Провизионинг SCIM с Entra ID (бывший Azure)

Эта статья объясняет, как использовать приложение Azure SCIM для автоматической синхронизации информации о пользователях и группах и предоставления пользователей и групп из Entra ID в ваш аккаунт Cato.

Поддерживаемые возможности

  • Создание и отключение пользователей в Приложение Управления Cato

  • Синхронизировать пользователей и атрибуты из Azure AD в Приложение Управления Cato

  • Единый вход (SSO) в Azure

  • Пользователи могут аутентифицироваться с помощью электронной почты или UPN, в зависимости от вашей конфигурации Azure.

Необходимые условия

Убедитесь, что эти элементы готовы перед созданием приложения Azure SCIM:

  • Арендатор Entra ID

  • Разрешения Entra ID для настройки предоставления пользователей

Ограничения

  • Удаление пользователя из приложения IdP отключает пользователя в Приложении Управления Cato (см. ниже Удаление Пользователей или Групп Пользователей из SCIM Приложения)

  • Для аккаунтов, использующих синхронизацию LDAP для пользователей, при включении провизионинга SCIM эта синхронизация отключается для вашего аккаунта.

    • Синхронизация LDAP для Осведомленности Пользователя продолжает работать регулярно и не затрагивается провизионингом SCIM.

  • Провизионинг вложенных групп не поддерживается

  • Синхронизация SCIM перезаписывает существующие LDAP группы с тем же именем. Для получения дополнительной информации, см. Как синхронизация SCIM перезаписывает существующие LDAP группы

  • Пользователи, предоставленные SCIM, не идентифицируются по Осведомленности Пользователя на основе WMI. Осведомленность Пользователя с SCIM поддерживается с использованием Cato Агент Идентификации

  • Провизионинг по требованию не поддерживает назначение пользователей в группу пользователей

Планируем синхронизацию пользователей

Этот раздел описывает, как планировать синхронизацию пользователей Entra ID с вашим аккаунтом Cato. Для получения дополнительной информации о планировании синхронизации пользователей между Azure и Cato, см. эти статьи Microsoft:

Определение пользователей и групп для синхронизации пользователей

Entra ID позволяет вам определить пользователей, которые включены в синхронизацию пользователей с Cato, по одному из этих методов:

Как часть процесса планирования синхронизации пользователей с Cato, мы рекомендуем начать с небольшой группы пользователей. В зависимости от указанного выше метода, вы можете:

  • Назначить нескольких пользователей приложению Entra ID

  • Создать атрибутный фильтр области, который соответствует только нескольким пользователям

Настройка автоматической синхронизации пользователей с Cato с помощью приложения SCIM Cato

Вы можете подключить Entra ID к своему аккаунту Cato и синхронизировать пользователей между ними. Добавьте приложение SCIM Cato в галерею Azure в ваш аккаунт, а затем настройте настройки для подключения к вашему аккаунту Cato. Azure инициирует автоматическую синхронизацию пользователей каждые 40 минут.

Затем вы можете определить группы и пользователей Entra ID, которые синхронизируются, и включить автоматический провизионинг.

Статус пользователей в вашем Поставщике идентификационных данных (IdP) автоматически синхронизируется с вашим аккаунтом Cato. Например, когда вы отключаете пользователей в IdP, они синхронизируются с вашим аккаунтом Cato как отключенные.

Примечание: При сравнении общего количества пользователей в группе SCIM в Azure с группой CMA SCIM обратите внимание, что у вас будет меньше пользователей в группе CMA SCIM. Это потому, что мы не учитываем отключенных пользователей, которые были либо синхронизированы, а затем отключены, либо всегда были отключены.

Настройка приложения SCIM Cato

Настройте Cato SCIM в галерее Azure и установите автоматическую синхронизацию пользователей с Cato.

В Приложение Управления Cato включите провизионинг SCIM и скопируйте URL и токен в раздел учетных данных администратора в приложении SCIM Cato.

Чтобы добавить новые атрибуты к вашему существующему приложению, обновите приложение SCIM.

Чтобы подключить Приложение Управления Cato к приложению SCIM:

  1. Из портала Azure, перейдите в Корпоративные приложения.

  2. Перейдите в Новое приложение, найдите приложение предоставления Cato Networks и нажмите Создать.

  3. В Приложении Управления Cato в навигационном меню выберите Доступ > Службы каталогов и нажмите вкладку SCIM.

    SCIM.png

  4. Выберите Включить провизионинг SCIM, чтобы установить подключение вашего аккаунта к приложению SCIM.

  5. Нажмите Сохранить.

  6. Скопируйте и вставьте URL SCIM и токен в пустой текстовый файл.

    1. В Базовый URL, нажмите на значок копирования copy.png чтобы скопировать SCIM URL в буфер обмена, а затем вставьте его в текстовый файл.

    2. В Токен Bearer, нажмите на значок копирования copy.png чтобы скопировать уникальный токен учётной записи в буфер обмена, а затем вставьте его в текстовый файл.

  7. В Azure, перейдите в раздел Предоставление для приложения SCIM и вставьте URL SCIM и токен.

    1. Вставьте URL в URL арендатора.

    2. Вставьте токен в Секретный токен.

    3. Нажмите Сохранить.

  8. В Azure нажмите Проверить соединение, чтобы убедиться, что Azure AD может подключиться к приложению SCIM Cato.

  9. Включите автоматическое предоставление в приложении.

    1. В меню навигации выберите Предоставление.

    2. На экране Предоставление нажмите Начать.

    3. В раскрывающемся меню Режим предоставления выберите Автоматический.

    4. Нажмите Сохранить.

  10. Назначьте группы и пользователей приложению.

Предоставление пользователей для вашего аккаунта Cato

После того как приложение SCIM Cato может подключиться к вашему аккаунту, включите автоматическое предоставление и выберите пользователей и группы, которые синхронизированы.

Чтобы предоставить пользователей для вашего аккаунта Cato:

  1. В приложении Cato SCIM перейдите в раздел Предоставление.

  2. В Статус предоставления нажмите Начать предоставление.

    Azure_StartProvisioning.png

    Начальная синхронизация между вашим Azure AD и аккаунтом Cato начинается.

Обновление существующего SCIM приложения

Используйте следующие шаги, чтобы обновить список атрибутов и отображение атрибутов для существующей SCIM приложения Microsoft Entra ID, чтобы дополнительные атрибуты пользователей были предоставлены Cato. Это необходимо для получения доступа к последним атрибутам, используемым Cato, например, должность и отдел.

Примечание

Примечание: Если приложение SCIM было создано до ноября 2025 года, вы должны создать новое приложение SCIM и настроить атрибуты, как описано ниже.

Обновите существующее приложение SCIM:

  1. Из портала Azure, перейдите в Корпоративные приложения > Все приложения и выберите ваше приложение SCIM Cato.

  2. Нажмите Предоставление, затем Отображение атрибутов.

  3. На странице Отображение атрибутов выберите флажок Показать расширенные параметры и нажмите Редактировать список атрибутов для <appName>.

  4. Добавьте атрибут, и из раскрывающегося меню Тип выберите соответствующее значение.

    Повторите этот процесс для каждого атрибута, который вы хотите добавить.

  5. Нажмите Сохранить.

  6. На странице Отображение атрибутов нажмите Редактировать атрибут.

  7. На странице Редактировать Атрибут выберите Источник атрибута и сопоставьте его с Целевой атрибута.

    Например, выберите jobTitle как источник, и сопоставьте его с title в цели.

    Повторите этот процесс для каждого атрибута, который вы добавляете.

  8. Нажмите Сохранить.

  9. Предоставление пользователей и групп для аккаунта.

Обзор атрибутов провизионинга SCIM

После настройки приложения SCIM Cato вы можете просмотреть соответствие атрибутов провизионинга SCIM между Entra ID и Приложение Управления Cato.

Атрибут Azure AD

Cato атрибут пользователя

Примечания о пользователе

userPrincipalName

userName

Имя пользователя для пользователя

Coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

Адрес электронной почты

givenName

name.givenName

Имя

surname

name.familyName

Фамилия

telephoneNumber

phoneNumbers[type eq "work"].value

Номер телефона (включая префикс)

objectId

externalId

ID пользователя (используется в событиях)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

активный

Когда пользователя отменяют в приложении SCIM, пользователь временно удаляется с параметрами: "False", "True", "True", "False"

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

title

department

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

Назначение лицензий SDP

В IdP определите группы и пользователей, которые синхронизируются с вашим аккаунтом Cato. После завершения начальной синхронизации все пользователи создаются в Приложении Управления Cato и видны на странице Справочник пользователей.

Вы можете затем назначить пользователям лицензии SDP, для получения дополнительной информации смотрите Назначение лицензий ZTNA пользователям.

Удаление Пользователи или группы пользователей из SCIM приложения

Примечание

Важно: Хотя пользователи могут быть удалены внутри CMA, мы рекомендуем удалять пользователей или группы пользователей, которые предоставлены с помощью SCIM приложения, непосредственно из Приложение Управления Cato.

Когда вы хотите удалить пользователей или группы пользователей, которые обеспечены к вашему Cato аккаунту с SCIM приложения, снимите их назначение в приложении. Пользователи и группы пользователей автоматически отключаются при следующей синхронизации SCIM приложения с вашим аккаунтом.

Чтобы удалить пользователей или группы пользователей, которые синхронизированы с вашим Cato аккаунтом:

  1. В SCIM приложении Cato, снимите назначение пользователей или групп пользователей.

    Во время следующей синхронизации SCIM приложение отключает пользователей или группы пользователей в вашем Cato аккаунте.

  2. (Необязательно) После того как пользователи или группы отключены, вы можете удалить их из Приложения Управления Cato.

    Это может занять до 15 минут, прежде чем вы сможете вручную удалить пользователей или группы пользователей.

Понимание событий для предоставления SCIM

Приложение Управления Cato генерирует события каждый раз, когда пользователи и группы блокируются из-за несоответствия требованиям Политики доступа клиента.

Каждый час Приложение Управления Cato отправляет оповещения по электронной почте, которые резюмируют действия предоставления SCIM (успех или неудача).

Следующая таблица объясняет различные события.

Тип события

Действие

Описание

Провизионинг SCIM

Успех

Действие по синхронизации пользователей или групп в ваш аккаунт с приложением SCIM выполнено успешно.

Провизионинг SCIM

Сбой

Приложению SCIM не удалось синхронизировать IdP с вашим аккаунтом. Сообщение о событии объясняет причину сбоя синхронизации.

Провизионинг SCIM

Отключено

Отключенный пользователь в IdP был успешно синхронизирован и отключен в вашем аккаунте Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев