SCIM 및 LDAP 사용자 프로비저닝 사이 변경

이 문서는 SCIM에서 LDAP로, 또는 그 반대로 프로비저닝 방법을 변경할 때의 고려사항을 설명합니다.

개요

Cato는 사용자의 기존 신원 공급자(IdP)를 활용하여 사용자 신원을 관리하는 중앙 서비스로 활용하며, 사용자 계정으로 쉽게 프로비저닝하고 동기화하는 기능을 지원합니다. IdP는 Cato 계정에 통합되어 사용자들을 자동으로 가져오고 업데이트합니다. 이는 사용자 신원의 진실을 단일 소스로 확보하고 환경 전반에 걸쳐 일관된 사용자 신원을 제공합니다. SCIM과 LDAP 사용자 프로비저닝 비교에 대한 자세한 정보는 SCIM과 LDAP로 사용자 프로비저닝을 참조하세요.

Cato는 사용자 가져오기 및 생성을 위한 다음 방법들을 지원합니다:

  • SCIM를 통해 IdP에서 사용자 가져오기

  • LDAP를 통해 IdP에서 사용자 가져오기

  • Cato 관리 애플리케이션에서 사용자 수동 생성

각 방법을 구성하는 방법에 대한 자세한 정보는 디렉토리 서비스를 참조하십시오.

SCIM 가져오기의 이점

  • 사용자 인식은 Windows 클라이언트 v5.4 이상과 macOS 클라이언트 v5.3 이상에서 지원됩니다. 자세한 정보는 Cato 아이덴티티 에이전트를 사용한 사용자 인식을 참조하십시오.

  • IdP에서 Cato 계정으로 사용자를 즉시 동기화합니다.

  • 그룹 멤버십 또는 사용자 프로필 업데이트나 변경 사항은 거의 실시간으로 업데이트됩니다.

  • IdP를 Cato 계정에 통합하며, 어떠한 인바운드 방화벽 규칙을 구성하지 않아도 됩니다.

  • SCIM은 IdP 벤더에 의해 광범위하게 지원되며, 계정과의 통합이 용이합니다.

사용자 프로비저닝 방식을 변경

사용자 프로비저닝 방식을 변경하기 전에, 사용자 및 사용자 그룹에 미치는 영향을 이해하는 것이 중요합니다.

LDAP에서 SCIM 프로비저닝으로 전환

LDAP에서 SCIM 프로비저닝으로 전환할 때 사용자 및 사용자 그룹에 적용되는 규칙은 다음과 같습니다:

  • SCIM 프로비저닝된 사용자는 LDAP 프로비저닝된 사용자 및 수동 생성된 사용자를 덮어쓰기합니다

    • 사용자는 UPN 또는 이메일을 기반으로 일치로 식별됩니다

      참고

      참고: LDAP에서 SCIM으로 변경할 때, 다음 모범 사례를 따르십시오:

      1. LDAP로 프로비저닝된 사용자가 다음 사항을 확인하십시오:

        • SCIM으로 프로비저닝될 사용자와 동일한 UPN 또는 이메일 주소를 가집니다

        • Cato 관리 애플리케이션의 기존 사용자입니다

      2. UPN 또는 이메일 주소가 다르면 중복 사용자가 생성됩니다.

      3. 모든 SCIM 사용자에게 SDP 라이선스를 할당합니다. 이렇게 하면 프로비저닝 전환이 LDAP에서 SCIM으로 진행될 때 사용자가 SDP 라이선스를 잃지 않도록 합니다.

      4. 중복 사용자가 실수로 생성된 경우, Cato 관리 애플리케이션에서 중복 사용자를 제거하고 IdP의 이메일 주소를 업데이트한 후 사용자를 다시 프로비저닝하세요.

        • 같은 객체 ID 또는 UPN을 가진 사용자가 둘 이상 있을 경우, SCIM 사용자는 기존 SCIM 사용자를 덮어쓰지 않으며 이벤트가 발생합니다.

  • SCIM 프로비저닝된 사용자 그룹은 LDAP 프로비저닝된 사용자 그룹을 덮어쓰기 합니다. SCIM 프로비저닝이 활성화되면, Cato 관리 애플리케이션에서 LDAP 프로비저닝된 사용자 그룹에 대한 업데이트를 할 수 없습니다.

    • 사용자 그룹은 이름 또는 객체 ID를 기반으로 일치로 식별됩니다

    • 같은 객체 ID 또는 그룹 이름을 가진 여러 그룹이 있는 경우, 덮어쓰기가 실패합니다. 덮어쓰기가 성공하기 위해 중복 그룹을 삭제하는 것이 좋습니다

    • 사용자는 모든 LDAP 프로비저닝된 사용자 그룹에서 제거되고 SCIM 프로비저닝된 사용자 그룹에 할당됩니다.

    • 예시:

      • 100명의 사용자가 LDAP로 프로비저닝된 R&D라는 사용자 그룹에 있습니다.

      • 10명의 사용자가 SCIM으로 프로비저닝된 R&D라는 사용자 그룹에 있습니다.

      • Cato 관리 애플리케이션에서 R&D 사용자 그룹에는 SCIM으로 프로비저닝된 10명의 사용자만 포함됩니다.

LDAP에서 SCIM 사용자 프로비저닝으로 점진적으로 변경하려면:

  1. 네비게이션 메뉴에서 액세스 > 라이선스 할당을 클릭합니다.

  2. 선택된 사용자 또는 그룹에 SDP 라이선스 할당을 선택합니다.

  3. 드롭다운에서 시스템 그룹모든 SCIM 사용자를 선택합니다.

    이것은 사용자가 SDP 라이선스를 잃지 않도록 방지합니다.

  4. SCIM 프로비저닝을 활성화하십시오. 자세한 내용은 SCIM을 사용한 사용자 프로비저닝을 참조하십시오.

    사용자는 위에서 설명한 규칙에 따라 SCIM으로 프로비저닝됩니다.

    참고: 사용자가 SCIM으로 프로비저닝된 후에는 LDAP로 프로비저닝된 그룹에서 제거됩니다. 이로 인해 적용되는 정책 규칙에 영향을 미칠 수 있습니다.

하이브리드 Azure AD 가입을 위한 LDAP에서 SCIM Azure 프로비저닝으로 변경

온프레미스 AD 및 Azure AD에 대해 LDAP에서 SCIM으로 변경할 때 사용자 및 사용자 그룹에 적용되는 프로비저닝 규칙은 위에 설명된 LDAP에서 SCIM 프로비저닝으로의 변경과 동일합니다.

SCIM으로 프로비저닝된 사용자는 사용자 인식으로 식별되기 위해 SDP 라이선스가 있어야 합니다. SDP 라이선스 없이 사용자를 식별하려면 LDAP로 프로비저닝하십시오. 사용자가 식별될 수 있도록 한 번 인증해야 합니다.

Windows 클라이언트 v 5.9 및 이후 버전에서는 SDP 라이선스가 필요하지 않으며, 아이덴티티 에이전트에 의해 식별되기 위해 사용자가 한 번 인증할 필요가 없습니다.

SCIM에서 LDAP 프로비저닝으로 변경

다음은 SCIM에서 LDAP 프로비저닝으로 변경할 때 사용자 및 사용자 그룹에 적용되는 규칙입니다:

  • LDAP로 프로비저닝된 사용자는 SCIM으로 프로비저닝된 사용자를 덮어쓰지 않습니다.

    • 변경하기 전에, IdP에서 모든 SCIM으로 프로비저닝된 사용자를 제거하십시오. 이것은 Cato 관리 애플리케이션에서 사용자를 비활성화합니다.

  • LDAP로 프로비저닝된 사용자 그룹은 SCIM으로 프로비저닝된 사용자 그룹을 덮어쓰지 않습니다.

    • 변경하기 전에, IdP에서 모든 SCIM으로 프로비저닝된 사용자 그룹을 제거하십시오

  • 변경하기 전에, SCIM으로 프로비저닝된 사용자와 사용자 그룹을 정책에서 제거하고 Cato 관리 애플리케이션에서 삭제하십시오.

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개