SCIM 동기화 및 프로비저닝 문제 해결

개요

SCIM(System for Cross-domain Identity Management) 동기화 및 사용자 프로비저닝은 ID 관리 자동화 및 애플리케이션 및 리소스에 대한 안전하고 원활한 액세스 보장을 위해 필수적입니다. 그러나 이러한 자동화를 방해하는 문제들이 발생할 수 있으며, 이는 액세스 문제 또는 준수 위험을 초래할 수 있습니다. 이 운영 매뉴얼은 Cato에서 일반적인 SCIM 동기화 및 프로비저닝 문제를 해결하고 효과적인 해결책을 제공하기 위해 설계되었습니다.

증상

SCIM 프로비저닝 실패는 여러 방식으로 드러날 수 있습니다. 관리자는 다음 증상을 기록할 수 있습니다.

  • SCIM 활성화 오류 메시지
  • 사용자가 CMA에 프로비저닝되지 않음
  • IdP에서 CMA로 테스트 연결 실패
  • 프로비저닝된 사용자가 SDP 클라이언트에 연결 실패
  • CMA에 중복 사용자

가능한 원인

문제 해결 중 확인할 수 있는 가능한 원인을 나열합니다.

  • 잘못된 설정
  • 잘못된 관리자 자격 증명 사용
  • 라이센스 문제
  • IdP를 통해 프로비저닝된 중복 사용자

문제 해결

문제 해결 단계에 들어가기 전, 아래의 다이어그램은 SCIM 프로비저닝이 어떻게 작동하는지에 대한 고수준 개요를 제공합니다. LDAP은 풀 방식에 의존하지만, SCIM은 푸시 메커니즘을 사용하여 사용자 업데이트를 Cato 관리 애플리케이션(CMA)으로 직접 전달합니다.

Cato는 Azure, Okta, One Login을 통해 사용자에 대한 SCIM 프로비저닝을 지원합니다. 각 ID 공급자(IdP)에 대한 SCIM 프로비저닝 구성에 대한 자세한 정보는 SCIM을 통한 사용자 프로비저닝을 참조하십시오. 이 운영 매뉴얼은 Azure(Entra ID)와의 SCIM 프로비저닝에 중점을 두고 있지만, 핵심 개념과 문제 해결 기법은 다른 IdP에도 적용됩니다.

SCIM 활성화 시 오류

CMA에서 SCIM을 활성화할 때 다음 오류가 관찰됩니다: "SCIM 프로비저닝을 활성화할 수 없습니다. 지원에 문의하시고 계정 ID 구성 - 이메일을 참조하십시오".

이 오류가 발생하면 지원에 문의하여 계정의 사용자 ID 유형을 수정하십시오.

사용자가 CMA에 프로비저닝되지 않습니다

이 섹션은 사용자가 CMA에 프로비저닝되지 않는 일반적인 이유 몇 가지를 보여줍니다.

관리자 자격 증명 검증

  • SCIM 애플리케이션 > 프로비저닝 > 자격 증명 업데이트로 이동하십시오.
  • 관리자 자격 증명을 확장하고 연결 테스트를 클릭하십시오.
     
  • CMA와의 성공적인 통합 및 프로비저닝을 위해 다음 결과를 확인해야 합니다.
  • 테스트 연결이 실패하면, 관리자 자격 증명 해결을 참조하여 해결 방법을 확인하세요. 

필수 속성

  • Microsoft Entra ID와의 SCIM 프로비저닝에는 특정 속성이 필요합니다. 이 필수 속성이 누락되면 사용자 프로비저닝이 실패하거나 프로비저닝된 사용자가 연결할 수 없습니다.
  • 아래 스크린샷은 프로비저닝이 작동하기 위해 필수로 필요한 필드를 보여줍니다.
  • 이메일 필드가 누락된 경우, 사용자는 CMA에 프로비저닝되지만, SDP 클라이언트에 연결할 수 없습니다.
  • 이 문제가 원인인지와 해결 방법을 확인하려면 필수 속성 해결하기 섹션을 참조하십시오.

Azure 포털에서 엔터프라이즈 애플리케이션에 사용자/그룹이 할당되지 않음

Cato 프로비저닝 애플리케이션에 사용자가 추가되어야 CMA로 동기화될 수 있습니다. 이 섹션은 이를 검증하는 단계별 지침을 제공합니다.

  • 엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 사용자 & 그룹으로 이동하여 사용자가 나열되어 있는지 확인하십시오.
  • 아래 예시에서는 "Cato Networks Provisioning—APJ T1 Lab" 애플리케이션에 1개 그룹과 1명 사용자가 할당된 것을 볼 수 있습니다.
  • Azure에서 프로비저닝 애플리케이션에 사용자가 나열되지 않은 경우 사용자/그룹을 프로비저닝 애플리케이션에 할당하기를 참조하십시오. 

사용자/그룹의 범위 필터

  • 프로비저닝 설정에서 사용자나 그룹에 대한 범위 필터가 구성되어 있는지 확인하세요.
  • 엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 프로비저닝 > 매핑으로 이동한 후 사용자 또는 그룹 매핑을 선택합니다.
  • 문제가 되는 사용자나 그룹을 제외할 수 있는 소스 객체 범위 필터를 검토합니다.
  • 범위 필터로 인해 프로비저닝에 실패하면 해당 사용자/그룹은 생략되며, Azure는 실패 이유를 표시합니다.
  • 이 문제를 해결하려면 사용자/그룹의 범위 필터 해결를 참조하십시오.

SDP 클라이언트에 연결 실패한 프로비저닝된 사용자

  • CMA에서 SCIM 프로비저닝을 마친 후, 사용자가 이메일 주소와 하위 도메인을 입력한 후 SDP 클라이언트를 통해 연결하려고 할 때 다음 오류가 발생합니다.
  • 이 실패의 가능한 원인 중 하나는 라이센스 문제입니다.
  • 이 문제가 라이센스와 관련된 것인지 여부를 확인하고 문제 해결 방법을 보려면 라이센스 문제 해결를 참조하십시오.

CMA의 중복 사용자

같은 이메일 주소를 가진 중복 사용자가 CMA에 나타날 수 있습니다. 일반적으로 한 사용자는 비활성화되고 다른 사용자는 SDP 라이센스가 할당됩니다.

왜 이런 문제가 발생했는지와 어떻게 해결할 수 있는지에 대한 자세한 내용은 CMA의 중복 사용자 해결 섹션을 참조하십시오.

발견된 문제 해결

관리자 자격 증명 해결

  • CMA에 로그인하여 접근 > 디렉터리 서비스 > SCIM으로 이동하여 기본 URL이 Azure에서 구성된 테넌트 URL과 동일한지 확인합니다.
  • 기본 URL이 같다면, 새로운 토큰을 생성해보십시오.
  • CMA에서 구성을 저장하기 에 새로운 토큰을 복사하십시오. 완료 후 Azure에 새로운 토큰을 입력하고 다시 테스트 연결을 클릭하십시오.

필수 속성 해결

  • 이메일 속성은 필수입니다. IdP 내 사용자 정보에서 이 필드가 누락되어도 사용자는 CMA에 프로비저닝되지만, 프로필에 이메일 주소가 없을 것입니다.
  • 사용자 프로필에 이메일 필드가 없으면 시스템이 SDP 라이센스를 할당할 수 없어 사용자가 SDP 클라이언트를 통해 성공적으로 연결할 수 없습니다.

사용자/그룹을 프로비저닝 애플리케이션에 할당하기

  • 사용자 또는 그룹을 프로비저닝 애플리케이션에 할당하려면 사용자/그룹 추가를 클릭하고, "사용자 및 그룹"을 선택하십시오.
  • 그런 다음, 오른쪽 창이 나타나며 추가할 사용자/그룹을 선택할 수 있습니다.
  • 선택적으로, 프로비저닝 애플리케이션에 사용자와 그룹을 추가한 후, 일반적인 자동 프로비저닝 주기를 기다리는 대신 "요구 시 프로비저닝"을 통해 CMA에서 수동으로 사용자/그룹을 프로비저닝할 수 있습니다.

    참고: 중첩 그룹 프로비저닝은 지원되지 않습니다

사용자/그룹의 범위 필터 해결

  • 범위 필터가 사용자 또는 그룹을 의도치 않게 제외하는 경우:
    • 범위 필터 기준을 조정하여 사용자/그룹이 포함되도록 하십시오.
    • 필터의 논리(그리고/또는)가 의도한 동작과 일치하는지 확인하십시오.
  • 자세한 내용은 Microsoft 문서 - 범위 필터로 프로비저닝할 사용자 및 그룹 범위 정의를 참조하십시오.
  • 조정을 마친 후 요청 시 프로비저닝을 다시 실행하여 사용자/그룹이 이제 포함되어 있는지 확인하십시오.

라이센스 문제 해결

  • 접근 > 사용자로 이동하여 사용자 디렉터리를 클릭하십시오. 사용자에게 SDP 라이센스가 할당되었는지 확인하십시오. 아래 스크린샷은 Scim 사용자가 SDP 라이센스를 할당받지 않았음을 보여줍니다.
  • 다음으로 접근 > 라이센스 할당으로 이동하여 "모든 사용자에게 SDP 라이센스 할당" 옵션이 활성화되어 있는지 확인하십시오.
    • 활성화되어 있다면, 총 사용자 수가 SDP 라이센스 총 수를 초과하는지 확인하십시오.
    • 사용자 수가 이용 가능한 라이센스를 초과할 경우, 추가 SDP 라이센스 획득 옵션을 논의하기 위해 Cato 영업 담당자에게 문의하십시오.
    • 담당자가 누구인지 불분명하다면, 지원에 문의하십시오.
  • "선택된 사용자나 그룹에게 SDP 라이센스 할당"이 선택된 경우, SCIM 프로비저닝된 사용자가 할당된 그룹에 포함되어 있는지 확인하십시오.

CMA의 중복 사용자 해결

  • 사용자가 Azure에서 삭제될 때, 시스템은 ObjectID 값을 UPN 값에 전치시키고 사용자의 활성 상태를 false로 설정합니다. 이 행동은 SCIM 데이터베이스에서 사용자를 비활성화하고 UPN 값을 ObjectID+UPN으로 업데이트합니다. 이 행동은 Microsoft 문서와 일치합니다.

  • 동일한 이메일 주소로 Azure에서 동일한 사용자가 다시 생성되면, SCIM 데이터베이스와 CMA 둘다 개체 ID가 다른 중복 사용자가 생성됩니다. 이 단계에서 중복 사용자에 대한 UPN은 달라질 것입니다. 이 시나리오에서는 중복을 방지하기 위해 CMA에서 비활성화된 사용자를 삭제해야 합니다.
  • Cato는 이메일 주소가 중복된 사용자를 허용하지만, 하나의 중복 사용자만 SDP 라이선스를 받을 수 있습니다. UPN 및 ObjectID는 모든 SCIM 디렉토리 서비스에서 고유해야 합니다.

참고 사항 및 제한

  1. 다른 사용자는 SCIM 및 LDAP을 통해 프로비저닝할 수 있습니다. 그러나 사용자가 SCIM 및 LDAP 모두를 통해 프로비저닝된 경우 SCIM 프로비저닝이 우선합니다. 결과적으로 사용자는 LDAP 프로비저닝된 그룹에서 제거되고 SCIM 프로비저닝된 그룹에 추가됩니다. 자세한 내용은 SCIM 및 LDAP을 통한 사용자 프로비저닝을 참조하십시오. 
  2. SCIM 및 LDAP 프로비저닝 간 전환을 계획하고 있다면, 순조로운 전환을 위해 먼저 SCIM 및 LDAP 사용자 프로비저닝 간 변경을 읽어 보십시오.
  3. 사용자와 그룹은 CMA에서 삭제할 수 있지만, 사용자 삭제를 직접 SCIM 앱에서 수행할 것을 권장합니다. 적절한 절차에 대한 자세한 내용은 SCIM 앱에서 사용자 또는 그룹 삭제를 참조하십시오.

Cato 지원에 대한 문제 제기

위에 나온 문제 해결 단계를 따른 결과를 지원 티켓으로 제출하십시오. 티켓에 다음 정보를 포함하십시오.

  1. 문제 설명 및 사용자 영향
    • SCIM 프로비저닝 중에 발생한 문제의 명확한 설명.
    • 영향을 받은 사용자 범위 및 영향의 개요(예: 영향을 받은 사용자 수, 받은 오류 메시지 등).
  2. CMA에 대한 프로비저닝 상태
    • 영향을 받은 사용자가 CMA에 성공적으로 프로비저닝되었습니까?
      • 로그를 검사하면 문제의 근본 원인을 식별하는 데 추가적인 통찰력을 제공하고 문제 해결 및 해결 촉진에 도움을 줄 수 있습니다.
        • www.portal.azure.com에 로그인하십시오. 엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 프로비저닝으로 이동합니다.
        • "프로비저닝 로그"를 클릭하여 프로비저닝 기록을 확인하십시오.
        • 특정 프로비저닝을 클릭하면 오른쪽에 "프로비저닝 로그 세부 정보" 창이 열릴 것입니다. 아래에서 이 객체가 애플리케이션에 할당되지 않아 동기화가 건너뛰어진 것을 볼 수 있습니다.
      • 영향을 받은 사용자에 대한 요청 시 프로비저닝을 시도하고 다음을 포함시키십시오.
        • 결과(성공 또는 오류 메시지)의 스크린샷
        • 요청 시 프로비저닝이 수행된 정확한 타임스탬프
  3. SDP 클라이언트에 대한 연결성
    • 성공적으로 프로비저닝된 사용자가 SDP 클라이언트에 연결할 수 있습니까? 
      • 그렇지 않은 경우, 사용자가 연결을 시도할 때 오류를 보여주는 클라이언트 UI의 스크린샷을 제공하십시오
      • 문제 기록 기능을 사용하여 클라이언트의 로그를 제공하십시오.
  4.  
  5.  

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개