Este artigo discute o provisionamento de usuários para sua conta Cato com o protocolo SCIM.
SCIM define um padrão para trocar informações de identidade entre diferentes fornecedores de aplicativos em nuvem. Por exemplo, com SCIM você pode criar, atualizar ou remover facilmente dados de usuários em escala em sua conta Cato.
As informações dos usuários são sincronizadas com segurança de seu IdP para Cato para criar usuários. Qualquer alteração nos detalhes dos usuários que foi feita no IdP é refletida no Cato em quase tempo real. Por exemplo, se um funcionário sai da empresa, sua conta é removida do IdP da empresa. Esta alteração é sincronizada com Cato e o usuário é excluído.
Você pode ver quais usuários foram importados e quais foram criados manualmente na coluna Nome do Diretório - os usuários importados aparecem com o nome do diretório SCIM e os criados manualmente aparecem como Manual. Você também pode filtrar por nome de diretório, ou ver todos os usuários adicionados manualmente em seu sistema.
Uma vez que um usuário é provisionado com SCIM, ele pode receber uma licença e ser incluído em políticas.
Nota
Nota: Adicionar um novo provedor SCIM ou diretório não deve ser usado para migrar um diretório existente. Para informações sobre a migração de usuários, consulte os artigos nesta seção.
Provisionar usuários com SCIM tem estas vantagens:
- Sincronize imediatamente os usuários do IdP com sua conta Cato.
- Atualizações ou alterações na associação de grupo ou perfis de usuário são atualizadas em quase tempo real
- Integre o IdP à sua conta Cato sem configurar regras de firewall de entrada
- O SCIM é amplamente suportado por fornecedores IdP e é fácil de integrar com sua conta
Este processo explica como os usuários são provisionados do seu IdP, e então recebem licenças e são adicionados a políticas, para que possam se conectar com segurança à rede.
- No seu IdP, defina os usuários e/ou grupos a serem provisionados no Cato.
- Configure a sincronização automática de usuários com o Cato.
- Atribua licenças aos usuários necessários
- Aplique políticas aos usuários
Estes são os IdPs que têm suporte para provisionamento de usuários com SCIM:
- Azure
- Okta
- One Login
- DTS
Para mais informações sobre como configurar o provisionamento SCIM para cada Provedor de Identidade, consulte Provisionamento de Usuários com SCIM e Usando um Provedor de Identidade para sua Conta Cato.
Recomendamos que você associe ou desassocie usuários ou grupos do Aplicativo SCIM em seu IdP. No entanto, também é possível ativar, desativar e excluir usuários e grupos provisionados pelo SCIM diretamente do CMA. Essas alterações são sincronizadas automaticamente com o Serviço SCIM.
Nota
Nota: Usuários desativados ou excluídos no CMA que foram provisionados com SCIM de:
- ID Entra são reativados e ativados no próximo ciclo de provisionamento. Entra sobrepõe o estado desativado ou excluído e reativa o usuário automaticamente.
- Okta
- Usuários desativados — permanecem desativados. Okta preserva o estado desativado ao enviar atualizações. Reatribuir um usuário desativado ao aplicativo SCIM do Okta falha até que o usuário seja reativado no CMA.
- Usuários excluídos — permanecem inativos no Serviço SCIM. Para reprovisionar um usuário excluído, desassocie o usuário do aplicativo Okta e reassocie-o. O usuário é reativado no Serviço SCIM e no CMA.
Quando quiser remover usuários ou grupos provisionados para sua conta Cato com o app SCIM, desatribua-os no app. Os usuários e grupos são automaticamente desativados na próxima vez que o app SCIM sincronizar com sua conta.
Se você está removendo ou alterando fornecedores SCIM, certifique-se de remover todos os usuários ou grupos importados do app SCIM antes de excluir sua configuração de fornecedor SCIM do CMA. Após a sincronização do aplicativo SCIM, essas entidades são desativadas no CMA.
Quando você desativa ou remove usuários provisionados com SCIM com uma licença ZTNA (SDP), a licença ZTNA é desatribuída e disponível para outros usuários.
Re-provisionamento de Grupos de Usuários Após a Exclusão
O comportamento ao reprovisionar um grupo de usuários excluído difere por IdP:
- ID Entra: Re-provisionando um grupo de usuários excluído recria-o, mas a associação não é restaurada. Para restaurar a associação, remova o grupo do aplicativo Entra e adicione-o novamente. A associação é restaurada no próximo ciclo de provisionamento.
- Okta: Empurrar um grupo de usuários excluído do Okta resultará em falha. Para reprovisionar o grupo de usuários, remova-o do aplicativo Okta e reassocie-o. Isso restaura o grupo de usuários e sua associação.
Você pode excluir um diretório SCIM da sua conta. Após a exclusão, as alterações em seus usuários e grupos não são mais sincronizadas do IdP. Você pode excluir um diretório mesmo que ele ainda tenha usuários ativos.
Nota: Você não pode excluir um diretório SCIM que é usado para Autenticação de Usuário SSO. Remova o diretório da configuração da Autenticação de Usuário antes de excluí-lo.
Para excluir um diretório SCIM:
- No painel de navegação, vá para Acesso > Serviços de Diretório e clique na aba SCIM.
- No final da linha do diretório SCIM, clique no ícone de três pontos e selecione Excluir.
- Na janela de confirmação, clique em Excluir.
Este diretório SCIM é excluído da sua conta Cato. Alterações futuras do IdP para este diretório não serão mais sincronizadas.
0 comentário
Artigo fechado para comentários.