Migrar do provisionamento de usuários baseado em LDAP para SCIM (Sistema para Gerenciamento de Identidade de Domínio Cruzado) otimiza o gerenciamento de identidade e aprimora a integração com provedores modernos de identidade (IdPs) como Microsoft Entra ID. Este artigo oferece aos administradores técnicos um caminho claro para migrar o gerenciamento de usuários e grupos existentes de servidores LDAP para SCIM dentro do Cato Management Application (CMA).
A migração aproveita os dados de usuários existentes já sincronizados via LDAP e transfere responsabilidades de provisionamento para SCIM, garantindo mínima interrupção e eficiência operacional aprimorada. Especificamente, este guia utiliza Microsoft Entra ID como exemplo de IdP, detalhando a configuração necessária e mapeamentos de campos. No entanto, os princípios e procedimentos delineados podem ser facilmente adaptados a outros IdPs que suportam SCIM.
Após você completar a preparação para migrar para o provisionamento SCIM, continue com:
-
Desabilite temporariamente o Always-On para todos os usuários que você está migrando.
-
Adicionar o Todos os Usuários SCIM ao página de Atribuição de Licença.
A razão para isso é que os usuários podem ser desconectados da rede durante a migração.
-
Verifique se o número de usuários a serem migrados não é maior que o número de licenças SDP atribuídas.
Se houver mais usuários do que licenças, priorize a migração dos grupos que exigem licenças e, em seguida, remova o grupo de usuários Todos os Usuários SCIM da página de Atribuição de Licenças antes de continuar com o restante da migração.
-
Limpe o diretório LDAP e remova todos os usuários e grupos desnecessários
-
Atualize a configuração de sincronização LDAP para remover usuários em vez de desativá-los se eles não existirem mais.
-
No CMA, navegue para Acesso > Serviços de Diretório e clique na aba LDAP.
-
Selecione o domínio LDAP e, na seção Geral, selecione Desativar.
-
-
Verifique os Grupos AD existentes quanto à presença de grupos aninhados - Cato não suporta grupos aninhados
-
Encontre regras de firewall WAN ou Internet que tenham grupos de usuários importantes como Origem/Destino, e adicione o grupo de usuários Todos os Usuários à regra.
Certifique-se de reverter essa alteração após a migração.
-
Identifique regras onde usuários foram adicionados individualmente e converta esses usuários em grupos.
Nota: Este não é um passo obrigatório, e depende do tempo de inatividade - se é aceitável que os usuários não tenham acesso aos recursos durante o tempo de migração.
-
-
Certifique-se de que as configurações de grupo no SCIM sejam as mesmas das configurações de grupo LDAP. Por exemplo, usuários de domínio LDAP têm o mesmo grupo no aplicativo SCIM
-
Atributos de Usuário e Grupo como email, UPN, primeiro nome, último nome devem ser idênticos no IdP (ou seja, Entra ID, Okta) e LDAP (AD) para evitar falhas de atualização ou objetos duplicados.
-
Se alterações no email ou outros atributos forem necessárias como parte da migração, esses ajustes devem ser feitos antes ou depois da transição para evitar conflitos no CMA.
Recomendamos fortemente que você use um período de congelamento de mudanças durante a migração.
-
Permissões adequadas devem estar em vigor para configurar o aplicativo IdP.
-
Validar os atributos de usuário e grupo antes da migração precisa ser feito usando ferramentas como PowerShell (por exemplo) para identificar e corrigir quaisquer discrepâncias entre os provedores LDAP e SCIM antes do início da manutenção.
-
(Opcional) Crie uma exportação (ou capturas de tela) das páginas CMA impactadas: regras de firewall (Internet / WAN), Regras de Rede, política Always-On, política de Conectividade de Cliente, Diretório de Usuários e grupos de usuários.
-
Verifique a janela de manutenção para os serviços CMA para que ela não coincida com a janela de manutenção real da migração: https://status.catonetworks.com
Esta é a lógica para usuários provisionados por SCIM em sua conta Cato:
-
Usuários provisionados por SCIM substituem usuários provisionados por LDAP e usuários criados manualmente.
-
Usuários são correspondidos com base no ID Interno, ID do Objeto, UPN ou email
Certifique-se de que os usuários provisionados com LDAP atendam a estas condições:
-
Os usuários existentes estão em Acesso CMA > Usuários > Diretório de Usuários.
-
Tem o mesmo UPN ou endereço de email que os usuários que serão provisionados com SCIM.
-
Se o UPN ou endereço de email for diferente, usuários duplicados serão criados.
-
Se usuários duplicados forem criados por engano, siga estes passos:
-
Remova o usuário do aplicativo de Provisionamento de Rede SCIM Cato.
-
Remova o usuário duplicado do CMA.
-
Atualize o endereço de email no IdP LDAP e, em seguida, provisione o usuário novamente.
-
-
-
Se houver mais de um usuário com o mesmo ID do Objeto ou UPN, o usuário SCIM não substitui o usuário LDAP existente, e um evento é gerado.
-
Grupos de usuários provisionados por SCIM substituem grupos de usuários provisionados por LDAP
-
Se houver vários grupos com o mesmo ID do Objeto ou Nome do Grupo, a substituição falha. Neste caso, recomendamos a exclusão dos grupos duplicados.
-
Grupos de Usuários para LDAP - após você concluir a migração para provisionamento em SCIM, os usuários são automaticamente removidos dos grupos de usuários LDAP e adicionados aos novos grupos de usuários SCIM.
Exemplo de migração de grupos de usuários: Se um usuário faz parte de múltiplos grupos de usuários, ele ficará ativo nos grupos de usuários que foram migrados para SCIM e removidos temporariamente dos grupos de usuários que ainda não foram migrados (marcados como LDAP no CMA). Uma vez que todos os grupos de usuários forem migrados para SCIM, os usuários serão reativados nesses grupos de usuários. Isso pode resultar em tempo de inatividade para alguns usuários quando regras com diferentes tipos de grupos de usuários (SCIM e LDAP) são usadas no CMA para algumas aplicações, e os tipos de grupos de usuários não estão no mesmo lote de migração.
0 comentário
Artigo fechado para comentários.