XOps 네트워크 플레이북 - SCIM 프로비저닝 실패

이 플레이북은 예약된 SCIM 프로비저닝이 실패할 때 문제를 해결하는 단계에 대해 설명합니다.

개요

SCIM 동기화는 사용자 CMA로의 프로비저닝을 위해 중요하며, 원활한 온보딩과 자원에 대한 일관된 접근을 보장합니다. 동기화 빈도는 사용된 신원 공급자(IdP)에 따라 다르며, SCIM 사용자 프로비저닝에 설명되어 있습니다. 

SCIM 프로비저닝이 실패하면 새로 생성된 사용자가 필요한 서비스를 연결하거나 접근할 수 없으며, 보안 정책이 제대로 시행되지 않을 수 있습니다. 문제의 신속한 감지 및 해결을 돕기 위해, IdP와 CMA 간에 프로비저닝 오류가 발생할 때마다 XOps 스토리가 자동으로 생성됩니다.

네트워크 XOps 스토리에 대응할 때는 체계적인 방식으로 문제에 접근하는 것이 필수적입니다. 먼저 문제가 지속되고 있는지 확인한 후, 문제를 해결하고, 문제 해결이 되었는지 확인합니다.

단계 1 - SCIM 동기화 실패 확인

Cato 관리 애플리케이션 관리자가 SCIM 동기화가 실패했음을 확인할 수 있는 방법들입니다. 

스토리 드릴다운 사용

  • SCIM 동기화가 실패할 때 XOps 스토리가 생성됩니다.
  • 스토리 워크벤치 페이지로 이동하여 네트워크 운영 프리셋을 사용하고, 필터 '표시 포함 SCIM'을 포함시킵니다. 필요한 대로 시간 범위를 조정하십시오.
  • 아래와 같이 스토리가 생성되었는지 확인하십시오.
  • 스토리를 클릭하여 세부 정보를 드릴다운합니다. 스토리 상태, 사건 타임라인 및 SCIM 동기화 상태에 대한 정보를 제공합니다. 
  • 스토리 드릴다운을 더 아래로 스크롤하면 사건 타임라인을 찾을 수 있습니다. 이 타임라인은 SCIM 동기화 상태의 변경 사항을 강조 표시합니다. 오른쪽 창에서 문제를 해결하는 단계가 포함된 플레이북 워크플로우를 볼 수 있습니다.

     

이벤트 사용

  • SCIM 동기화 실패는 관련 이벤트 항목을 검토하여 확인할 수도 있습니다.
  • 이 이벤트를 보기 위해 이벤트 대시보드를 필터링하여 하위 유형SCIM 프로비저닝으로, 작업실패로 설정합니다. 문제가 발생한 시간과 일치하도록 시간 범위를 조정하십시오.

  • SCIM 동기화 실패가 감지되면 아래 예시와 유사한 이벤트를 볼 수 있습니다. 이벤트 메시지는 동기화 실패의 이유를 보여줍니다. 아래에서 보이는 예시에서는 "내부 서버 오류" 때문에 발생했습니다. 

 

단계 2 - SCIM 동기화 실패 문제 해결

이 섹션은 이러한 유형의 사건을 구조적으로 문제를 해결하는 데 도움을 주는 Cato의 도구를 설명합니다. 단계는 일반적으로 순서대로 따라야 하지만, 각 체크의 결과에 따라 다음 단계가 영향을 받을 수 있습니다.

요청 시 프로비저닝 수행

  • 문제가 일회성 발생인지 여부를 확인하려면 IdP 플랫폼에서 요청 시 프로비저닝을 수행합니다. Azure의 경우, 기업 애플리케이션 > Cato Networks Provisioning > 프로비저닝으로 이동하여 "요청 시 프로비저닝"을 클릭합니다.
  • 애플리케이션에 할당된 사용자 또는 그룹을 선택하고 "프로비저닝" 버튼을 누르십시오.
  • SCIM 동기화가 성공적으로 완료되면 SCIM 동기화 실패가 단일화된 사건일 수 있음을 나타낼 수 있습니다. 관리자는 SCIM 동기화 시간이 공급업체 중단 또는 Cato의 유지보수 활동과 일치하는지 확인해야 합니다.
  • SCIM 동기화도 실패하면 문제가 지속되며 IdP와의 동기화가 성공적으로 완료되지 않음을 나타냅니다. 이 경우, 문제를 유발할 수 있는 최근 구성 변경 사항을 검토하십시오.
     

감사 기록에서 변경 사항 검토

  • 감사 기록 페이지에서 변경 사항을 검토하여 구성 변경이 문제의 원인인지 확인합니다. 이 단계는 예정된 동기화가 정상 작동했으나 예기치 않게 멈춘 경우 특히 중요합니다.
  • 도메인 구성에 대한 변경 사항을 보려면 감사 대시보드를 필터링하여 모델 유형도메인으로 설정합니다. 문제가 발생한 시간과 일치하도록 시간 범위를 조정하십시오.
  • 아래의 스크린샷은 관리자가 Okta SCIM 프로비저닝 구성 변경을 수행했음을 보여줍니다. 이 활동의 시점이 SCIM 동기화 실패와 일치하면 관리자는 변경 사항을 되돌려 변경이 원인인지 확인할 수 있습니다. 
  • SCIM 연결에 영향을 줄 수 있는 또 다른 요인은 IdP 측에서 애플리케이션 변경입니다. Azure의 경우, 기업 애플리케이션 > Cato Networks Provisioning으로 이동하여 감사 로그프로비저닝 로그를 확인하여 구성 변화가 SCIM 실패를 유발했는지 결정합니다.

관리자 자격 증명 업데이트

  • IdP와의 자격 증명 실패를 확인하기 위해, 디렉토리 서비스 > SCIM에서 새 토큰을 CMA에 생성합니다. "토큰 생성"을 클릭하고 새 토큰을 복사합니다.

  • Azure의 경우, 기업 애플리케이션 > Cato Networks Provisioning > 프로비저닝으로 이동하고 프로비저닝 > 관리자 자격 증명을 확장합니다. CMA에서 생성된 토큰을 입력하고 "연결 테스트"를 클릭하십시오.

  • 인증이 성공하면 문제가 IdP와 CMA 사이의 토큰 불일치와 관련이 있을 수 있습니다.

     

단계 3 - SCIM 동기화가 정상 작동하는지 확인

SCIM 동기화 실패를 유발한 문제를 식별하고 해결한 후, 스토리에서 동기화 상태가 해결됨으로 표시되고 있는지 확인하십시오. 

스토리 드릴다운 사용

참고: 문제가 해결되면 스토리의 상태가 "열린"에서 "모니터링 중"으로 변경됩니다. 이 상태는 다음 한 시간 동안 유지되며, 추가적인 사고가 없는 경우에 한합니다. 자세한 정보는 스토리 열 이해하기를 참조하십시오. 

인시던트 타임라인

인시던트 타임라인은 예정된 동기화 상태의 변경 사항을 표시합니다. 최신 상태가 "종결"로 업데이트되었는지 확인하는 데 사용할 수 있습니다.

 

Cato 지원으로 케이스 상정

이 플레이북은 따라해도 문제가 해결되지 않으면 지원 티켓을 제출하십시오. 요청에 대한 가장 유용한 응답을 얻기 위해 관리자는 수행된 해결 단계의 결과를 제공해야 합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개