Provisionamento SCIM com o Entra ID (anteriormente Azure)

Este artigo explica como usar o aplicativo SCIM do Azure para sincronizar automaticamente informações de usuário e grupo, e provisionar usuários e grupos de ID Entra para sua conta Cato.

Capacidades Suportadas

  • Criar e desativar usuários no Aplicativo de Gerenciamento Cato

  • Sincronizar usuários e atributos da Azure AD para o Aplicativo de Gerenciamento Cato

  • Single Sign-On (SSO) para Azure

  • Os Usuários podem autenticar com email ou UPN, dependendo da sua configuração do Azure.

Pré-requisitos

Certifique-se de que estes itens estão prontos antes de criar o aplicativo SCIM do Azure:

  • Um inquilino Entra ID

  • Permissões Entra ID para configurar o provisionamento de usuários

Limitações

  • Remover um usuário do aplicativo IdP desativa o usuário no Aplicativo de Gerenciamento Cato (veja abaixo Removendo Usuários ou Grupos de Usuários do Aplicativo SCIM)

  • Para contas que usam sincronização LDAP para usuários, quando você habilita o provisionamento SCIM, essa sincronização é desativada para sua conta.

    • Sincronização LDAP para Consciência do Usuário continua funcionando regularmente e não é impactada pelo provisionamento SCIM.

  • Provisionamento de grupos aninhados não é suportado

  • Sincronização SCIM substitui grupos LDAP existentes com o mesmo nome. Para mais informações, veja Como a Sincronização SCIM Substitui Grupos LDAP Existentes

  • Usuários provisionados pelo SCIM não são identificados com Consciência do Usuário baseada em WMI. A Consciencia do Usuário com SCIM é suportada usando Cato Agente de Identidade

  • Provisionamento sob demanda não suporta atribuir usuários a um grupo de usuários

Planejamento da Sincronização de Usuário

Esta seção descreve como planejar ID Entra para sincronizar usuários com sua conta Cato. Para mais sobre o planejamento de sincronização de usuários entre Azure e Cato, veja estes artigos da Microsoft:

Definindo Usuários e Grupos para a Sincronização de Usuário

O Entra ID permite que você defina os usuários incluídos na sincronização de usuários com Cato de acordo com um destes métodos:

  • Atribuir usuários ao aplicativo Entra ID

  • Filtrar usuários com base nos atributos para usuários ou grupos

Como parte do processo para planejar a sincronização de usuários com Cato, recomendamos que você comece com um pequeno grupo de usuários. Dependendo do método acima, você pode:

  • Atribuir alguns usuários ao aplicativo Entra ID

  • Criar um filtro de escopo baseado em atributos que corresponda apenas a alguns usuários

Configurando Sincronização Automática de Usuário para Cato com o aplicativo SCIM Cato

Você pode conectar o Entra ID à sua conta Cato e sincronizar usuários entre eles. Adicione o aplicativo SCIM Cato na galeria Azure à sua conta e então configure as configurações para conectar à sua conta Cato. Azure inicia a sincronização automática de usuários a cada 40 minutos.

Então você pode definir os grupos e usuários Entra ID que são sincronizados e habilitar o provisionamento automático.

O status dos usuários em seu Provedor de Identidade (IdP) é automaticamente sincronizado com sua conta Cato. Por exemplo, quando você desativa usuários no IdP, eles são sincronizados com sua conta Cato como desativados.

Nota: Ao considerar o número total de usuários em um grupo SCIM no Azure em comparação com o grupo SCIM CMA, note que você terá menos usuários no grupo SCIM CMA. Isso ocorre porque não contabilizamos usuários desativados, que foram sincronizados e depois desativados ou sempre estiveram desativados.

Configurando o Aplicativo SCIM Cato

Configure as configurações para o aplicativo SCIM Cato a partir da galeria Azure e então configure o aplicativo para sincronizar automaticamente usuários para o Cato.

No Aplicativo de Gerenciamento Cato, habilite o Provisionamento SCIM e copie a URL e o token para a seção Admin Credentials no aplicativo SCIM Cato.

Para adicionar novos atributos ao seu aplicativo existente, atualize o aplicativo SCIM.

Para conectar o Aplicativo de Gerenciamento Cato ao aplicativo SCIM:

  1. Do portal do Azure, vá para Aplicações Empresariais.

  2. Vá para Nova aplicação, pesquise o aplicativo de Provisionamento Cato Networks e clique em Criar.

  3. No Aplicativo de Gerenciamento Cato, no menu de navegação selecione Acesso > Serviços de Diretório e clique na aba SCIM.

    SCIM.png

  4. Selecione Habilitar Provisionamento SCIM para configurar sua conta para conectar ao aplicativo SCIM.

  5. Clique em Salvar.

  6. Copie e cole a URL SCIM e o token para um arquivo de texto em branco.

    1. Em URL base, clique no ícone de copiar copy.png para copiar a URL SCIM para a área de transferência e, em seguida, cole-a no arquivo de texto.

    2. Em Token de Autenticação, clique no ícone de copiar copy.png para copiar o token único da conta para a área de transferência e, em seguida, cole-o no arquivo de texto.

  7. No Azure, vá para a seção Provisionamento do aplicativo SCIM e cole a URL SCIM e o token.

    1. Cole a URL em URL do Inquilino.

    2. Cole o token em Token Secreto.

    3. Clique em Salvar.

  8. No Azure, clique em Testar Conexão para garantir que o AD Azure pode conectar ao aplicativo SCIM Cato.

  9. Habilite o provisionamento automático no aplicativo.

    1. No menu de navegação, selecione Provisionamento.

    2. Na tela Provisionamento, clique em Começar.

    3. No menu suspenso Modo de Provisionamento, selecione Automático.

    4. Clique em Salvar.

  10. Atribua grupos e usuários ao aplicativo.

Provisionando Usuários para Sua Conta Cato

Depois que o aplicativo SCIM Cato pode conectar à sua conta, habilite o provisionamento automático e selecione os usuários e grupos que estão sincronizados.

Para provisionar usuários para sua conta Cato:

  1. No aplicativo SCIM Cato, vá para a seção Provisionamento.

  2. Na Status de Provisionamento, clique em Iniciar provisionamento.

    Azure_StartProvisioning.png

    A sincronização inicial entre seu AD Azure e conta Cato começa.

Atualizando um Aplicativo SCIM Existente

Use os seguintes passos para atualizar a lista de atributos e mapeamentos de atributos para um aplicativo SCIM Microsoft Entra ID existente, de forma que atributos adicionais de usuário sejam provisionados para Cato. Isso é necessário para obter acesso aos atributos mais recentes usados por Cato, por exemplo Cargo e Departamento.

Nota

Nota: Se o aplicativo SCIM foi criado antes de novembro de 2025, você deve criar um novo aplicativo SCIM e configurar os atributos conforme descrito abaixo.

Atualize um aplicativo SCIM existente:

  1. Do portal Azure, vá para aplicações empresariais > todas as aplicações e selecione seu aplicativo SCIM Cato.

  2. Clique em Provisionamento e depois em Mapeamento de atributos.

  3. Na página Mapeamento de Atributos, selecione a caixa de seleção Exibir opções avançadas e clique em Editar lista de atributos para <appName>.

  4. Adicione o atributo e, no menu suspenso Tipo, selecione o valor relevante.

    Repita este processo para cada atributo que deseja adicionar.

  5. Clique em Salvar.

  6. Na página de Mapeamento de Atributo, clique em Editar atributo.

  7. Na página Editar Atributo, selecione o Atributo Origem e mapeie para o Atributo Alvo.

    Por exemplo, selecione jobTitle como a fonte, e mapeie para título no alvo.

    Repita este processo para cada atributo que você está adicionando.

  8. Clique em Salvar.

  9. Provisionar usuários e grupos para a conta.

Revisando os Atributos de Provisionamento SCIM

Após configurar o aplicativo SCIM Cato, você pode revisar o mapeamento dos atributos de provisionamento SCIM entre o Entra ID e o Aplicativo de Gerenciamento Cato.

Atributo do Azure AD

Atributo de Usuário Cato

Notas sobre o Usuário

userPrincipalName

Nome de usuário

Nome de usuário para o usuário

Coalesce([mail], [userPrincipalName])

emails[tipo eq "trabalho"].valor

Endereço de e-mail

givenName

nome.givenName

Primeiro Nome

sobrenome

nome.sobrenome

Sobrenome

númeroTelefone

númerosTelefone[tipo eq "trabalho"].valor

Número de telefone (incluindo prefixo)

objectId

externalId

ID do usuário (usado em eventos)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

ativo

Quando um usuário é desatribuído do aplicativo SCIM, o usuário é excluído com os parâmetros: "False", "True", "True", "False"

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

titulo

departamento

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departamento

Atribuição de Licenças SDP

No IdP, defina os grupos e usuários que serão sincronizados com sua conta Cato. Após a conclusão da sincronização inicial, todos os usuários são então criados no Aplicativo de Gerenciamento Cato e visíveis na página Diretório de Usuários.

Você pode então atribuir Licenças SDP aos usuários, para mais informações, veja Atribuir Licenças ZTNA aos Usuários.

Removendo Usuários ou Grupos de Usuários do aplicativo SCIM

Nota

Importante: Embora os usuários possam ser excluídos dentro do CMA, recomendamos que você exclua usuários ou grupos de usuários provisionados com o aplicativo SCIM diretamente do Aplicativo de Gerenciamento Cato.

Quando quiser remover usuários ou grupos de usuários provisionados na sua Conta Cato com o aplicativo SCIM, desatribua-os no aplicativo. Os usuários e grupos de usuários são automaticamente desativados na próxima vez que o aplicativo SCIM sincronizar com sua conta.

Para remover usuários ou grupos de usuários que são sincronizados na sua Conta Cato:

  1. No aplicativo SCIM da Cato, desatribua os usuários ou grupos de usuários.

    Durante a próxima sincronização, o aplicativo SCIM desativa os usuários ou grupos de usuários na sua conta Cato.

  2. (Opcional) Após os usuários ou grupos serem desativados, você pode excluí-los do Aplicativo de Gerenciamento Cato.

    Pode levar até 15 minutos antes de você poder excluir manualmente usuários ou grupos de usuários.

Entendendo Eventos para Provisionamento SCIM

O Aplicativo de Gerenciamento Cato gera eventos sempre que usuários e grupos são bloqueados porque eles não atendem aos requisitos da Política de Conectividade do Cliente.

A cada hora, o Aplicativo de Gerenciamento Cato envia alertas por e-mail que resumem as ações de provisionamento SCIM (sucesso ou falha).

A tabela a seguir explica os diferentes eventos.

Tipo de Evento

Ação

Descrição

Provisionamento SCIM

Sucesso

A ação para sincronizar os usuários ou grupos com sua conta usando o aplicativo SCIM foi bem-sucedida.

Provisionamento SCIM

Falhou

O aplicativo SCIM falhou ao sincronizar o IdP com sua conta. A mensagem do evento explica o motivo da falha de sincronização.

Provisionamento SCIM

Desativado

Um usuário desativado no IdP foi sincronizado e desativado com sucesso na sua conta Cato.

Esse artigo foi útil?

Usuários que acharam isso útil: 4 de 5

0 comentário