Provisionamento SCIM com Okta

Este artigo explica como usar o aplicativo SCIM Okta para sincronizar automaticamente os usuários de sua conta Okta para sua conta Cato.

Capacidades Suportadas

Cato Networks oferece uma arquitetura de rede segura de próxima geração que elimina a complexidade, os custos e os riscos associados a abordagens legadas de TI baseadas em soluções de ponto desconexas. Do Single Sign-On (SSO) ao provisionamento de usuários, a integração do Cato com Okta gerencia o acesso do usuário e grupos durante todo o Ciclo de Vida do usuário, incluindo:

  • Criar e remover usuários no Aplicativo de Gerenciamento Cato

  • Sincronizar usuários e atributos de Okta para o Aplicativo de Gerenciamento Cato

  • Criar usuários - Importar e criar usuários no Okta a partir do Aplicativo de Gerenciamento Cato

  • Atualizar atributos de usuários - Sincronizar mudanças de atributos de usuário do Aplicativo de Gerenciamento Cato para o Okta

  • Desativar usuários

  • Upload de Grupos

  • Usuários podem autenticar com email ou UPN dependendo da sua configuração do Okta.

Requisitos

Certifique-se de que antes de usar o app Okta SCIM, você tenha permissões de administrador no Okta para configurar o provisionamento de usuários.

Limitações Conhecidas

  • Grupos aninhados não são suportados

  • SCIM é suportado em contas que usam Email como ID de Usuário apenas (você pode confirmar esta configuração com o Suporte da Cato)

  • Você pode provisionar usuários com LDAP ou SCIM (não ambos)

  • Remover um usuário do aplicativo IdP não o remove do Aplicativo de Gerenciamento Cato, desativa o usuário

  • Vinculação de Grupos não é suportada

  • Sincronização SCIM substitui grupos LDAP existentes com o mesmo nome. Para mais informações, veja Como Sincronização SCIM Substitui Grupos LDAP Existentes

Configurando Sincronização Automática de Usuários para Cato

Você pode usar o aplicativo SCIM da Cato disponível no Okta para conectar e sincronizar Usuários da sua conta Okta para sua conta Cato. No Aplicativo de Gerenciamento Cato, habilite o provisionamento SCIM para sua conta.

Na sua conta Okta, adicione o aplicativo SCIM da Cato e então configure as configurações para conectar à sua conta Cato. Então você pode definir o grupos Okta e Usuários que são sincronizados e o Okta inicia imediatamente a sincronização automática de Usuários.

O status dos usuários no seu Provedor de Identidade (IdP) é automaticamente sincronizado com sua conta Cato. Por exemplo, quando você desativa Usuários no IdP, eles são sincronizados para sua conta Cato como desativados.

Nota

Nota: Se necessário, você pode editar o mapeamento de atributos para atender aos requisitos específicos da sua organização. Veja abaixo, Descoberta de Esquema.

Configurando o Aplicativo de Gerenciamento Cato para o Aplicativo SCIM

No Aplicativo de Gerenciamento Cato, habilite o Provisionamento SCIM e copie a URL e o Token para um Arquivo de texto. Você deve inserir essas configurações no aplicativo SCIM da Cato que você configura na sua conta Okta.

Para conectar o Aplicativo de Gerenciamento Cato ao Aplicativo SCIM:

  1. No Aplicativo de Gerenciamento Cato, no menu de navegação selecione Acesso > Serviços de Diretório e clique na aba SCIM.

    SCIM.png

  2. Selecione Habilitar Provisionamento SCIM para definir sua conta para conectar ao aplicativo SCIM.

  3. Clique em Salvar.

  4. Copie e cole a URL SCIM e o token em um arquivo de texto em branco.

    1. Em URL base, clique no ícone de copiar copy.png para copiar a URL SCIM para a área de transferência e então cole no arquivo de texto.

    2. Em Token de Autenticação, clique no ícone de copiar copy.png para copiar o token único da conta para a área de transferência e então cole no arquivo de texto.

Adicionando o Aplicativo SCIM de Cato no Okta

Adicione o aplicativo SCIM da Cato da loja de aplicativos Okta e então configure o aplicativo para sincronizar automaticamente Usuários com Cato. Insira a URL de Provisionamento SCIM e o Token que você copiou do Aplicativo de Gerenciamento Cato.

Para criar o aplicativo SCIM de Cato:

  1. Faça login na sua conta Okta e vá para o console do administrador.

  2. Na barra de menu, clique em Aplicações > Aplicações.

    SCIM_Okta_AddApp.png

  3. Adicione o aplicativo SCIM de Cato à sua conta Okta:

    1. Clique em Adicionar Aplicação.

    2. Procure pelo Cato Provisionamento de Redes e selecione o aplicativo. A visão geral do aplicativo se abre em uma nova janela.

