Provisionamento SCIM com o Entra ID (anteriormente Azure)

Este artigo explica como usar o aplicativo SCIM do Azure para sincronizar automaticamente informações de usuário e grupo, e provisionar usuários e grupos de ID Entra para sua conta Cato.

Capacidades Suportadas

  • Criar e desativar usuários na Aplicação de Gerenciamento Cato
  • Sincronizar usuários e atributos do Azure AD para a Aplicação de Gerenciamento Cato
  • Single Sign-On (SSO) para o Azure
  • Os usuários podem autenticar com email ou UPN, dependendo da sua configuração do Azure.

Pré-requisitos

Certifique-se de que estes itens estão prontos antes de criar o aplicativo SCIM do Azure:

  • Um locatário do Entra ID
  • Permissões do Entra ID para configurar o provisionamento de usuários

Limitações

  • A remoção de um usuário da aplicação IdP desativa o usuário na Aplicação de Gerenciamento Cato (veja abaixo Removendo Usuários ou Grupos de Usuários do App SCIM)

  • Para contas que usam sincronização LDAP para usuários, quando você habilita o provisionamento SCIM, essa sincronização é desativada para sua conta.

    • A sincronização LDAP para Consciência do Usuário continua funcionando regularmente e não é impactada pelo provisionamento SCIM.
  • Provisionamento de grupos aninhados não é suportado.
  • A sincronização SCIM substitui grupos LDAP existentes com o mesmo nome. Para mais informações, veja Como a Sincronização SCIM Substitui Grupos LDAP Existentes
  • Usuários provisionados com SCIM não são identificados pela Consciência do Usuário baseada em WMI. Consciência do Usuário com SCIM é suportada usando Cato Agente de Identidade
  • O provisionamento sob demanda não suporta atribuir usuários a um grupo de usuários.

Planejando a Sincronização de Usuários

Esta seção descreve como planejar ID Entra para sincronizar usuários com sua conta Cato. Para mais sobre o planejamento de sincronização de usuários entre Azure e Cato, veja estes artigos da Microsoft:

Definindo Usuários e Grupos para a Sincronização de Usuários

O Entra ID permite que você defina os usuários incluídos na sincronização de usuários com Cato de acordo com um destes métodos:

  • Atribuindo usuários ao aplicativo Entra ID
  • Filtrando usuários com base nos atributos para usuários ou grupos

Como parte do processo para planejar a sincronização de usuários com Cato, recomendamos que você comece com um pequeno grupo de usuários. Dependendo do método acima, você pode:

  • Atribua alguns usuários ao aplicativo Entra ID
  • Crie um filtro de escopo baseado em atributos que corresponda apenas a alguns usuários

Configurando a Sincronização Automática de Usuários para Cato com o App SCIM Cato

Você pode conectar o Entra ID à sua conta Cato e sincronizar usuários entre eles. Adicione o aplicativo SCIM Cato na galeria Azure à sua conta e então configure as configurações para conectar à sua conta Cato. Azure inicia a sincronização automática de usuários a cada 40 minutos.

Então você pode definir os grupos e usuários Entra ID que são sincronizados e habilitar o provisionamento automático.

O status dos usuários em seu Provedor de Identidade (IdP) é automaticamente sincronizado com sua conta Cato. Por exemplo, quando você desativa usuários no IdP, eles são sincronizados com sua conta Cato como desativados.

Nota: Ao considerar o número total de usuários em um grupo SCIM no Azure em comparação com o grupo SCIM CMA, note que você terá menos usuários no grupo SCIM CMA. Isso ocorre porque não contabilizamos usuários desativados, que foram sincronizados e depois desativados ou sempre estiveram desativados.

Configurando o App SCIM Cato

Configure as configurações para o aplicativo SCIM Cato a partir da galeria Azure e então configure o aplicativo para sincronizar automaticamente usuários para o Cato.

No Aplicativo de Gerenciamento Cato, habilite o Provisionamento SCIM e copie a URL e o token para a seção Admin Credentials no aplicativo SCIM Cato.

Para adicionar novos atributos ao seu aplicativo existente, atualize o aplicativo SCIM.

Para conectarAplicação de Gerenciamento Cato ao app SCIM:

  1. Do portal Azure, vá para Aplicações Empresariais.
  2. Vá para Nova aplicação, procure o aplicativo de Provisionamento Cato Networks e clique em Criar.

  3. No Aplicativo de Gerenciamento Cato, no menu de navegação selecione Acesso > Serviços de Diretório e clique na aba SCIM.

    SCIM.png
  4. Selecione Habilitar Provisionamento SCIM para configurar sua conta para conectar ao app SCIM.
  5. Clique em Salvar.
  6. Copie e cole o URL SCIM e o token para um arquivo de texto em branco.
    1. Em URL Base, clique no ícone de copiar copy.png para copiar o URL SCIM para a área de transferência e depois cole no arquivo de texto.
    2. Em Bearer Token, clique no ícone de copiar copy.png para copiar o token único da conta para a área de transferência e depois cole no arquivo de texto.
  7. No Azure, vá para a seção Provisionamento do app SCIM e cole o URL SCIM e o token.
    1. Cole o URL em URL do Locatário.
    2. Cole o token em Token Secreto.
    3. Clique em Salvar.
  8. No Azure, clique em Testar Conexão para garantir que o Azure AD pode conectar ao app SCIM Cato.
  9. Habilite o provisionamento automático no app.
    1. No menu de navegação, selecione Provisionamento.
    2. Na tela de Provisionamento, clique em Pegar o comece.
    3. No menu suspenso Modo de Provisionamento, selecione Automático.
    4. Clique em Salvar.
  10. Atribuir grupos e usuários ao aplicativo.

Provisionando Usuários para Sua Conta Cato

Depois que o aplicativo SCIM Cato pode conectar à sua conta, habilite o provisionamento automático e selecione os usuários e grupos que estão sincronizados.

Para provisionar usuários para suaconta Cato:

  1. No app SCIM Cato, vá para a seção Provisionamento.

  2. Na Status de Provisionamento, clique em Iniciar provisionamento.

    Azure_StartProvisioning.png

    A sincronização inicial entre seu AD Azure e conta Cato começa.

Atualizando um App SCIM Existente

Use os seguintes passos para atualizar a lista de atributos e mapeamentos de atributos para um aplicativo SCIM Microsoft Entra ID existente, de forma que atributos adicionais de usuário sejam provisionados para Cato. Isso é necessário para obter acesso aos atributos mais recentes usados por Cato, por exemplo Cargo e Departamento.

Nota

Nota: Se o aplicativo SCIM foi criado antes de novembro de 2025, você deve criar um novo aplicativo SCIM e configurar os atributos conforme descrito abaixo.

Atualize um app SCIM existente:

  1. Do portal Azure, vá para aplicações empresariais > Todas as aplicações e selecione o seu app SCIM Cato.
  2. Clique em Provisionamento e depois em Mapeamento de Atributos.
  3. Na página de Mapeamento de Atributos, selecione a caixa Mostrar opções avançadas e clique em Editar lista de atributos para <appName>.

  4. Adicione o atributo e, no menu suspenso Tipo, selecione o valor relevante.

    Repita este processo para cada atributo que deseja adicionar.

  5. Clique em Salvar.
  6. Na página de Mapeamento de Atributos, clique em Editar atributo.

  7. Na página Editar Atributo, selecione o Atributo Origem e mapeie para o Atributo Alvo.

    Por exemplo, selecione jobTitle como a fonte, e mapeie para título no alvo.

    Repita este processo para cada atributo que você está adicionando.

  8. Clique em Salvar.
  9. Provisione usuários e grupos para a conta.

Revisando os Atributos de Provisionamento SCIM

Após configurar o aplicativo SCIM Cato, você pode revisar o mapeamento dos atributos de provisionamento SCIM entre o Entra ID e o Aplicativo de Gerenciamento Cato.

 

Atributo do Azure AD

Atributo do Usuário Cato

Notas sobre Usuário

userPrincipalName

userName

Nome de usuário do usuário

Coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

Endereço de e-mail

givenName

name.givenName

Nome

surname

name.familyName

Sobrenome

telephoneNumber

phoneNumbers[type eq "work"].value

Número de telefone (incluindo prefixo)

objectId

externalId

ID do usuário (utilizado em eventos)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

active

Quando um usuário é desatribuído do app SCIM, o usuário é excluído suavemente com os parâmetros: "False", "True", "True", "False"

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

title

department

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

Atribuindo Licenças SDP

No IdP, defina os grupos e usuários que serão sincronizados com sua conta Cato. Após a conclusão da sincronização inicial, todos os usuários são então criados no Aplicativo de Gerenciamento Cato e visíveis na página Diretório de Usuários.

Você pode então atribuir Licenças SDP aos usuários, para mais informações, veja Atribuir Licenças ZTNA aos Usuários.

Removendo Usuários ou Grupos de Usuários do aplicativo SCIM

Nota

Importante: Embora usuários possam ser excluídos dentro do CMA, recomendamos que exclua usuários ou grupos de usuários provisionados com o app SCIM diretamente do portal Azure.

Quando você quiser remover usuários ou grupos de usuários provisionados para sua conta Cato com o app SCIM, desassocie-os no app. Os usuários e grupos de usuários são desativados automaticamente na próxima vez que o app SCIM sincronizar com sua conta.

Para remover usuários ou grupos de usuários que estão sincronizados para suaconta Cato:

  1. No aplicativo SCIM da Cato, desatribua os usuários ou grupos de usuários.

    Durante a próxima sincronização, o aplicativo SCIM desativa os usuários ou grupos de usuários na sua conta Cato.

  2. (Opcional) Após os usuários ou grupos serem desativados, você pode excluí-los do Aplicativo de Gerenciamento Cato.

    Pode levar até 15 minutos antes de você poder excluir manualmente usuários ou grupos de usuários.

Entendendo Eventos para Provisionamento SCIM

O Aplicativo de Gerenciamento Cato gera eventos sempre que usuários e grupos são bloqueados porque eles não atendem aos requisitos da Política de Conectividade do Cliente.

A cada hora, o Aplicativo de Gerenciamento Cato envia alertas por e-mail que resumem as ações de provisionamento SCIM (sucesso ou falha).

A tabela a seguir explica os diferentes eventos.

 

Tipo de Evento

Ação

Descrição

Provisionamento SCIM

Sucesso

A ação de sincronizar os usuários ou grupos com sua conta com o app SCIM foi bem-sucedida.

Provisionamento SCIM

Falha

O app SCIM falhou ao sincronizar o IdP com sua conta. A mensagem do evento explica a razão para a falha de sincronização.

Provisionamento SCIM

Desativado

Um usuário desativado no IdP foi sincronizado com sucesso e desativado em sua conta Cato.

Esse artigo foi útil?

Usuários que acharam isso útil: 4 de 5

0 comentário