Este artigo explica as considerações ao alterar os métodos de provisionamento de SCIM para LDAP ou vice-versa.
Cato aproveita seu Provedor de Identidade (IdP) existente, que é um serviço centralizado para gerenciar identidades de usuários, e suporta a capacidade de provisionar e sincronizar usuários facilmente em sua conta. O IdP é integrado à sua conta Cato e importa e atualiza usuários automaticamente. Isso garante que você tenha uma única fonte de verdade para a identidade do usuário e fornece identidade do usuário consistente em todo o seu ambiente. Para mais informações sobre Provisionamento de Usuários com SCIM e LDAP, veja Provisionamento de Usuários com SCIM e LDAP.
Cato suporta os seguintes métodos para importar e criar usuários:
-
Importar usuários de um IdP via SCIM
-
Importar usuários de um IdP via LDAP
-
Criar usuários manualmente no Aplicativo de Gerenciamento Cato
Para mais informações sobre como configurar cada método, consulte Serviços de Diretório.
-
Consciência do Usuário é suportada a partir do Cliente Windows v5.4 e superior e do Cliente macOS v5.3 e superior. Para mais informações, consulte Usando Agentes de Identidade Cato para Consciência do Usuário.
-
Sincronizar imediatamente os usuários do IdP para sua conta Cato.
-
Atualizações ou alterações na membresia de grupo ou perfis de usuários são atualizadas em quase tempo real.
-
Integrar o IdP à sua conta Cato sem configurar nenhuma regra de firewall de entrada.
-
SCIM é amplamente suportado por fornecedores de IdP, e é fácil de integrar com sua conta.
Antes de alterar como seus usuários são provisionados, é importante entender o impacto sobre os usuários e Grupos de Usuários.
Estas são as regras que se aplicam aos usuários e Grupos de Usuários ao mudar de provisionamento LDAP para SCIM:
-
Usuários provisionados por SCIM substituem usuários provisionados por LDAP e usuários criados manualmente
-
Os usuários são identificados como correspondência com base em seu UPN ou e-mail
Nota
Nota: Ao alterar de LDAP para SCIM, siga estas melhores práticas:
-
Garanta que os usuários provisionados com LDAP:
-
Tenham o mesmo UPN ou endereço de e-mail que os usuários a serem provisionados com SCIM
-
Sejam usuários existentes no Aplicativo de Gerenciamento Cato
-
-
Se o UPN ou endereço de e-mail forem diferentes, usuários duplicados são criados.
-
Atribuir licenças SDP a Todos os Usuários SCIM. Isso evita que os usuários percam suas licenças SDP à medida que seu provisionamento transita de LDAP para SCIM.
-
Se usuários duplicados forem criados por engano, remova o usuário duplicado do Aplicativo de Gerenciamento Cato, atualize o endereço de e-mail em seu IdP e então provisione o usuário novamente.
-
Se houver mais de um usuário com o mesmo ID do Objeto ou UPN, o usuário SCIM não substitui o usuário SCIM existente e um Evento é acionado.
-
-
-
-
Grupos de Usuários provisionados por SCIM substituem grupos de Usuários provisionados por LDAP. Uma vez que o provisionamento SCIM é habilitado, nenhuma atualização pode ser feita nos Grupos de Usuários provisionados por LDAP no Aplicativo de Gerenciamento Cato.
-
Grupos de Usuários são identificados como correspondência com base em seu Nome ou ID do Objeto
-
Se houver múltiplos grupos com o mesmo ID do Objeto ou Nome do Grupo, a substituição falha. Recomendamos excluir grupos duplicados para que a substituição seja bem-sucedida
-
Usuários são removidos de todos os Grupos de Usuários provisionados por LDAP e são atribuídos aos Grupos de Usuários provisionados por SCIM
-
Por exemplo:
-
100 usuários estão em um Grupo de Usuários chamado R&D que foi provisionado com LDAP
-
10 usuários estão em um Grupo de Usuários chamado R&D que foi provisionado com SCIM
-
No Aplicativo de Gerenciamento Cato, o Grupo de Usuários R&D contém apenas os 10 usuários provisionados com SCIM
-
-
Para mudar gradualmente do provisionamento de usuários LDAP para SCIM:
-
No menu de navegação, clique em Acesso > Atribuição de Licença.
-
Selecione Atribuir licença SDP a usuários ou grupos selecionados.
-
Nos menus suspensos, selecione Grupo do Sistema e Todos os Usuários SCIM.
Isso impede que os usuários percam sua licença SDP.
-
Habilitar provisionamento SCIM. Para mais informações, veja Provisionamento de Usuários com SCIM.
Usuários são provisionados com SCIM seguindo as regras descritas acima.
Nota: Após um usuário ser provisionado com SCIM, eles são removidos dos grupos provisionados por LDAP. Isso pode impactar as regras de política que são aplicadas.
As regras de provisionamento aplicadas aos Usuários e Grupos de Usuários ao mudar de LDAP para SCIM para AD local e Azure AD são as mesmas que mudar de LDAP para Provisionamento SCIM, descritas acima.
Usuários provisionados com SCIM devem ter uma Licença SDP para serem identificados pela Consciência do Usuário. Para identificar usuários sem uma Licença SDP, provisioná-los com LDAP. O usuário precisa autenticar-se uma vez para que possa ser identificado.
No Cliente Windows v 5,9 e posterior, uma Licença SDP não é necessária e o Usuário não precisa autenticar-se uma vez para ser identificado pelo Agente de Identidade.
Estas são as regras aplicadas a usuários e Grupos de Usuários com a mudança de Provisionamento SCIM para LDAP:
-
Usuários provisionados por LDAP não substituem usuários provisionados por SCIM
-
Antes de mudar, remova todos os usuários provisionados por SCIM do IdP. Isso desativa o usuário no Aplicativo de Gerenciamento Cato
-
-
Grupos de Usuários provisionados por LDAP não substituem Grupos de Usuários provisionados por SCIM
-
Antes de mudar, remova todos os Grupos de Usuários provisionados por SCIM do IdP
-
-
Antes de mudar, remova usuários e Grupos de Usuários provisionados por SCIM das políticas e exclua do Aplicativo de Gerenciamento Cato
0 comentário
Por favor, entre para comentar.