부터 시작하기를 권장합니다. 위 방법에 따라, 다음을 수행할 수 있습니다:

  • 소수의 사용자를 Entra ID 앱에 할당

  • 소수의 사용자와만 일치하는 속성 기반 범위 필터 생성

Cato SCIM 앱과 함께 사용자 자동 동기화 구성

Entra ID를 Cato 계정에 연결하고 사용자 간 동기화를 수행할 수 있습니다. Azure 갤러리에 Cato SCIM 앱을 추가한 후, Cato 계정과 연결하기 위해 설정을 구성합니다. Azure는 40분마다 자동 사용자 동기화를 시작합니다.

그런 다음 동기화된 Entra ID 그룹과 사용자를 정의하고 자동 프로비저닝을 활성화할 수 있습니다.

신원 공급자(IdP)의 사용자 상태는 자동으로 Cato 계정과 동기화됩니다. 예를 들어, IdP에서 사용자를 비활성화하면 Cato 계정에 비활성 상태로 동기화됩니다.

참고: Azure의 SCIM 그룹에 있는 총 사용자 수와 CMA SCIM 그룹을 비교해보면, CMA SCIM 그룹에는 사용자가 더 적을 것입니다. 이는 비활성화된 사용자가 동기화되었다가 이후에 비활성화되었거나 항상 비활성화된 사용자를 고려하지 않기 때문입니다.

Cato SCIM 앱 구성

Azure 갤러리에서 Cato SCIM 앱의 설정을 구성한 다음, 앱이 사용자를 Cato에 자동으로 동기화하도록 설정합니다.

Cato 관리 애플리케이션에서 SCIM 프로비저닝을 활성화하고 URL과 토큰을 Cato SCIM 앱의 관리자 인증 섹션에 복사합니다.

기존 앱에 새 속성을 추가하려면 SCIM 앱을 업데이트하세요.

Cato 관리 애플리케이션을 SCIM 앱에 연결하려면:

  1. Azure 포털에서 기업 애플리케이션으로 이동합니다.

  2. 새 애플리케이션으로 이동한 다음, Cato Networks 프로비저닝 앱을 검색하고 생성을 클릭합니다.

  3. Cato 관리 애플리케이션의 네비게이션 메뉴에서 액세스 > 디렉토리 서비스를 선택하고 SCIM 탭을 클릭합니다.

    SCIM.png

  4. SCIM 프로비저닝 활성화를 선택하여 계정을 SCIM 앱에 연결하도록 설정합니다.

  5. 저장을 클릭하세요.

  6. SCIM URL과 토큰을 복사하여 빈 텍스트 파일에 붙여넣습니다.

    1. 기본 URL에서 애플리케이션 아이콘 copy.png을 클릭하여 SCIM URL을 클립보드에 복사한 다음 파일에 붙여넣으세요.

    2. Bearer 토큰에서 애플리케이션 아이콘 copy.png을 클릭하여 고유 계정 토큰을 클립보드에 복사한 다음 파일에 붙여넣으세요.

  7. Azure에서 SCIM 앱의 프로비저닝 섹션으로 이동하여 SCIM URL과 토큰을 붙여넣습니다.

    1. 테넌트 URL에 URL을 붙여넣으세요.

    2. 비밀 토큰에 토큰을 붙여넣으세요.

    3. 저장을 클릭하세요.

  8. Azure에서 연결 테스트를 클릭하여 Azure AD가 Cato SCIM 앱에 연결할 수 있는지 확인하세요.

  9. 앱에서 자동 프로비저닝을 활성화합니다.

    1. 네비게이션 메뉴에서 프로비저닝을 선택하세요.

    2. 프로비저닝 화면에서 시작하기를 클릭하세요.

    3. 프로비저닝 모드 드롭다운 메뉴에서 자동을 선택하세요.

    4. 저장을 클릭하세요.

  10. 그룹과 사용자를 앱에 할당하세요.

사용자를 Cato 계정에 프로비저닝하기

Cato SCIM 앱이 계정에 연결될 수 있으면, 자동 프로비저닝을 활성화하고 동기화된 사용자와 그룹을 선택하세요.

사용자를 Cato 계정에 프로비저닝하려면:

  1. Cato SCIM 앱에서 프로비저닝 섹션으로 이동합니다.

  2. 프로비저닝 상태에서 프로비저닝 시작을 클릭하세요.

    Azure_StartProvisioning.png

    Azure AD와 Cato 계정 간의 초기 동기화가 시작됩니다.

기존 SCIM 앱 업데이트

다음 단계에 따라 기존 Microsoft Entra ID SCIM 애플리케이션의 속성 목록 및 속성 매핑을 업데이트하여 추가 사용자 속성이 Cato에 프로비저닝되도록 합니다. Cato에서 사용하는 최신 속성에 접근하기 위해 필요합니다. 예를 들어 직책과 부서명을 포함합니다.

참고

참고: SCIM 애플리케이션이 2025년 11월 이전에 생성된 경우, 새로운 SCIM 애플리케이션을 생성하고 아래 설명된 대로 속성을 구성해야 합니다.

기존 SCIM 앱 업데이트:

  1. Azure 포털에서 기업 애플리케이션 > 모든 애플리케이션으로 이동하여 Cato SCIM 앱을 선택합니다.

  2. 프로비저닝을 클릭한 다음 속성 매핑을 클릭합니다.

  3. 속성 매핑 페이지에서 고급 옵션 보기 체크박스를 선택하고 <appName>의 속성 목록 편집을 클릭합니다.

  4. 속성을 추가하고 유형 드롭다운에서 관련 값을 선택하세요.

    추가하려는 각 속성에 대해 이 과정을 반복하세요.

  5. 저장을 클릭하세요.

  6. 속성 매핑 페이지에서 속성 편집을 클릭하세요.

  7. 속성 편집 페이지에서 소스 속성을 선택하고 대상 속성에 매핑합니다.

    예를 들어, 소스로 jobTitle을 선택하고 대상에서 title에 매핑하세요.

    추가하는 각 속성에 대해 이 과정을 반복하세요.

  8. 저장을 클릭하세요.

  9. 사용자와 그룹을 계정에 프로비저닝하세요.

SCIM 프로비저닝 속성 검토

Cato SCIM 애플리케이션을 구성한 후, Entra ID와 Cato 관리 애플리케이션 간의 SCIM 프로비저닝 속성 매핑을 검토할 수 있습니다.

Azure AD 속성

Cato 사용자 속성

사용자에 대한 메모

userPrincipalName

userName

사용자의 사용자 이름

Coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

이메일 주소

givenName

name.givenName

이름

surname

name.familyName

telephoneNumber

phoneNumbers[type eq "work"].value

전화번호 (포함 프리픽스)

objectId

externalId

사용자의 ID (이벤트에서 사용됨)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

활성

SCIM 애플리케이션에서 사용자가 할당 해제되면, 사용자는 "False", "True", "True", "False" 매개 변수로 소프트 삭제됩니다.

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

제목

부서명

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

SDP 라이선스 할당

IdP에서 Cato 계정과 동기화될 그룹 및 사용자를 정의합니다. 초기 동기화가 완료된 후, 모든 사용자는 Cato 관리 애플리케이션에 생성되고 사용자 디렉토리 페이지에 표시됩니다.

그런 다음 사용자에게 SDP 라이선스를 할당할 수 있습니다. 자세한 정보는 사용자에게 ZTNA 라이선스 할당을 참조하세요.

SCIM 앱에서 사용자 또는 사용자 그룹 제거

참고

중요: 사용자는 CMA에서 삭제할 수 있지만, SCIM 앱으로 프로비저닝된 사용자 또는 사용자 그룹을 Cato 관리 애플리케이션에서 직접 삭제할 것을 권장합니다.

SCIM 앱으로 Cato 계정에 프로비저닝된 사용자 또는 사용자 그룹을 제거하려면, 앱에서 할당 해제하십시오. 사용자 및 사용자 그룹은 SCIM 앱이 계정과 다음 동기화할 때 자동으로 비활성화됩니다.

Cato 계정과 동기화된 사용자 또는 사용자 그룹을 제거하려면:

  1. Cato SCIM 앱에서 사용자 또는 사용자 그룹을 할당 해제하십시오.

    다음 동기화 시, SCIM 앱은 Cato 계정에서 사용자 또는 사용자 그룹을 비활성화합니다.

  2. (선택 사항) 사용자가 비활성화된 후에는 Cato 관리 애플리케이션에서 삭제할 수 있습니다.

    사용자 또는 사용자 그룹을 수동으로 삭제하기까지 최대 15분이 걸릴 수 있습니다.

SCIM 프로비저닝을 위한 이벤트 이해하기

Cato 관리 애플리케이션은 사용자가 클라이언트 연결 정책의 요구 사항을 충족하지 않아 차단될 때마다 이벤트를 생성합니다.

매시간 Cato 관리 애플리케이션은 SCIM 프로비저닝 작업(성공 또는 실패)에 대한 요약을 이메일 알림으로 보냅니다.

다음 표는 다양한 이벤트를 설명합니다.

이벤트 유형

작업

설명

SCIM 프로비저닝

성공

SCIM 앱을 사용하여 사용자 또는 그룹을 계정에 동기화하는 작업이 성공했습니다.

SCIM 프로비저닝

실패

SCIM 앱이 IdP를 계정과 동기화하는 데 실패했습니다. 이벤트 메시지는 동기화 실패의 이유를 설명합니다.

SCIM 프로비저닝

비활성화됨

IdP에서 비활성화된 사용자가 성공적으로 동기화되어 Cato 계정에서 비활성화되었습니다.

도움이 되었습니까?

5명 중 4명이 도움이 되었다고 했습니다.

댓글 0개