개요

SCIM 프로비저닝 규칙은 디렉토리 서비스 기능입니다 신원 공급자 (IdP)에서 제공하여 Cato 관리 애플리케이션 (CMA) 내에 사용자를 프로비저닝합니다. 이 프로비저닝을 완료할 수 없으면 사용자를 CMA에 추가할 수 없습니다. 이 플레이북은 SCIM 프로비저닝 규칙 문제를 해결하는 데 필요한 지침을 제공합니다.

증상

SCIM 프로비저닝 규칙 문제는 여러 방식으로 나타날 수 있습니다. 관리자가 다음 증상을 관찰할 수 있습니다:

• SCIM 프로비저닝 규칙을 활성화할 수 없습니다
• SCIM 프로비저닝 규칙을 통해 CMA에 사용자를 추가할 수 없습니다
• 새 사용자는 CMA에 추가되지만 제대로 작동하지 않습니다
• SCIM 프로비저닝 규칙을 통해 추가적인 사용자를 CMA에 추가할 수 없습니다
• SCIM 사용자 업데이트가 진행되었지만 CMA에는 반영되지 않았습니다

가능한 원인 

문제 해결 중 발견할 수 있는 가능한 원인은 다음과 같습니다

• 이 계정은 SCIM 프로비저닝 규칙에 필요한 요구 사항을 충족하지 않습니다
• IdP와 CMA 사이의 자격 증명 불일치가 있습니다
• IdP에 속성이 누락되어 CMA에 전파될 수 없습니다
• 사용자의 프로비저닝을 위한 라이센스가 부족합니다
• IdP의 그룹이 애플리케이션에 할당되지 않았습니다
• 사용자 또는 그룹이 프로비저닝 애플리케이션에서 올바르게 스코프되지 않았습니다
• 해당 사용자 또는 그룹이 IdP에 내장되어 있습니다
• 프로비저닝 애플리케이션에서 CMA로 관련 필드를 업데이트하지 않았습니다

문제 해결 

관리자가 직면할 수 있는 증상 문제 해결 단계가 아래에 나와 있습니다. 이 단계는 직면한 문제의 가능한 원인을 식별하는 데 사용됩니다. 해결 단계는 나중에 플레이북에서 강조 표시됩니다.

SCIM 프로비저닝 규칙 문제 해결은 활성화할 수 없습니다

계정이 SCIM 프로비저닝 규칙 요구 사항을 충족하는지 확인하십시오

SCIM 활성화를 시도할 때 표시된 오류 메시지를 확인하십시오. In this case "Can't enable SCIM provisioning. 지원에 문의하고 계정 ID 설정 - 이메일을 참조하십시오"

초기 문제 해결 SCIM 프로비저닝 규칙이 사용자를 CMA에 추가하지 못했습니다

프로비저닝 애플리케이션에서 자격 증명이 올바른지 확인하십시오

SCIM 애플리케이션 > 프로비저닝 > 프로비저닝 > 관리자 자격 증명으로 이동한 후 연결 테스트를 클릭하고 오류 메시지를 검토하십시오:

사용 가능한 라이센스를 확인하십시오

모니터링 > 이벤트에서 계정의 이벤트를 확인하고, 필터를 적용하십시오: 이벤트 유형은 시스템이며 서브 유형 Sdp 라이센스를 확인하십시오

문제 해결 사용자가 CMA에 추가되었으나 올바르게 작동하지 않습니다

CMA에서 속성이 올바르게 채워지는지 확인하십시오

CMA는 필수 이메일 속성이 없는 사용자에게 라이센스를 할당할 수 없습니다.

접근 > 사용자 > 사용자 디렉토리의 사용자 항목을 확인하고 이메일 필드에 유효한 내용이 있는지 확인하십시오.

모니터링 > 이벤트에서 계정의 이벤트를 확인하고, 필터를 적용하십시오: 이벤트 유형은 시스템입니다

사용 가능한 라이센스를 확인하십시오

모니터링 > 이벤트에서 계정의 이벤트를 확인하고, 필터를 적용하십시오: 이벤트 유형은 시스템이며 서브 유형 Sdp 라이센스를 확인하십시오

문제 해결 다른 사용자들이 SCIM 프로비저닝 규칙을 통해 CMA에 추가될 수 없습니다

CMA에 사용자가 없거나 그룹이 없는 곳을 확인하십시오

예상되는 사용자가 CMA의 접근 > 사용자 > 사용자 디렉토리 또는 접근 > 사용자 그룹에 표시되지 않는 경우.

사용자 디렉토리에서 소스 SCIM 필터를 사용할 수 있습니다

사용자 그룹에서 유형: SCIM 정의를 봅니다.

요청 기능을 통해 프로비저닝 실패 원인을 확인하십시오

프로비저닝 애플리케이션에서 요구에 따른 프로비저닝 기능을 이용하여 사용자의 범위를 확인할 수 있습니다. 프로비저닝이 실패한 후, 행동을 건너뛴 이유를 확인할 수 있습니다

일단 실패하면 건너뛴 작업의 세부 정보를 볼 수 있습니다

이 시나리오에서는 사용자가 부서 Brotherhood의 일부로 보고 있으며, 스코핑 규칙 'No Mutants'와 맞지 않습니다. 이 규칙은 부서 NOT EQUALS ‘Brotherhood’ 조건을 가지고 있습니다.

다른 프로비저닝 오류 확인.

그룹이 애플리케이션의 일부가 아닌 다른 시나리오가 있을 수 있습니다. 알고리즘을 검토하고 원인을 파악하십시오.

이 경우 그룹은 활성이며 스코핑이 충족되지만 애플리케이션에 할당되지 않음으로 보고됩니다.

Troubleshooting SCIM 사용자는 업데이트되었지만 CMA에는 변경 사항이 반영되지 않았습니다

SCIM 프로비저닝 애플리케이션에서 사용자의 속성이 업데이트되었지만 프로비저닝 동기화가 완료되었을 때는 반영되지 않습니다.

발견된 문제 해결

계정이 SCIM 프로비저닝 규칙 요구 사항을 충족하지 않는 경우 해결

Cato 지원팀에 케이스를 제출해야 합니다. Cato 지원팀에 케이스 제출 섹션을 아래에서 참조하십시오.

IdP와 CMA 사이에 자격 증명 불일치를 해결

SCIM 애플리케이션 > 프로비저닝 > 프로비저닝 > 관리자 자격 증명으로 이동합니다. 애플리케이션의 자격 증명 (테넌트 URL과 토큰)이 유효한지 확인하십시오. 

이것은 CMA의 접근 > 디렉토리 서비스 > SCIM에서 확인할 수 있습니다.

이것은 프로비저닝 애플리케이션에서 연결 테스트 버튼을 눌러 확인할 수 있습니다.

속성이 IdP에 누락되어 CMA에 전파될 수 없는 경우 해결

엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 프로비저닝 > 프로비저닝 > 매핑: Provision Microsoft Entra ID Users를 선택하고 속성 매핑: userPrincipalName과 Email 주소가 매핑되는지 확인합니다.

사용자의 프로비저닝을 위한 라이센스 부족 해결

CMA에서 관리 > 라이센스 > 사용자로 이동하여 추가하려는 사용자 수에 대해 충분한 라이센스가 있는지 확인하십시오. 

충분한 라이센스가 부족한 경우, 비활성 사용자 제거/비활성화 또는 판매팀에 문의하여 라이센스를 추가하십시오.

IdP의 그룹이 프로비저닝 애플리케이션에 할당되지 않은 경우 해결

엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 사용자 및 그룹으로 이동하여 사용자/그룹이 목록에 있는지 확인하십시오.

목록에 없을 경우 사용자/그룹 추가 버튼을 통해 추가할 수 있습니다.

프로비저닝 애플리케이션에서 사용자 또는 그룹이 올바르게 스코프되지 않은 경우 해결

엔터프라이즈 애플리케이션 > Cato 프로비저닝 애플리케이션 > 프로비저닝 > 프로비저닝 > 매핑으로 이동하여 사용자가 그룹 매핑을 선택합니다. 소스 객체 스코프 필터에 적절한 사용자/그룹이 포함되었는지 확인하십시오. 

필요한 사용자 또는 그룹이 IdP에 내장되어 있는 경우 해결

그룹이 프로비저닝 애플리케이션에 추가될 때 각 개별 항목으로 추가되고 다른 그룹에 내포되지 않았는지 확인하십시오.

SCIM 사용자가 업데이트되었지만 CMA에 변경 사항이 반영되지 않은 경우 해결

• 이메일
• UPN
• 이름
• 성
• 전화번호

Cato 지원에 사례 제출

이 플레이북을 따르더라도 문제가 해결되지 않는 경우, 이 지식 베이스 기사를 사용하여 지원 티켓을 제출하십시오. 

요청에 가장 도움이 되는 응답을 얻기 위해, 관리자는 이 플레이북의 사용과 관련하여 수행한 문제 해결 단계를 제공해야 합니다. 예를 들어 포함:

• 계정 이름/번호
• 사용 중인 IdP 공급업체의 세부 정보
• 사용자 UPN이 포함된 IdP의 스크린샷
• IdP의 사용자 그룹 세부 정보