SCIM 마이그레이션 준비하기 (Part 1)

개요

LDAP 기반 사용자 프로비저닝에서 SCIM(도메인 간 Identity Management 시스템)으로의 마이그레이션은 Identity Management를 간소화하고 Microsoft Entra ID와 같은 현대적 Identity Providers(IdP)와의 통합을 강화합니다. 이 기사는 기술 관리자가 Cato Management Application (CMA) 내에서 기존 사용자 및 그룹 관리 기능을 LDAP 서버에서 SCIM으로 마이그레이션하는 명확한 경로를 제공합니다.

이 마이그레이션은 이미 LDAP을 통해 동기화된 기존 사용자 데이터를 활용하여 SCIM으로 프로비저닝 책임을 전환하여 최소한의 중단 및 향상된 운영 효율성을 보장합니다. 이 가이드는 예시 IdP로 Microsoft Entra ID를 사용하여 필요한 구성 및 필드 매핑을 자세히 설명합니다. 그러나 설명된 원리와 절차는 SCIM을 지원하는 다른 IdP에도 쉽게 적용할 수 있습니다.

SCIM 프로비저닝으로 마이그레이션 준비를 완료한 후, 계속해서:

  1. 사용자 프로비저닝 테스트 (파트 2)

  2. LDAP를 SCIM으로 마이그레이션하기 (Part 3)

필수 조건

  1. 마이그레이션 중인 모든 사용자를 위해 Always-On을 일시적으로 비활성화합니다.

  2. 라이선스 할당 페이지전체 SCIM 사용자 사용자 그룹을 추가하기.

    그 이유는 사용자가 마이그레이션 중에 네트워크에서 연결이 끊어질 수 있기 때문입니다.

  3. 마이그레이션할 사용자 수가 할당된 SDP 라이선스 수를 초과하지 않도록 확인합니다.

    사용자가 라이선스보다 많다면 라이선스가 필요한 그룹의 마이그레이션을 우선시하고, 나머지 마이그레이션을 계속하기 전에 라이선스 할당 페이지에서 모든 SCIM 사용자가 사용자 그룹을 제거합니다.

  4. LDAP 디렉터리를 정리하고 모든 불필요한 사용자와 그룹을 제거합니다.

  5. 더 이상 존재하지 않는 경우 사용자보다 사용자를 제거하도록 LDAP 동기화 설정을 업데이트합니다.

    1. CMA에서 접속 > 디렉터리 서비스로 이동하고 LDAP 탭을 클릭합니다.

    2. LDAP 도메인을 선택하고 일반 섹션에서 비활성화를 선택합니다.

      image1.png

  6. 기존 AD 그룹에서 중첩된 그룹의 존재 여부를 확인합니다 - Cato는 중첩 그룹을 지원하지 않습니다.

  7. W 또는 인터넷 방화벽 규칙에서 중요한 사용자 그룹이 원본/목적지로 표시되고 모든 사용자 사용자 그룹을 규칙에 추가합니다.

    마이그레이션 후 변경 사항을 복구하는 것을 잊지 마세요.

    1. 개별적으로 추가된 사용자가 있는 규칙을 식별하고 해당 사용자를 그룹으로 변환합니다.

      참고: 필수 단계가 아니며 다운타임에 따라 다릅니다. 마이그레이션 동안 리소스에 액세스하지 못하는 것이 허용되는 경우 사용자에게 접근할 수 없습니다.

  8. SCIM의 그룹 설정이 LDAP 그룹 설정과 동일하도록 확인하세요. 예를 들어, LDAP 도메인 사용자가 SCIM 앱 내에서 동일한 그룹을 갖고 있습니다.

  9. 관리자계정(Entra ID, Okta 등) 및 LDAP(AD)에서 이메일, UPN, 이름, 성 등의 사용자 및 그룹 속성이 업데이트 실패 또는 중복 객체를 방지하기 위해 동일해야 합니다.

  10. 이메일 또는 다른 속성의 변경이 필요한 경우, 이러한 조정은 충돌을 방지하기 위해 CMA 이전 또는 이후에 이루어져야 합니다.

    마이그레이션 동안 변경 중지 기간을 사용하는 것이 강력히 권장됩니다.

  11. IdP 애플리케이션을 구성하기 위해 적절한 권한이 있어야 합니다.

  12. LDAP 및 SCIM 제공자 사이의 불일치를 식별하고 수정하기 위해 PowerShell과 같은 도구를 사용하여 마이그레이션 전에 사용자 및 그룹 속성을 확인해야 합니다.

  13. (선택 사항) 영향을 받은 CMA 페이지의 내보내기(또는 스크린샷)를 생성합니다: 방화벽(인터넷/WAN) 규칙, 네트워크 규칙, Always-On 정책, 클라이언트 연결 정책, 사용자 디렉토리, 사용자 그룹.

  14. 마이그레이션의 실제 유지 관리 기간과 일치하지 않도록 CMA 서비스의 유지 관리 창을 확인합니다: https://status.catonetworks.com

사용자 마이그레이션 준비하기

다음은 Cato 계정의 SCIM 프로비저닝된 사용자에 대한 논리입니다:

  • SCIM 프로비저닝된 사용자는 LDAP 프로비저닝된 사용자와 수동으로 생성된 사용자를 덮어씁니다. 

  • 사용자는 내부 ID, 객체 ID, UPN 또는 이메일을 기준으로 일치됩니다.

LDAP으로 프로비저닝된 사용자들이 다음 조건을 충족하는지 확인하세요:

  1. 기존 사용자는 CMA Access > Users > 사용자 디렉토리에 있습니다.

  2. SCIM으로 프로비저닝될 사용자와 동일한 UPN 또는 이메일 주소를 갖고 있습니다.

    1. UPN 또는 이메일 주소가 다르면 중복된 사용자가 생성됩니다.

    2. 중복된 사용자가 실수로 생성된 경우 다음 단계를 따르세요:

      1. SCIM Cato Network Provisioning 앱에서 사용자를 제거하세요.

      2. CMA에서 중복된 사용자를 제거하세요.

      3. LDAP IdP에서 이메일 주소를 업데이트한 후 사용자를 다시 프로비저닝하세요.

  3. 동일한 객체 ID 또는 UPN을 가진 사용자가 여러 명 있는 경우 SCIM 사용자는 기존 LDAP 사용자를 덮어쓰지 않으며 이벤트가 생성됩니다.

사용자 그룹 마이그레이션 준비하기

  1. SCIM 프로비저닝된 사용자 그룹이 LDAP 프로비저닝된 사용자 그룹을 덮어씁니다.

  2. 동일한 객체 ID 또는 그룹 이름을 가진 그룹이 여러 개 있는 경우 덮어쓰기가 실패합니다. 이 경우 중복 그룹을 삭제하는 것이 좋습니다.

  3. 사용자가 자동으로 LDAP 사용자 그룹에서 제거되고 새 SCIM 사용자 그룹에 추가되어 SCIM 프로비저닝으로의 마이그레이션이 완료된 후 사용자 그룹이 LDAP 상태로 표시됩니다.

사용자 그룹 마이그레이션 예시: 사용자가 여러 사용자 그룹의 일부인 경우 SCIM으로 마이그레이션된 사용자 그룹에서 계속 활성화되며 CMA에서 LDAP로 표시된 사용자 그룹에서 일시적으로 제거됩니다. 모든 사용자 그룹이 SCIM으로 마이그레이션되면 사용자는 해당 사용자 그룹에서 다시 활성화됩니다. SCIM 및 LDAP와 같은 다른 사용자 그룹 유형 간 규칙이 CMA의 일부 응용 프로그램에 사용될 때 일부 사용자에게 다운타임이 발생할 수 있으며 사용자 그룹 유형이 동일한 마이그레이션 배치에 있지 않습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개