Провизирование SCIM с помощью Okta

Данная статья объясняет, как использовать приложение Okta SCIM для автоматической синхронизации пользователей из вашей учетной записи Okta в вашу учетную запись Cato.

Поддерживаемые возможности

Cato Networks предоставляет архитектуру защищенных сетей следующего поколения, которая устраняет сложность, расходы и риски, связанные с традиционными IT-подходами, основанными на разрозненных точечных решениях. От единого входа (SSO) к предоставлению пользователей, интеграция Cato с Okta управляет доступом пользователей и группами на протяжении всего жизненного цикла пользователя, включая:

  • Создание и удаление пользователей в приложении управления Cato

  • Синхронизируйте пользователей и атрибуты из Okta с приложением управления Cato

  • Создавайте пользователей - Импортируйте и создавайте пользователей в Okta из приложения управления Cato

  • Обновите атрибуты пользователей - Синхронизируйте изменения атрибутов пользователей из приложения управления Cato в Okta

  • Деактивировать пользователей

  • Пуш групп

  • Пользователи могут аутентифицироваться по электронной почте или UPN в зависимости от вашей конфигурации Okta.

Требования

Убедитесь, что перед использованием приложения Okta SCIM у вас есть разрешения администратора в Okta для настройки предоставления пользователей.

Известные ограничения

  • Предоставление вложенных групп не поддерживается

  • SCIM поддерживается учетными записями, в которых используется электронная почта в качестве ID пользователя. (Вы можете подтвердить эту настройку с поддержкой Cato)

  • Вы можете предоставить доступ пользователям с помощью либо LDAP, либо SCIM (не обоими способами)

  • Удаление пользователя из приложения идентификации не удаляет его из приложения управления Cato, а деактивирует пользователя.

  • Связывание групп не поддерживается

  • Синхронизация SCIM перезаписывает существующие группы LDAP с тем же именем. Для получения дополнительной информации смотрите Как SCIM синхронизирует и перезаписывает существующие группы LDAP

Конфигурирование автоматической синхронизации пользователей в Cato

Вы можете использовать приложение SCIM Cato, доступное в Okta, чтобы подключить и синхронизировать пользователей из вашей учетной записи Okta с вашей учетной записью Cato. В Приложение Управления Cato включите предоставление SCIM для вашей учетной записи.

В вашей учетной записи Okta добавьте приложение SCIM Cato, а затем настройте настройки для подключения к вашей учетной записи Cato. Затем вы можете определить группы Okta и пользователей, которые синхронизируются, и Okta немедленно инициирует автоматическую синхронизацию пользователей.

Статус пользователей в вашем Поставщике идентификационных данных (IdP) автоматически синхронизируется с вашей учетной записью Cato. Например, когда вы отключаете пользователей в IdP, они синхронизируются с вашей учетной записью Cato как отключенные.

Примечание

Примечание: При необходимости вы можете редактировать соответствие атрибутов, чтобы удовлетворять конкретным требованиям вашей организации. См. ниже, Обнаружение.

Конфигурирование приложения управления Cato для приложения SCIM

В Приложение Управления Cato включите предоставление SCIM и скопируйте URL и токен в текстовый файл. Вы вводите эти настройки в приложение SCIM Cato, которое вы настраиваете в своей учетной записи Okta.

Чтобы подключить приложение управления Cato к приложению SCIM:

  1. В приложении управления Cato из навигационного меню выберите Доступ > Службы каталогов и нажмите вкладку SCIM.

    SCIM.png

  2. Выберите Включить обеспечение SCIM, чтобы настроить вашу учетную запись для подключения к приложению SCIM.

  3. Нажмите Сохранить.

  4. Скопируйте и вставьте URL SCIM и токен в пустой текстовый файл.

    1. В Базовый URL нажмите значок копирования \"copy.png\", чтобы скопировать URL SCIM в буфер обмена, а затем вставьте его в текстовый файл.

    2. В Bearer Token нажмите значок копирования \"copy.png\"/, чтобы скопировать уникальный токен учетной записи в буфер обмена и вставить его в текстовый файл.

Добавление приложения Cato SCIM в Okta

Добавьте SCIM-приложение Cato из магазина приложений Okta и настройте его так, чтобы оно автоматически синхронизировало пользователей с Cato. Введите URL для предоставления SCIM и токен, которые вы скопировали из Приложение Управления Cato.

Чтобы создать приложение Cato SCIM:

  1. Войдите в свою учетную запись Okta и перейдите в консоль администратора.

  2. На панели меню нажмите Приложения > Приложения.

    SCIM_Okta_AddApp.png

  3. Добавьте приложение SCIM Cato в свою учетную запись Okta:

    1. Нажмите Добавить приложение.

    2. Найдите Cato Networks Provisioning и выберите приложение. Обзор приложения откроется в новом окне.

    3. Нажмите Добавить. Мастер Добавить Предоставление Cato Networks открывается.

      Okta_GeneralSettings.png

    4. Введите метку приложения и настройте параметры приложения.

    5. Нажмите Далее.

    6. Настройте параметры аутентификации и учетных данных пользователей.

      Okta_SSO_SWA.png

    7. Убедитесь, что обновление имени пользователя приложения включено для создания и обновления.

    8. Нажмите Готово. Приложение SCIM Cato добавлено в вашу учетную запись.

  4. Нажмите вкладку Предоставление, и откроется окно Интеграция.

  5. Нажмите Настроить интеграцию API.

  6. Выберите Включить API интеграцию.

    SCIM_Okta_Integratoin.png

  7. Настройте Okta для интеграции с вашей учетной записью Cato:

    1. В Базовый URL вставьте URL-адрес, который вы скопировали из приложения управления Cato.

    2. В Токен API вставьте токен, который вы скопировали из приложения управления Cato.

  8. Нажмите Проверить учетные данные API, чтобы убедиться, что приложение SCIM Cato может подключиться к вашей учетной записи Cato.

  9. Нажмите Сохранить.

Настройка приложения SCIM для предоставления

Настройте параметры в SCIM-приложении для предоставления пользователей в вашей учетной записи Cato. Для получения дополнительной информации о атрибутах SCIM, см. ниже Обнаружение схемы.

Чтобы настроить приложение SCIM для предоставления пользователей:

  1. В новом приложении SCIM нажмите вкладку Предоставление.

  2. Из раздела Настройки выберите Для приложения.

  3. Настройте параметры предоставления для приложения, нажмите Редактировать.

  4. Выберите Включить для следующих опций:

    • Создать пользователей

    • Обновить атрибуты пользователя

    • Деактивировать пользователей

  5. Нажмите Сохранить.

Обновление приложения Cato SCIM для Okta

Cato периодически добавляет атрибуты в свою схему SCIM, которые предоставляют вам более детальную информацию о ваших пользователях. Чтобы иметь доступ к этим атрибутам в CMA, вам нужно обновить приложения Cato в Okta новыми атрибутами и настроить, какие атрибуты включаются при создании и обновлении пользователей в CMA.

Чтобы обновить приложение Cato SCIM:

  1. Перейдите в Okta Admin Console > Applications > Cato Networks SCIM Application > Profile Editor > App User Profile.

  2. Нажмите Добавить атрибут.

  3. Определите атрибуты, которые вы хотите добавить следующим образом:

    Когда значение поля Обязательный - Нет, это поле является необязательным в CMA

    Имя атрибута (Cato SCIM)

    Внешнее имя Okta

    Тип данных

    Обязательный

    Множественное значение

    SCIM схема/пространство имен

    заголовок

    заголовок

    Строка

    Нет

    Нет

    urn:ietf:params:scim:schemas:core:2.0:User

    отдел

    отдел

    Строка

    Нет

    Нет

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

  4. Перейдите в Okta Admin Console > Applications > Cato Networks SCIM Application > Provisioning > To App.

  5. В разделе Атрибуты пользователей приложений включите параметры Создать и Обновить для каждого атрибута, отправляемого в CMA, когда приложение SCIM обрабатывает запрос на создание или обновление.

  6. Нажмите Сохранить.

Синхронизация VPN пользователей с вашей учетной записью Cato

После того как приложение SCIM подключится к вашей учётной записи, назначьте пользователей, которых вы синхронизируете с Cato. Затем вы можете продолжить чтение следующего раздела, чтобы добавить группы в приложение.

Чтобы предоставить отдельных пользователей вашей учетной записи Cato:

  1. В приложении SCIM Cato, нажмите на вкладку Назначения.

    SCIM_Okta_Assign.png

  2. Назначьте людей и группы, которых вы добавляете в приложение SCIM, чтобы синхронизировать их с вашей учётной записью Cato:

    1. Нажмите Назначить и выберите Люди.

    2. Для человека нажмите Назначить.

    3. Нажмите Сохранить и вернуться.

    4. Повторите предыдущие шаги для всех людей или групп, а затем нажмите Готово.

    Пользователи синхронизируются из Okta с вашей учётной записью Cato.

Синхронизация групп Okta с вашей учетной записью Cato

Вы можете назначать группы в Okta с пользователями, которых вы синхронизируете с Cato. Затем создайте или назначьте Push-группы Okta приложению SCIM, и приложение синхронизирует группы и связанных пользователей с вашей учётной записью Cato.

Примечание

Примечание: Пользователи должны быть членами переданной группы и назначены к Okta Cato OIN приложению, чтобы их членство в группе отобразилось корректно в приложении.

Чтобы предоставить группы Okta в вашу учетную запись Cato:

  1. Назначьте группы, которые вы добавляете в приложение SCIM для синхронизации с вашей учетной записью Cato:

    1. В разделе Назначения нажмите Назначить и выберите Группы.

    2. Для группы нажмите Назначить.

    3. Нажмите Сохранить и вернуться.

    4. Повторите предыдущие шаги для всех групп, а затем нажмите Готово.

  2. Перейдите в раздел Push Groups.

  3. Выберите Push Groups > Найти группы по имени.

  4. Введите имя для Push-группы Okta и выберите группу.

    SCIM_Okta_PushGroup.png

  5. Если вам нужно добавить больше групп Push, нажмите Сохранить и добавить еще, иначе нажмите Сохранить. Приложение синхронизирует группы и связанных пользователей с вашей учетной записью Cato.

Назначение лицензий SDP

В IdP определите группы и пользователей, которые синхронизируются с вашей учётной записью Cato. После завершения начальной синхронизации, все пользователи создаются в приложении управления Cato и видны на странице Справочник пользователей.

Вы можете затем назначить пользователям лицензии SDP, для получения дополнительной информации смотрите Назначение лицензий ZTNA пользователям.

Удаление пользователей или групп пользователей из приложения SCIM

Примечание

Важно: Хотя пользователей можно удалять в CMA, мы рекомендуем удалять пользователей или группы пользователей, предоставленные с приложением SCIM, напрямую из приложения управления Cato.

Когда вы хотите удалить пользователей или группы пользователей, которые предоставлены в вашу учетную запись Cato с помощью приложения SCIM, отвяжите их в приложении. Пользователи и группы пользователей автоматически отключаются при следующей синхронизации приложения SCIM с вашей учетной записью.

Чтобы удалить пользователей или группы пользователей, которые синхронизируются с вашей учетной записью Cato:

  1. В приложении Cato SCIM отвяжите пользователей или группы пользователей.

    Во время следующей синхронизации приложение SCIM отключит пользователей или группы пользователей в вашей учетной записи Cato.

  2. (Необязательно) После того как пользователи или группы будут отключены, вы можете удалить их из Приложения Управления Cato.

    Это может занять до 15 минут, прежде чем вы сможете вручную удалить пользователей или группы пользователей.

Пользователи, которые удалены в CMA, но не в вашем приложении SCIM, удаляются навсегда.

Обнаружение схемы

Вы можете использовать Отображение атрибутов на вкладке Предоставление приложения для настройки атрибутов SCIM. Настройка Применить для атрибутов — Создать и обновить.

Атрибут

Атрибут пользователя VPN Cato

Логин

имя_пользователя

Настройте параметр электронной почты в настройках Входа для приложения Okta.

Имя

givenName

user.firstName

Фамилия

familyName

user.lastName

Основная электронная почта

электронная почта

user.email

Отображаемое имя

displayName

user.displayName

Основной телефон

primaryPhone

Тип атрибута - выражение

(user.primaryPhone != null && user.primaryPhone != '') ? user.primaryPhone : ''

Тип основного телефона

primaryPhonetype

Тип атрибута - выражение

(user.primaryPhone != null && user.primaryPhone != '') ? 'work' : ''

Название работы

title

user.title

Отдел

department

user.department

Понимание событий для предоставления SCIM

Приложение Управления Cato генерирует события каждый раз, когда пользователи и группы блокируются из-за несоответствия требованиям Политики доступа клиента.

Каждый час Приложение Управления Cato отправляет оповещения по электронной почте, которые подводят итоги действий по предоставлению SCIM (успешно или не удалось).

Следующая таблица объясняет разные события.

Тип события

Действие

Описание

Правило предоставления SCIM

Успех

Действие по синхронизации пользователей или групп с вашей учётной записью с использованием приложения SCIM было успешным.

Правило предоставления SCIM

Неудача

Не удалось приложению SCIM синхронизировать IdP с вашей учётной записью. Сообщение о событии объясняет причину сбоя синхронизации.

Правило предоставления SCIM

Отключено

Отключенный пользователь в IdP был успешно синхронизирован и отключен в вашей учётной записи Cato.

Удаление активного каталога SCIM

Вы можете удалить каталог SCIM из вашей учётной записи. После удаления каталога изменения в его пользователях и группах больше не синхронизируются. Вы можете удалить каталог, даже если в нём всё ещё есть активные пользователи. После удаления пользователи больше не связаны с каталогом.

Чтобы удалить активный каталог SCIM:

  1. Перейдите в Доступ > Службы каталога.

  2. На вкладке SCIM нажмите на три точки каталога, который вы хотите удалить.

  3. Нажмите Удалить.

  4. В всплывающем окне подтверждения нажмите Удалить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев