Este artigo explica as considerações do provisionamento de usuários com SCIM e LDAP.
Cato aproveita seu Provedor de Identidade (IdP) existente, que é um serviço centralizado para gerenciar identidades de usuários, e suporta a capacidade de provisionar e sincronizar facilmente os usuários para sua conta. O IdP é integrado à sua conta Cato e importa e atualiza automaticamente os usuários.
Cato oferece suporte aos seguintes métodos para provisionar usuários e grupos de usuários:
- Importar usuários de um IdP via SCIM e LDAP
- Importar usuários de um IdP via SCIM
- Importar usuários de um IdP via LDAP
Para mais informações, consulte Alterando entre SCIM e LDAP no Provisionamento de Usuários.
Atribuição de Licenças
Uma vez que um usuário ou grupo de usuários é provisionado através de qualquer um desses métodos, eles podem ser incluídos em qualquer política e receber uma Licença SDP. Por exemplo, você pode importar um usuário do SCIM e outro usuário com LDAP, e ambos podem receber uma licença de usuário remoto. Para mais informações, consulte Atribuição de Licenças ZTNA aos Usuários.
Adicionando Diretórios LDAP Quando o SCIM Está Configurado
O número de diretórios SCIM configurados no CMA determina se você pode adicionar diretórios LDAP:
- Se um diretório SCIM estiver configurado, você pode adicionar vários diretórios LDAP. Atualmente, não há limite conhecido para o número de diretórios LDAP que você pode adicionar.
- Se dois ou mais diretórios SCIM estiverem configurados, você não pode adicionar diretórios LDAP.
Para adicionar um diretório LDAP quando dois ou mais diretórios SCIM estão configurados, primeiro desative os diretórios SCIM até que apenas um diretório SCIM permaneça configurado. Em seguida, adicione o diretório LDAP.
SCIM e LDAP podem ser usados juntos para provisionar usuários. No entanto, cada usuário individual deve ser provisionado exclusivamente através de SCIM ou LDAP, não ambos. Isso garante uma única fonte de verdade para cada usuário.
Se o mesmo usuário for identificado como provisionado com SCIM e LDAP, o usuário provisionado pelo SCIM anula o usuário provisionado pelo LDAP. Isso significa que o usuário provisionado pelo LDAP é removido de grupos provisionados pelo LDAP e adicionado a grupos provisionados pelo SCIM.
O provisionamento SCIM é usado como a única fonte de verdade para garantir um comportamento consistente. Isso pode influenciar se os usuários recebem o acesso pretendido. Por exemplo:
- O usuário John Doe é provisionado com LDAP e membro de um grupo de usuários que tem sites de apostas bloqueados por uma regra de Firewall de Internet
- John Doe é então provisionado com SCIM, nenhum grupo SCIM está na regra de Firewall de Internet
- O usuário provisionado por SCIM sobrepõe o usuário provisionado por LDAP e John Doe é removido do grupo de usuários que bloqueia o acesso a sites de apostas
- John Doe não está incluído na regra de Firewall de Internet e pode acessar sites de apostas
Os usuários são identificados como uma correspondência com base no endereço de e-mail ou UPN.
SCIM e LDAP podem ser usados juntos para provisionar Grupos de Usuários. No entanto, cada grupo de usuários individual deve ser provisionado exclusivamente através de SCIM ou LDAP, não ambos. Isso garante uma única fonte de verdade para a identidade de usuários e assegura uma identidade de usuário consistente em seu ambiente.
Se o mesmo grupo de usuários for provisionado com SCIM e LDAP, o grupo de usuários provisionado pelo SCIM anula o grupo de usuários provisionado pelo LDAP. Se o Grupo de Usuários provisionado pelo LDAP contiver usuários que não estão incluídos no Grupo de Usuários provisionado pelo SCIM, esses usuários serão removidos do Grupo de Usuários na Aplicativo de Gerenciamento Cato. Isso pode ter implicações para garantir que você forneça aos usuários o acesso pretendido. Por exemplo:
-
O Grupo de Usuários da Equipe Financeira é provisionado com LDAP e tem sites de jogos bloqueados por uma Regra de Firewall de Internet. Ele contém os seguintes usuários:
- John Doe
- Jane Phillips
- Simon Thompson
-
O Grupo de Usuários da Equipe Financeira é então provisionado com SCIM e contém os seguintes usuários:
- John Doe
- Jane Phillips
- O grupo de usuários provisionado por SCIM sobrepõe o grupo de usuários provisionado por LDAP
- Simon Thompson é removido do grupo de usuários da equipe de finanças e pode acessar sites de apostas
0 comentário
Artigo fechado para comentários.