    3. Clique em Adicionar. O assistente de Adicionar Provisionamento de Redes Cato é aberto.

      Okta_GeneralSettings.png

    4. Insira o rótulo da Aplicação e configure as configurações do aplicativo.

    5. Clique em Próximo.

    6. Configure as configurações de Autenticação de Usuário e credenciais.

      Okta_SSO_SWA.png

    7. Certifique-se de que Atualizar nome de usuário da aplicação esteja definido para Criar e atualizar.

    8. Clique em Concluído. O aplicativo SCIM de Cato é adicionado à sua conta.

  4. Clique na aba Provisionamento, e a janela de Integração se abre.

  5. Clique em Configurar Integração API.

  6. Selecione Habilitar Integração API.

    SCIM_Okta_Integratoin.png

  7. Configure o Okta para integrar-se com sua conta de Cato:

    1. Em URL base, cole a URL que você copiou do Aplicativo de Gerenciamento Cato.

    2. Em Token API, cole o token que você copiou do Aplicativo de Gerenciamento Cato.

  8. Clique em Testar Credenciais da API para garantir que o aplicativo SCIM de Cato pode conectar-se à sua conta de Cato.

  9. Clique em Salvar.

Configurando o Aplicativo SCIM para Provisionamento

Configure as configurações no aplicativo SCIM para provisionar usuários em sua conta Cato. Para mais sobre os atributos SCIM, veja abaixo Descoberta de Esquema.

Para configurar o aplicativo SCIM para provisionar usuários:

  1. No novo aplicativo SCIM, clique na aba Provisionamento.

  2. Na seção Configurações, selecione Para Aplicativo.

  3. Configure as configurações de Provisionamento para Aplicativo, clique em Editar.

  4. Selecione Habilitar para estas opções:

    • Criar Usuários

    • Atualizar Atributos de Usuário

    • Desativar Usuários

  5. Clique em Salvar.

Atualizando o Aplicativo Cato SCIM para Okta

De tempos em tempos, a Cato adiciona atributos ao seu esquema SCIM que fornecem informações mais granulares sobre seus usuários. Para ter acesso a esses atributos no CMA, você precisa atualizar o aplicativo Cato no Okta com os novos atributos, e configurar quais atributos são incluídos ao criar e atualizar usuários no CMA.

Para atualizar o aplicativo Cato SCIM:

  1. Navegue até Console de Administração Okta > Aplicações > Aplicação SCIM de Redes Cato > Editor de Perfil > Perfil de Usuário do Aplicativo.

  2. Clique em Adicionar Atributo.

  3. Defina os atributos que você deseja adicionar da seguinte forma:

    Quando o valor do campo Obrigatório é Não, o campo é opcional no CMA

    Nome do Atributo (Cato SCIM)

    Nome Externo Okta

    Tipo de Dados

    Obrigatório

    Multi-Valor

    Esquema/Nome do Espaço SCIM

    título

    título

    String

    Não

    Não

    urn:ietf:params:scim:schemas:core:2.0:Usuário

    departamento

    departamento

    String

    Não

    Não

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Usuário

  4. Navegue até Console de Administração Okta > Aplicações > Aplicação SCIM de Redes Cato > Provisionamento > Para Aplicativo.

  5. Em Atributos de Usuário do Aplicativo, habilite as opções Criar e Atualizar para cada atributo que é enviado ao CMA quando o aplicativo SCIM processa uma requisição de criação ou atualização.

  6. Clique em Salvar.

Sincronizando Usuários VPN para Sua Conta de Cato

Após o aplicativo SCIM poder conectar à sua conta, atribua os usuários que você está sincronizando para Cato. Em seguida, você pode continuar com a próxima seção para adicionar grupos à aplicação.

Para provisionar usuários individuais para sua conta de Cato:

  1. No aplicativo SCIM Cato, clique na aba Atribuições.

    SCIM_Okta_Assign.png

  2. Atribua as pessoas e grupos que você está adicionando ao aplicativo SCIM para sincronizar com sua conta Cato:

    1. Clique em Atribuir e selecione Pessoas.

    2. Para a pessoa, clique em Atribuir.

    3. Clique em Salvar e Voltar.

    4. Repita os passos anteriores para todas as pessoas ou grupos, e então clique em Concluído.

    Os usuários são sincronizados do Okta para sua conta Cato.

Sincronizando Grupos Okta para Sua Conta de Cato

Você pode atribuir grupos em Okta com usuários que você está sincronizando para Cato. Então, crie ou atribua os Grupos Push Okta para o aplicativo SCIM e o aplicativo sincroniza os grupos e os usuários associados à sua conta Cato.

Nota

Nota: Usuários devem ser membros do grupo empurrado e atribuídos ao aplicativo Okta Cato OIN para que sua filiação ao grupo seja corretamente preenchida dentro do aplicativo.

Para provisionar grupos Okta para sua conta de Cato:

  1. Atribua os grupos que você está adicionando ao aplicativo SCIM para sincronizar com sua conta de Cato:

    1. Na seção Atribuições, clique em Atribuir e selecione Grupos.

    2. Para o grupo, clique em Atribuir.

    3. Clique em Salvar e Voltar.

    4. Repita os passos anteriores para todos os grupos, e então clique em Concluído.

  2. Vá para a seção Grupos Push.

  3. Selecione Grupos Push > Encontrar grupos pelo nome.

  4. Digite o nome para o Grupo de Empurrar Okta e selecione o grupo.

    SCIM_Okta_PushGroup.png

  5. Se você precisar adicionar mais Grupos Push, clique em Salvar & Adicionar Outro, caso contrário, clique em Salvar. O aplicativo sincroniza os grupos e usuários associados com sua conta de Cato.

Atribuindo Licenças SDP

No IdP, defina os grupos e usuários que são sincronizados com sua conta Cato. Após a sincronização inicial ser concluída, todos os usuários são criados no Aplicação de Gerenciamento Cato e visíveis na página Diretório de Usuários.

Você pode então atribuir Licenças SDP aos usuários, para mais informações, veja Atribuir Licenças ZTNA aos Usuários.

Removendo Usuários ou Grupos de Usuários do Aplicativo SCIM

Nota

Importante: Embora os usuários possam ser excluídos dentro do CMA, recomendamos que você exclua usuários ou grupos de usuários que são provisionados com o aplicativo SCIM diretamente do Aplicativo de Gerenciamento Cato.

Quando você quiser remover usuários ou grupos de usuários que são provisionados para sua conta Cato com o aplicativo SCIM, desassocie-os no aplicativo. Os usuários e grupos de usuários são automaticamente desativados na próxima vez que o aplicativo SCIM sincronizar com sua conta.

Para remover usuários ou grupos de usuários que estão sincronizados com sua conta de Cato:

  1. No aplicativo SCIM Cato, desassocie os usuários ou grupos de usuários.

    Durante a próxima sincronização, o aplicativo SCIM desativa os usuários ou grupos de usuários na sua conta Cato.

  2. (Opcional) Após os usuários ou grupos serem desativados, você pode excluí-los da Aplicação de Gerenciamento Cato.

    Pode levar até 15 minutos antes que você possa excluir manualmente usuários ou grupos de usuários.

Usuários que são excluídos no CMA e não no seu aplicativo SCIM, são excluídos permanentemente.

Descoberta de Esquema

Você pode usar os Mapeamentos de Atributos na aba de Provisionamento do aplicativo para configurar os atributos SCIM. A configuração Aplicar em para os atributos é Criar e atualizar.

Atributo

Atributo de Usuário VPN Cato

Nome de Usuário

nomeDeUsuario

Configurar a opção de email nas Configurações de Ligado para o aplicativo da Okta.

Nome próprio

givenName

user.firstName

Nome de família

familyName

user.lastName

Email principal

Email

user.email

Nome exibido

displayName

user.displayName

Telefone principal

primaryPhone

Tipo de Atributo - expressão

(user.primaryPhone != null && user.primaryPhone != '')? user.primaryPhone : ''

Tipo de telefone principal

primaryPhonetype

Tipo de Atributo - expressão

(user.primaryPhone != null && user.primaryPhone != '')? 'trabalho' : ''

Título de trabalho

titre

user.title

Departamento

departamento

user.department

Entendendo Eventos para Regra de Provisionamento SCIM

A Aplicação de Gerenciamento Cato gera eventos sempre que usuários e grupos são bloqueados porque não atendem aos requisitos da Política de Acesso do Cliente.

A cada hora, o Aplicativo de Gerenciamento Cato envia alertas de email que resumem as ações de provisionamento SCIM (sucesso ou falha).

A tabela a seguir explica os diferentes eventos.

Tipo de Evento

Ação

Descrição

Regra de Provisionamento SCIM

Sucesso

A ação para sincronizar os usuários ou grupos na sua conta com o aplicativo SCIM foi bem-sucedida.

Regra de Provisionamento SCIM

Falha

O aplicativo SCIM falhou ao sincronizar o IdP com sua conta. A mensagem do evento explica o motivo da falha de sincronização.

Regra de Provisionamento SCIM

Desativado

Um usuário desativado no IdP foi sincronizado com sucesso e desativado na sua conta Cato.

Excluindo um Diretório SCIM Ativo

Você pode remover um diretório SCIM da sua conta. Após excluir um diretório, as alterações nos seus usuários e grupos não são mais sincronizadas. Você pode excluir um diretório mesmo que ainda tenha usuários ativos. Após exclusão, esses usuários não estão mais associados ao diretório.

Para excluir um diretório SCIM ativo:

  1. Navegue até Acesso > Serviços de Diretório.

  2. Na aba SCIM, clique nos três pontos do diretório que deseja excluir.

  3. Clique em Excluir Usuários.

  4. Na confirmação pop-up, clique em Excluir Usuários.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário