Provisionamento SCIM com OneLogin

Este artigo explica como usar o Cato SCIM app do OneLogin para sincronizar automaticamente os usuários da sua conta OneLogin com a sua conta Cato.

Capacidades Suportadas

Cato Networks entrega uma arquitetura de rede segura de próxima geração que elimina a complexidade, os custos e os riscos associados a abordagens de TI legadas baseadas em soluções pontuais desconexas. Do Single Sign-On (SSO) ao provisionamento de usuários, a integração Cato do OneLogin gerencia o acesso ao usuário e grupos durante todo o Ciclo de Vida do usuário, incluindo:

  • Criar e remover usuários no Aplicativo de Gerenciamento Cato
  • Sincronizar usuários e atributos do OneLogin para o Aplicativo de Gerenciamento Cato
  • Single Sign-On (SSO) para o OneLogin
  • Atualizar atributos do usuário
  • Desativar usuários
  • Importar usuários
  • Importar grupos (funções do OneLogin)

Requisitos

Certifique-se de que, antes de criar o aplicativo SCIM personalizado do Cato, você possui permissões de administrador no OneLogin para configurar aplicações e provisionamento de usuários.

Limitações Conhecidas

  • Usuários que são excluídos do OneLogin são desativados na Aplicativo de Gerenciamento Cato
  • Funções que são excluídas do OneLogin, os grupos correspondentes NÃO são excluídos no Aplicativo de Gerenciamento Cato
  • Grupos aninhados não são suportados
  • Sincronização SCIM sobrepõe grupos LDAP existentes com o mesmo nome. Para mais informações, veja Como a Sincronização SCIM Sobrescreve Grupos LDAP Existentes

Configurando o Aplicativo SCIM Cato para Sincronizar Usuários Automaticamente para o Cato

Você pode usar o aplicativo SCIM Cato na biblioteca de aplicativos do OneLogin para conectar e sincronizar usuários da sua conta OneLogin para sua conta Cato. Esta seção explica como configurar este aplicativo SCIM, de acordo com o seguinte fluxo de trabalho:

  • Na Aplicativo de Gerenciamento Cato, ative o provisionamento SCIM para sua conta Cato
  • Adicione o aplicativo SCIM Cato à sua conta OneLogin
  • Configure o aplicativo para conectar à sua conta Cato
  • Defina os usuários do OneLogin que são sincronizados
  • Defina as funções do OneLogin que são sincronizadas com os grupos em sua conta Cato

O status dos usuários no seu Provedor de Identidade (IdP) são sincronizados automaticamente com sua conta Cato. Por exemplo, quando você desativa usuários no IdP, eles são sincronizados para sua conta Cato como desativados.

Configurando o Aplicativo de Gerenciamento Cato para o Aplicativo SCIM

No Aplicativo de Gerenciamento Cato, habilite o Provisionamento SCIM e copie o URL e o token para um arquivo de texto. Você irá inserir essas configurações no aplicativo SCIM Cato que você configurar no seu OneLogin

conta.

Para conectar Aplicativo de Gerenciamento Cato ao Aplicativo SCIM

  1. No Aplicativo de Gerenciamento Cato, no menu de navegação selecione Acesso > Serviços de Diretório e clique na aba SCIM.

    SCIM.png
  2. Selecione Ativar Provisionamento SCIM para definir sua conta para conectar ao aplicativo SCIM.
  3. Clique Salvar.
  4. Copie e cole a URL SCIM e o token em um arquivo de texto em branco.
    1. Em URL base, clique no ícone de copiar copy.png para copiar a URL SCIM para a área de transferência e depois cole no arquivo de texto.
    2. Em Token de Autenticação, clique no ícone de copiar copy.png para copiar o token único da conta para a área de transferência e depois cole no arquivo de texto.

Adicionando o Aplicativo SCIM Cato

Você pode adicionar o aplicativo SCIM Cato à sua conta OneLogin e usá-lo para provisionar usuários da sua conta OneLogin para sua conta Cato.

Para adicionar o aplicativo SCIM Cato à sua conta OneLogin:

Para adicionar o Aplicativo SCIM Cato à sua conta OneLogin:

  1. Do painel de administração OneLogin, clique em Aplicações > Aplicações.
  2. Clique em Adicionar Aplicativo.

  3. Pesquise pelo aplicativo Cato Networks e, em seguida, clique no aplicativo Cato Networks com SAML2.0, provisionamento.

    OneLogin_CatoApp.png

  4. Na janela Listagem de Aplicativos / Adicionar Cato Networks, insira o Nome de Exibição para o aplicativo e clique em Salvar.

    OneLogin_CatoApp_AddApp.png

    A mensagem mostra que o aplicativo foi adicionado com sucesso à sua conta.

Configurando o Aplicativo SCIM para Conectar à Sua Conta

Configure as configurações nas seções Configuração e Provisionamento do aplicativo para que ele possa se conectar à sua conta Cato. Você precisa inserir a URL e o Token que copiou do Aplicativo de Gerenciamento Cato em Configurar o Aplicativo de Gerenciamento Cato para o Aplicativo SCIM acima.

Para configurar o aplicativo SCIM para conectar à conta Cato:

  1. No painel de navegação do aplicativo, clique em Configuração.

  2. Na seção Conexão API, configure o OneLogin para integrar-se com sua conta:

    OneLogin_CatoApp_Configuration.png
    1. Em URL Base SCIM, cole a URL que você copiou do Aplicativo de Gerenciamento Cato.
    2. Em Token de Autenticação SCIM, cole o token que você copiou do Aplicativo de Gerenciamento Cato.
  3. Em Status da API, clique em Ativar.
  4. Clique em Salvar.

  5. No painel de navegação, clique em Provisionamento.

    OneLogin_CatoApp_Provisioning.png
  6. Configure essas configurações de provisionamento para o aplicativo:
    1. Selecione Ativar provisionamento.
    2. (Opcional) Configure as configurações de Exigir aprovação do administrador antes de esta ação ser executada:
    3. Em Quando os usuários são excluídos no OneLogin ou o acesso do usuário ao aplicativo é removido, realize a ação abaixo, selecione Suspender.
    4. Certifique-se de que o link Atualizar na seção Concessões esteja clicável.

  7. Clique em Salvar.

    Os parâmetros para o aplicativo SCIM Cato estão configurados e o aplicativo está pronto para se conectar à sua conta Cato.

Sincronizando Usuários de VPN para Sua Conta Cato

Após o aplicativo SCIM poder se conectar à sua conta, atribua os usuários que você está sincronizando para Cato. Em seguida, você pode continuar com a próxima seção para adicionar grupos ao aplicativo.

Para provisionar usuários individuais para sua conta Cato:

  1. No menu principal, selecione Usuários > Usuários.

  2. Selecione o usuário que você está atribuindo ao aplicativo SCIM.

    OneLogin_SelectUser.png

  3. No painel de navegação para o usuário, selecione Aplicações.

    OneLogin_User_Applications.png
  4. Atribua o aplicativo SCIM ao usuário:
    1. Clique no botão de adição para adicionar um novo aplicativo ao usuário.

    2. Na janela Atribuir novo login a, no menu suspenso Selecionar aplicação, selecione o aplicativo SCIM.

      OneLogin_User_Applications_AssignApp.png
    3. Clique em Continuar.

    4. Na janela pop-up, clique em Salvar.

      OneLogin_EditAppForUser.png

      O aplicativo SCIM está atribuído ao usuário.

  5. Clique em Salvar Usuário. As configurações para este usuário são atualizadas.

  6. Repita as etapas 4 e 5 acima para cada usuário que você estiver provisionando à sua conta Cato.

    Para mostrar os usuários que estão atribuídos ao aplicativo SCIM, acesse o aplicativo SCIM e, no painel de navegação do aplicativo, selecione Usuários.

Sincronizando Funções do OneLogin para Sua Conta Cato

Você pode atribuir funções no OneLogin com usuários que você está sincronizando para Cato. Você pode optar por adicionar manualmente usuários a esta função.

Para cada função, crie uma regra que conecte a função ao aplicativo. Em seguida, atribua a função ao aplicativo e as funções e seus usuários associados são sincronizados com novos grupos em sua conta Cato.

Para provisionar as funções do OneLogin para sua conta Cato:

  1. No menu principal, selecione Usuários > Funções.
  2. Selecione a função que você está atribuindo ao aplicativo SCIM.
  3. (Opcional) Atribuir manualmente usuários à função:

    1. No menu de navegação na função, selecione Usuários.

      OneLogin_Role_AddUser.png
    2. Em Verificar existentes ou adicionar novos usuários a esta regra, insira o nome de usuário que você está adicionando ao aplicativo.
    3. Clique em Verificar, a janela mostra o usuário.
    4. Clique em Adicionar à Função. O usuário é adicionado à seção Usuários Adicionados Manualmente.
  4. Crie uma regra para conectar a função ao aplicativo SCIM.
    1. No menu principal, clique em Aplicações > Aplicações e, em seguida, abra o aplicativo SCIM.
    2. No painel de navegação do aplicativo, selecione Regras.
    3. Clique em Adicionar regra.

    4. Na janela Nova correspondência, insira um Nome para a regra.

      OneLogin_App_Rule.png
    5. Na seção Ações, selecione Definir Grupos em <nome do aplicativo>. A captura de tela acima mostra a opção como Definir Grupos no Aplicativo SCIM Cato de Exemplo.
    6. No menu suspenso Para cada, selecione a função.
    7. Digite o valor que corresponde ao nome da função. A captura de tela acima mostra o nome da função função de exemplo.

    8. Clique em Salvar. A regra é adicionada ao aplicativo.

      OneLogin_Rule_Configured.png
    9. Clique em Salvar. A regra que conecta a função ao aplicativo é salva no aplicativo.

  5. Atribuir o aplicativo SCIM à função.

    1. No menu de navegação na função, selecione Aplicações.
    2. Clique no botão de adição para mostrar os aplicativos em sua conta OneLogin.

    3. Selecione o aplicativo SCIM Cato e clique em Salvar. O aplicativo é adicionado à função.

      OneLogin_Role_Add_App.png

    O aplicativo SCIM sincroniza as funções do OneLogin para sua conta Cato.

Removendo Usuários ou Grupos do App SCIM

Importante

Importante: Não exclua Usuários ou Grupos provisionados com o aplicativo SCIM diretamente do Aplicativo de Gerenciamento Cato. Você deve primeiro desatribuí-los no aplicativo SCIM.

Quando você deseja remover usuários ou grupos que são provisionados para sua conta Cato com o aplicativo SCIM, desassocie-os no aplicativo. Os usuários e grupos são automaticamente desativados na próxima vez que o aplicativo SCIM sincronizar com sua conta.

Para remover usuários ou grupos que são sincronizados para sua conta Cato:

  1. No aplicativo SCIM Cato, desatribuir os usuários ou grupos.

    Durante a próxima sincronização, o aplicativo SCIM desativa os usuários ou grupos em sua conta Cato.

  2. (Opcional) Após os usuários ou grupos serem desativados, você pode excluí-los do Aplicativo de Gerenciamento Cato.

Atribuindo Licenças ZTNA

No IdP, defina os grupos e usuários que são sincronizados com sua conta Cato. Após a sincronização inicial ser concluída, todos os usuários são então criados no Aplicativo de Gerenciamento Cato e visíveis na página Diretório de Usuários.

Você pode então atribuir licenças ZTNA aos usuários, para mais informações, veja Atribuindo Licenças ZTNA aos Usuários.

Compreendendo Eventos para Provisionamento SCIM

O Aplicativo de Gerenciamento Cato gera eventos sempre que usuários e grupos são bloqueados porque não atendem aos requisitos da Política de Acesso do Cliente.

A cada hora, o Aplicativo de Gerenciamento Cato envia alertas de e-mail que resumem as ações de provisionamento SCIM (sucesso ou falha).

A tabela a seguir explica os diferentes eventos.

 

Tipo de Evento

Ação

Descrição

Provisionamento SCIM

Sucesso

A ação de sincronizar os usuários ou grupos para sua conta com o aplicativo SCIM foi bem-sucedida.

Provisionamento SCIM

Falha

O aplicativo SCIM falhou ao sincronizar o IdP com sua conta. A mensagem do evento explica a razão para a falha de sincronização.

Provisionamento SCIM

Desativado

Um usuário desativado no IdP foi sincronizado e desativado com sucesso na sua conta Cato.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário