Cato에 사용자 가져오기

이 글에서는 네트워크 보안을 위해 사용자 계정으로 SDP 사용자를 가져오는 기능과 옵션을 다룹니다.

개요

사용자 신원은 제로 트러스트의 기본 요소이며, Cato는 사용자를 가져오고 관리하기 쉽게 만듭니다. Cato는 기존의 신원 공급자(IdP)를 활용하여 사용자 신원을 중앙에서 관리하고, 사용자를 계정에 쉽게 제공하고 동기화하는 기능을 지원합니다. IdP는 Cato 계정과 통합되어 사용자를 자동으로 가져오고 업데이트합니다.

이는 사용자 신원의 단일 출처를 보장하며, 환경 전반에 걸쳐 일관된 사용자 신원을 제공합니다.

Cato는 다음 방법을 통해 사용자를 가져오고 생성하는 것을 지원합니다:  

  • LDAP를 통해 IdP에서 사용자 가져오기

  • SCIM를 통해 IdP에서 사용자 가져오기 

  • Cato 관리 애플리케이션에서 수동으로 사용자 생성

Cato가 지원하는 IdP에 대한 자세한 내용은 Cato 계정에서 신원 공급자 사용을 참조하십시오.

LDAP를 사용하여 사용자 가져오기

귀하의 계정으로 LDAP를 사용하여 IdP에서 Cato로 사용자를 동기화할 수 있습니다. Cato는 LDAP 가져오기를 위해 다음 IdP를 지원합니다:

  • Microsoft 온프레미스 또는 Azure Active Directory (AD)

    (LDAP 프로토콜로 그룹 동기화)

  • Okta

  • OneLogin (vLDAP 필요)

  • Jump Cloud

IdP로 LDAP 프로비저닝을 구성하는 방법에 대한 자세한 내용은 LDAP 사용자 프로비저닝 섹션의 문서를 참조하십시오.

LDAP 가져오기를 위한 사전 요구 사항

  • 도메인 이름

  • AD 또는 LDAP 제공자에 인증하기 위한 로그인 DN 또는 바인드 DN 및 연결된 비밀번호

  • 기본 DN: 디렉토리 내 사용자 인증을 검색할 때 LDAP 서버가 사용하는 시작점

  • Cato가 온프레미스 AD 또는 Azure AD에 연결할 수 있도록 인바운드 방화벽 규칙을 구성하십시오

사용자와 그룹의 라이프사이클 관리

LDAP 동기화 과정은 매 24시간마다, 0:00 GMT에서 자동으로 Windows 자격 증명으로 로그인. IdP의 사용자 업데이트, 삭제된 사용자, 또는 다른 관리자 그룹 구성원 항목은 계정에 동기화됩니다.

LDAPS로 LDAP 보호

Cato는 AD와 Cato 간의 LDAP를 통해 사용자를 가져오는 동안 보안을 향상시키고 LDAP에서 LDAPS로 이동할 수 있는 능력을 제공합니다. Cato는 LDAP 연결을 안전하게 하기 위해 TLS (SSL)을 사용합니다.  

Cato 계정에 대해 LDAPS를 구성하는 단계:

  1. IdP(예: AD)에서 LDAPS를 활성화하십시오.

  2. Cato 관리 애플리케이션에서 LDAP 사용자 프로비저닝을 위한 암호화를 활성화하십시오.

  3. Cato는 포트 636을 통해 IdP에 연결을 시도합니다.

Azure AD나 Okta와 같은 클라우드 기반 IdP에서는, 이러한 흐름이 공용 인터넷을 통해 전송되므로 Cato는 LDAPS만 지원합니다(본질적으로 안전하지 않음).

Cato는 IdP 사용자 계정의 비밀번호를 가져오거나 동기화하지 않습니다.

LDAP로 사용자를 가져오는 혜택

LDAP는 사용자를 가져오기 위한 오랫동안 설정된 기술과 관행입니다.

LDAP로 사용자 가져오기에 대한 추가 자원

SCIM을 사용하여 사용자 가져오기

SCIM은 서로 다른 클라우드 앱 공급업체 간에 신원 정보를 교환하기 위한 표준을 정의하고, IdP와 Cato 계정 간에 관련 신원 데이터를 동기화할 수 있도록 합니다. 

Cato는 다음 IdP를 지원합니다:

  • Azure AD

  • Okta

  • OneLogin

  • OneWelcome

SCIM 가져오기 사전 조건

Cato는 버전 2.0 이상에서 SCIM을 지원합니다.

SCIM 가져오기의 장점

  • IdP에서 Cato 계정으로 사용자를 즉시 동기화합니다.

  • 그룹 멤버십이나 사용자 프로필의 업데이트나 변경 사항은 거의 실시간으로 업데이트됩니다

  • IdP를 방화벽 규칙을 구성하지 않고 Cato 계정에 통합합니다

  • SCIM은 IdP 공급업체에서 널리 지원되며, 계정과 쉽게 통합할 수 있습니다

SCIM을 사용하여 사용자 가져오기에 대한 추가 자원

Cato 관리 애플리케이션에서 사용자 수동 생성

또한 Cato 관리 애플리케이션에서 사용자를 수동으로 생성할 수 있습니다. 수동으로 사용자 생성은 특정 상황에서 자주 사용되며, 사용자의 신원 라이프사이클을 관리하기 위한 지속적인 수동 작업이 필요하기 때문에 확장 가능한 솔루션이 아닙니다.

사용자를 수동으로 생성하는 방법에 대한 추가 정보는 사용자 작업을 참조하십시오.

사용자 수동 생성을 위한 사전 조건

Cato 관리 애플리케이션의 각 사용자 계정에는 이름, 성 및 이메일 주소가 포함되어야 합니다.

사용자 가져오기 모범 사례

  • 일반적으로 SCIM을 사용하여 사용자를 가져오는 것이 LDAP을 사용하여 가져오는 것보다 더 나은 솔루션입니다:

    • SCIM은 거의 실시간으로 작동하며, 디렉토리 서비스의 모든 변경 사항이 자동 및 신속하게 Cato 계정에 동기화됩니다.

    • LDAP는 24시간마다 한 번 계정과 자동으로 동기화됩니다.

  • SCIM은 중앙집중식 IdP에서 다운스트림 애플리케이션으로 신원을 관리하는 더 쉽고, 일관되고, 현대적이며 확장 가능한 방법입니다.

  • SCIM을 사용할 수 없는 경우에만 LDAP을 사용하여 사용자를 가져오는 것을 추천합니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개