Solução de Problemas de Sincronização e Provisionamento SCIM

Visão Geral

A sincronização SCIM (Sistema de Gerenciamento de Identidade Cross-domain) e o provisionamento de usuários são essenciais para automatizar o gerenciamento de identidade e garantir o acesso seguro e simplificado a aplicativos e recursos. No entanto, desafios podem ocorrer que interrompem essa automação, potencialmente levando a problemas de acesso ou riscos de conformidade. Este playbook foi projetado para abordar problemas comuns de sincronização e provisionamento SCIM na Cato e oferecer soluções eficazes para resolvê-los.

Sintomas

Falhas no provisionamento SCIM podem se manifestar de várias maneiras. Um administrador pode notar os seguintes sintomas:

  • Mensagem de erro ao habilitar o SCIM
  • Os usuários não são provisionados para o CMA
  • Falha na Conexão de Teste do IdP para o CMA
  • Usuários Provisionados falham em se conectar aos clientes SDP
  • Usuários Duplicados no CMA

Possíveis Causas

Liste as possíveis causas que eles tentarão identificar durante a solução de problemas

  • Configuração Incorreta
  • Uso de Credenciais de Administrador Erradas
  • Licenciamento
  • Usuário Duplicado provisionado via IdP

Resolução de Problemas da Questão

Antes de mergulhar nas etapas de solução de problemas, o diagrama abaixo oferece uma visão geral de alto nível de como o provisionamento SCIM funciona. Ao contrário do LDAP, que depende de uma abordagem baseada em pull, o SCIM usa um mecanismo push para entregar atualizações de usuários diretamente para o Cato Management Application (CMA).

A Cato suporta provisionamento SCIM para usuários através do Azure, Okta e One Login. Para mais informações sobre como configurar o provisionamento SCIM para cada provedor de identidade (IdP), consulte Provisionando Usuários com SCIM. Este playbook foca especificamente no provisionamento SCIM com Azure (Entra ID), mas os conceitos principais e técnicas de resolução de problemas são aplicáveis a outros IdPs também.

Erro ao Habilitar SCIM

Ao habilitar o SCIM no CMA, o seguinte erro é observado: "Não é possível habilitar o provisionamento SCIM. Por favor, entre em contato com o Suporte e mencione a Configuração do ID da Conta - Email".

Ao encontrar esse erro, por favor, entre em contato com Suporte para modificar o tipo de ID de Usuário em sua conta.

Usuários Não Estão Sendo Provisionados para o CMA

Esta seção mostrará algumas das razões comuns pelas quais os usuários não estão sendo provisionados para o CMA.

Validar Credenciais de Admin

  • Vá para Aplicação SCIM > Provisionamento > Atualizar Credenciais.
  • Expanda Credenciais de Admin e clique em Testar Conexão
     
  • Para uma integração e provisionamento bem-sucedidos com o CMA, você deve ver o seguinte resultado.
  • Se o Teste de Conexão falhar, consulte Resolvendo Credenciais de Admin para entender como resolver isso. 

Atributos Obrigatórios

  • Certos atributos são exigidos e obrigatórios para o Provisionamento SCIM com Microsoft Entra ID. Se algum desses atributos exigidos estiver faltando, o provisionamento de usuários pode falhar, ou o usuário provisionado pode não conseguir se conectar.
  • A captura de tela abaixo mostra os campos obrigatórios necessários para o provisionamento funcionar.
  • Se o campo de email estiver ausente, o usuário ainda será provisionado para o CMA, mas não poderá se conectar ao cliente SDP.
  • Consulte a seção resolvendo Atributo Obrigatório para validar se isso está causando o problema e como resolvê-lo.

Usuários/Grupos Não Atribuídos à Aplicação Empresarial no Portal do Azure

Usuários e grupos precisam ser adicionados ao Aplicativo de Provisionamento Cato no portal do Azure antes de serem sincronizados no CMA. Esta seção fornece instruções passo a passo sobre como validar isto.

  • Vá para Aplicações Empresariais > Aplicativo de Provisionamento Cato > Usuário & Grupos e verifique se o usuário ou grupo está listado.
  • No exemplo abaixo, podemos ver que 1 grupo e 1 usuário são atribuídos à aplicação "Cato Networks Provisioning—APJ T1 Lab".
  • Se o usuário ou grupos não estiverem listados em seu Aplicativo de Provisionamento no Azure, consulte Atribuindo Usuários/Grupos ao Aplicativo de Provisionamento

Filtro de Escopo em Usuários/Grupos

  • Verifique se os filtros de escopo estão configurados para usuários ou grupos na configuração de provisionamento.
  • Navegue até Aplicações Empresariais > Aplicativo de Provisionamento Cato > Provisionamento > Mapeamentos, então selecione o mapeamento de Usuário ou Grupo.
  • Revise os filtros de Escopo do Objeto Fonte para ver se eles podem estar excluindo o usuário ou grupo em questão.
  • Se o provisionamento falhar devido a um filtro de escopo, o usuário/grupo será pulado, e o Azure mostrará uma razão para a falha.
  • Para resolver isso, consulte Resolvendo Filtros de Escopo em Usuários/Grupos.

Usuários Provisionados Falhando ao Conectar-se ao Cliente SDP

  • Após serem provisionados no CMA pelo SCIM, os usuários encontram o seguinte erro ao tentar se conectar pelo cliente SDP, especificamente depois de inserir seu e-mail e subdomínio.
  • Uma possível causa dessa falha é a questão de licenciamento
  • Consulte a seção Resolvendo a questão de licenciamento para saber como validar se essa questão está relacionada ao licenciamento e como resolvê-la.

Usuários Duplicados no CMA

Usuários duplicados com o mesmo endereço de e-mail podem aparecer no CMA. Tipicamente, um usuário é desativado, enquanto o outro tem a licença SDP atribuída.

Consulte a seção Resolvendo Usuários Duplicados no CMA para entender a possível razão de isso ter ocorrido e como resolvê-lo.

Resolvendo Questões Descobertas

Resolvendo Credenciais de Admin

  • Faça login em seu CMA e navegue até Acesso > Serviços de Diretório > SCIM para validar se a URL Base é a mesma que a URL do Locatário configurada no Azure.
  • Se a URL base é a mesma, tente gerar um novo token.
  • Copie o novo token antes de salvar a configuração no CMA. Depois disso, insira o novo token no Azure e clique novamente em Testar Conexão.

Resolvendo Atributo Obrigatório

  • O atributo de email é obrigatório. Se este campo estiver ausente nas informações do usuário dentro do Provedor de Identidade (IdP), o usuário ainda será provisionado para o CMA, mas seu perfil ficará sem um endereço de e-mail.
  • Quando o campo de e-mail está ausente do perfil do usuário, o sistema não pode atribuir uma licença SDP, impedindo o usuário de se conectar com sucesso via cliente SDP.

Atribuindo Usuários/Grupos ao Aplicativo de Provisionamento

  • Para atribuir usuários ou grupos ao seu Aplicativo de Provisionamento, clique em Adicionar usuário/grupo, e depois selecione "Usuários e grupos".
  • Em seguida, o painel à direita aparecerá para que você selecione os usuários/grupos respectivos a serem adicionados.
  • Opcionalmente, após adicionar os Usuários e Grupos à Aplicação de Provisionamento, em vez de aguardar o ciclo de provisionamento automatizado regular, você pode provisionar manualmente esses usuários/grupos na CMA através de "Provisionar Sob Demanda".

    NOTA: O provisionamento de grupos aninhados não é suportado

Resolvendo Filtros de Escopo em Usuários/Grupos

  • Se um filtro de escopo estiver excluindo o usuário ou grupo inadvertidamente:
    • Ajuste os critérios do filtro de escopo para garantir que ele inclua o usuário/grupo.
    • Confirme se a lógica dos filtros (E/OU) corresponde ao comportamento pretendido.
  • Para mais detalhes, consulte o documento da Microsoft - Escopando usuários ou grupos a serem provisionados com filtros de escopo.
  • Após fazer ajustes, execute novamente o provisionamento sob demanda para verificar se o usuário/grupo agora está incluído.

Resolvendo a Questão de Licenciamento

  • Navegue até Acesso > Usuários, e clique em Diretório de Usuários. Valide se o usuário recebeu uma licença SDP. A imagem abaixo mostra que o Usuário Scim não recebeu nenhuma licença SDP.
  • Em seguida, navegue para Acesso > Atribuição de Licenças para verificar se a opção "Atribuir licença SDP a todos os usuários" está habilitada.
    • Se estiver, verifique se o Número Total de Usuários excede o Número Total de Licenças SDP.
    • Se o número de usuários exceder as licenças disponíveis, entre em contato com seu representante de vendas da Cato para explorar opções para adquirir licenças SDP adicionais.
    • Se você não souber quem são, sinta-se à vontade para entrar em contato com Suporte.
  • Se "Atribuir licença SDP a usuários ou grupos selecionados" estiver selecionado, certifique-se de que os usuários provisionados pelo SCIM estejam incluídos nos grupos atribuídos.

Resolvendo Usuários Duplicados no CMA

  • Quando um usuário é excluído no Azure, o sistema acrescenta o valor do ObjectID ao valor do UPN e define o status ativo do usuário como falso. Esta ação desativa o usuário no banco de dados SCIM e atualiza o valor do UPN para incluir o ObjectID+UPN. Esse comportamento está alinhado com a documentação Microsoft.

  • Se o mesmo usuário for recriado no Azure usando o mesmo endereço de e-mail, um usuário duplicado será criado tanto no banco de dados SCIM quanto na CMA com um ObjectID diferente. Nesta fase, o UPN para os usuários duplicados será diferente. Neste cenário, o usuário desativado deve ser excluído na CMA para evitar duplicação.
  • A Cato permite usuários com endereços de e-mail duplicados; no entanto, apenas um usuário duplicado pode ser atribuído a uma licença SDP. É importante notar que o UPN e o ObjectID devem permanecer únicos em todos os Serviços de Diretório SCIM.

Notas e Limitações

  1. Diferentes usuários podem ser provisionados através do SCIM e LDAP. No entanto, se um usuário for provisionado através de ambos SCIM e LDAP, o provisionamento SCIM terá precedência. Como resultado, o usuário é removido dos grupos provisionados por LDAP e adicionado aos grupos provisionados por SCIM. Para mais detalhes, consulte Provisionando Usuários com SCIM e LDAP
  2. Se você planeja alternar entre provisionamento SCIM e LDAP, leia Mudando Entre Provisionamento de Usuários SCIM e LDAP primeiro para garantir uma transição suave.
  3. Embora usuários e grupos possam ser excluídos na CMA, recomendamos que você exclua usuários diretamente em seu aplicativo SCIM. Consulte Removendo Usuários ou Grupos do App SCIM para detalhes sobre a forma correta de fazer isso.

Levando casos para o Suporte da Cato

Submeta um ticket de Suporte com os resultados das etapas de solução de problemas acima. Por favor, inclua as seguintes informações no ticket:

  1. Descrição do Problema e Impacto no Usuário
    • Uma descrição clara do problema encontrado durante o provisionamento SCIM.
    • Uma visão geral do escopo e impacto nos usuários afetados (por exemplo, número de usuários impactados, mensagens de erro recebidas, etc.).
  2. Status de Provisionamento para o CMA
    • Os usuários afetados foram provisionados com sucesso para o CMA?
      • Se não, a análise dos logs pode oferecer insights adicionais e ajudar a identificar a causa subjacente do problema, facilitando a resolução e solução de problemas adicionais.
        • Faça login em www.portal.azure.com. Vá para Aplicação Empresarial > Aplicativo de Provisionamento Cato > Provisionamento
        • Clique em "Logs de Provisionamento" para ver o histórico de provisionamento.
        • Clicar em um provisionamento específico abrirá o painel "Detalhes do log de provisionamento" à direita. Abaixo podemos ver que a sincronização para este objeto foi pulada porque não foi atribuída à aplicação.
      • Por favor, tente também o provisionamento sob demanda para os usuários impactados e inclua:
        • Uma captura de tela do resultado (mensagem de sucesso ou erro)
        • O timestamp exato de quando o provisionamento sob demanda foi realizado
  3. Conectividade ao Cliente SDP
    • Os usuários provisionados com sucesso conseguem se conectar ao cliente SDP? 
      • Se não, forneça uma captura de tela da interface do cliente mostrando o erro quando o usuário tentou se conectar
      • Forneça os logs do cliente usando o recurso Registrar Problema.
  4.  
  5.  

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário