В этой статье обсуждается предоставление пользователей в ваш аккаунт Cato с использованием протокола SCIM.
SCIM определяет стандарт для обмена информацией об идентификации между различными поставщиками облачных приложений. Например, с помощью SCIM вы можете легко создавать, обновлять или удалять данные пользователей в большом количестве в вашем аккаунте Cato.
Информация о пользователях безопасно синхронизируется с вашего IdP в Cato для создания пользователей. Любые изменения в сведениях о пользователях, сделанные в IdP, отражаются в Cato почти в реальном времени. Например, если сотрудник покидает компанию, его аккаунт удаляется из IdP компании. Это изменение синхронизировано с Cato, и пользователь удаляется.
Вы можете увидеть, какие пользователи были импортированы и какие пользователи были созданы вручную в столбце Имя каталога - импортированные пользователи отображаются с именем каталога SCIM, а созданные вручную - как Вручную. Вы также можете отфильтровать по имени каталога или увидеть всех пользователей, добавленных вручную в вашу систему.
Как только пользователь предоставляется с SCIM, ему можно назначить лицензию и включить в политики.
Примечание
Примечание: Добавление нового SCIM провайдера или директории не должно использоваться для миграции существующей директории. Для информации о миграции пользователей, см. статьи в этом разделе.
Предоставление пользователей с SCIM имеет следующие преимущества:
- Немедленная синхронизация пользователей из IdP с вашего аккаунта Cato.
- Обновления или изменения членства в группах или профилей пользователей обновляются почти в реальном времени
- Интегрируйте IdP с вашим аккаунтом Cato, не настраивая никаких входящих правил брандмауэра
- SCIM широко поддерживается поставщиками IdP и легко интегрируется с вашим аккаунтом
Этот процесс объясняет, как пользователи предоставляются из вашего IdP, затем назначаются лицензии и включаются в политики, чтобы они могли безопасно подключаться к сети.
- В вашем IdP определите пользователей и/или группы для предоставления в Cato.
- Настройте автоматическую синхронизацию пользователей с Cato.
- Назначьте лицензии необходимым пользователям
- Примените политики к пользователям
Это IdP, которые поддерживают провизионирование пользователей с SCIM:
- Azure
- Okta
- One Login
- DTS
Для получения дополнительной информации о том, как настроить предоставление SCIM для каждого поставщика идентификационных данных, см. Предоставление пользователей с помощью SCIM и Использование поставщика идентификационных данных для вашей учетной записи Cato.
Мы рекомендуем, чтобы вы назначали или отвязывали пользователей или группы от приложения SCIM в вашем IdP. Тем не менее, также возможно включать, отключать и удалять пользователей и группы, назначенные SCIM, непосредственно из CMA. Эти изменения автоматически синхронизируются с сервисом SCIM.
Примечание
Примечание: Пользователи, отключенные или удаленные в CMA, которые были предоставлены с помощью SCIM из:
- Идентификаторы Entra восстанавливаются и включаются в следующем цикле предоставления. Entra перезаписывает отключенное или удаленное состояние и повторно автоматически включает пользователя.
- Okta
- Отключенные пользователи — остаются отключенными. Okta сохраняет состояние отключения при отправке обновлений. Повторное назначение отключенного пользователя приложению Okta SCIM не удается, пока пользователь не будет повторно включен в CMA.
- Удаленные пользователи — остаются неактивными в сервисе SCIM. Для повторного предоставления удаленного пользователя отвяжите его от приложения Okta и переназначьте. Пользователь реактивируется в сервисе SCIM и CMA.
Когда вы хотите удалить пользователей или группы, предоставленных в ваш аккаунт Cato с приложением SCIM, отвяжите их в приложении. Пользователи и группы автоматически отключаются при следующей синхронизации приложения SCIM с вашим аккаунтом.
Если вы удаляете или изменяете поставщиков SCIM, убедитесь, что все импортированные пользователи или группы удалены из приложения SCIM перед удалением конфигурации вашего поставщика SCIM из CMA. После синхронизации приложения SCIM эти сущности отключаются в CMA.
Когда вы отключаете или удаляете пользователей, предоставленных SCIM с лицензией ZTNA (SDP), лицензия ZTNA отвязывается и становится доступной для других пользователей.
Повторное предоставление групп пользователей после удаления
Поведение при повторном предоставлении удаленной группы пользователей различается в зависимости от IdP:
- Entra ID: При повторном предоставлении удаленной группы пользователей она создается заново, но членство в ней не восстанавливается. Чтобы восстановить членство, удалите группу из приложения Entra и добавьте её обратно. Членство восстанавливается в следующем цикле предоставления.
- Okta: Пушинг удаленной группы пользователей из Okta не удастся. Для повторного предоставления группы пользователей удалите её из приложения Okta и переназначьте. Это восстанавливает группу пользователей и её членство.
Вы можете удалить директорию SCIM из вашей учетной записи. После удаления изменения пользователей и групп больше не синхронизируются из IdP. Вы можете удалить директорию, даже если в ней все еще есть активные пользователи.
Примечание: Вы не можете удалить директорию SCIM, которая используется для аутентификации пользователей SSO. Удалите директорию из вашей конфигурации аутентификации пользователей перед её удалением.
Для удаления директории SCIM:
- Из панели навигации перейдите в Доступ к облаку > Службы каталогов и нажмите на вкладку SCIM.
- В конце строки директории SCIM нажмите на значок с тремя точками и выберите Удалить.
- В окне подтверждения нажмите Удалить.
Эта директория SCIM удалена из вашей учетной записи Cato. Будущие изменения из IdP для этой директории больше не будут синхронизироваться.
0 комментариев
Статья закрыта для комментариев.