Провизионинг SCIM с Entra ID (бывший Azure)

Эта статья объясняет, как использовать приложение Azure SCIM для автоматической синхронизации информации о пользователях и группах и предоставления пользователей и групп из Entra ID в ваш аккаунт Cato.

Поддерживаемые возможности

  • Создавайте и отключайте пользователей в Приложении Управления Cato
  • Синхронизируйте пользователей и атрибуты из Azure AD в Приложении Управления Cato
  • Единый вход (SSO) в Azure
  • Пользователи могут проходить аутентификацию с помощью электронной почты или UPN, в зависимости от вашей конфигурации Azure.

Необходимые условия

Убедитесь, что эти элементы готовы перед созданием приложения Azure SCIM:

  • Арендатор Entra ID
  • Разрешения Entra ID для настройки предоставления пользователей

Ограничения

  • Удаление пользователя из приложения IdP отключает пользователя в Приложении Управления Cato (см. ниже Удаление пользователей или групп пользователей из приложения SCIM)

  • Для аккаунтов, использующих синхронизацию LDAP для пользователей, при включении провизионинга SCIM эта синхронизация отключается для вашего аккаунта.

    • Синхронизация LDAP для Осведомленности Пользователя продолжает работать нормально и не затрагивается SCIM предоставлением.
  • Предоставление вложенных групп не поддерживается
  • Синхронизация SCIM заменяет существующие группы LDAP с тем же именем. Для получения дополнительной информации см. Как синхронизация SCIM заменяет существующие группы LDAP
  • Пользователи, предоставленные SCIM, не идентифицируются через Осведомленность Пользователя на основе WMI. Осведомленность Пользователя с SCIM поддерживается при использовании Агентов Идентификации Cato Агент Идентификации
  • Предоставление по требованию не поддерживает назначение пользователей группе пользователей

Планирование Синхронизации Пользователей

Этот раздел описывает, как планировать синхронизацию пользователей Entra ID с вашим аккаунтом Cato. Для получения дополнительной информации о планировании синхронизации пользователей между Azure и Cato, см. эти статьи Microsoft:

Определение пользователей и групп для Синхронизации Пользователей

Entra ID позволяет вам определить пользователей, которые включены в синхронизацию пользователей с Cato, по одному из этих методов:

Как часть процесса планирования синхронизации пользователей с Cato, мы рекомендуем начать с небольшой группы пользователей. В зависимости от указанного выше метода, вы можете:

  • Назначьте несколько пользователей приложению Entra ID
  • Создание фильтра области действия на основе атрибутов, который соответствует только нескольким пользователям

Настройка автоматической синхронизации пользователей с Cato через приложение SCIM Cato

Вы можете подключить Entra ID к своему аккаунту Cato и синхронизировать пользователей между ними. Добавьте приложение SCIM Cato в галерею Azure в ваш аккаунт, а затем настройте настройки для подключения к вашему аккаунту Cato. Azure инициирует автоматическую синхронизацию пользователей каждые 40 минут.

Затем вы можете определить группы и пользователей Entra ID, которые синхронизируются, и включить автоматический провизионинг.

Статус пользователей в вашем Поставщике идентификационных данных (IdP) автоматически синхронизируется с вашим аккаунтом Cato. Например, когда вы отключаете пользователей в IdP, они синхронизируются с вашим аккаунтом Cato как отключенные.

Примечание: При сравнении общего количества пользователей в группе SCIM в Azure с группой CMA SCIM обратите внимание, что у вас будет меньше пользователей в группе CMA SCIM. Это потому, что мы не учитываем отключенных пользователей, которые были либо синхронизированы, а затем отключены, либо всегда были отключены.

Настройка приложения SCIM Cato

Настройте Cato SCIM в галерее Azure и установите автоматическую синхронизацию пользователей с Cato.

В Приложение Управления Cato включите провизионинг SCIM и скопируйте URL и токен в раздел учетных данных администратора в приложении SCIM Cato.

Чтобы добавить новые атрибуты к вашему существующему приложению, обновите приложение SCIM.

Для подключения Приложения Управления Cato к приложению SCIM:

  1. Из портала Azure, перейдите к Корпоративные приложения.
  2. Перейдите к Новое приложение, найдите приложение предоставления Cato Networks и нажмите Создать.

  3. В Приложении Управления Cato в навигационном меню выберите Доступ > Службы каталогов и нажмите вкладку SCIM.

    SCIM.png
  4. Выберите Включить предоставление SCIM, чтобы установить вашу учетную запись для подключения к приложению SCIM.
  5. Нажмите Сохранить.
  6. Скопируйте и вставьте URL и токен SCIM в пустой текстовый файл.
    1. В Базовый URL, нажмите значок копирования copy.png, чтобы скопировать URL SCIM в буфер обмена, а затем вставьте его в текстовый файл.
    2. В Токене Bearer, нажмите значок копирования copy.png, чтобы скопировать уникальный токен учетной записи в буфер обмена, а затем вставьте его в текстовый файл.
  7. В Azure, перейдите в раздел Предоставление для приложения SCIM, и вставьте URL и токен SCIM.
    1. Вставьте URL в URL арендатора.
    2. Вставьте токен в Секретный токен.
    3. Нажмите Сохранить.
  8. В Azure, нажмите Тест соединения, чтобы убедиться, что Azure AD может подключиться к приложению SCIM Cato.
  9. Включите автоматическое предоставление в приложении.
    1. Из навигационного меню, выберите Предоставление.
    2. На экране Предоставление нажмите Начать.
    3. В раскрывающемся меню Режим предоставления выберите Автоматически.
    4. Нажмите Сохранить.
  10. Назначьте группы и пользователей приложению.

Предоставление пользователей вашей учетной записи Cato

После того как приложение SCIM Cato может подключиться к вашему аккаунту, включите автоматическое предоставление и выберите пользователей и группы, которые синхронизированы.

Для предоставления пользователей вашей учетной записи Cato:

  1. В приложении SCIM Cato, перейдите в раздел Предоставление.

  2. В Статус предоставления нажмите Начать предоставление.

    Azure_StartProvisioning.png

    Начальная синхронизация между вашим Azure AD и аккаунтом Cato начинается.

Обновление существующего приложения SCIM

Используйте следующие шаги, чтобы обновить список атрибутов и отображение атрибутов для существующей SCIM приложения Microsoft Entra ID, чтобы дополнительные атрибуты пользователей были предоставлены Cato. Это необходимо для получения доступа к последним атрибутам, используемым Cato, например, должность и отдел.

Примечание

Примечание: Если приложение SCIM было создано до ноября 2025 года, вы должны создать новое приложение SCIM и настроить атрибуты, как описано ниже.

Обновите существующее приложение SCIM:

  1. Из портала Azure, перейдите к Корпоративные приложения > Все приложения и выберите ваше приложение SCIM Cato.
  2. Нажмите Предоставление и затем Сопоставление атрибутов.
  3. На странице Сопоставление атрибутов выберите флажок Показать расширенные параметры и нажмите Редактировать список атрибутов для <appName>.

  4. Добавьте атрибут, и из раскрывающегося меню Тип выберите соответствующее значение.

    Повторите этот процесс для каждого атрибута, который вы хотите добавить.

  5. Нажмите Сохранить.
  6. На странице Сопоставление атрибутов нажмите Редактировать атрибут.

  7. На странице Редактировать Атрибут выберите Источник атрибута и сопоставьте его с Целевой атрибута.

    Например, выберите jobTitle как источник, и сопоставьте его с title в цели.

    Повторите этот процесс для каждого атрибута, который вы добавляете.

  8. Нажмите Сохранить.
  9. Предоставление пользователей и групп учетной записи.

Обзор атрибутов предоставления SCIM

После настройки приложения SCIM Cato вы можете просмотреть соответствие атрибутов провизионинга SCIM между Entra ID и Приложение Управления Cato.

 

Атрибут Azure AD

Атрибут Пользователя Cato

Примечания о Пользователе

userPrincipalName

имя пользователя

Имя пользователя для пользователя

coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

Адрес электронной почты

givenName

name.givenName

Имя

surname

name.familyName

Фамилия

telephoneNumber

phoneNumbers[type eq "work"].value

Номер телефона (включая префикс)

objectId

externalId

ID пользователя (используется в событиях)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

активный

Когда пользователь снимается с приложения SCIM, пользователь мягко удаляется с параметрами: "False", "True", "True", "False"

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

title

department

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

Назначение лицензий SDP

В IdP определите группы и пользователей, которые синхронизируются с вашим аккаунтом Cato. После завершения начальной синхронизации все пользователи создаются в Приложении Управления Cato и видны на странице Справочник пользователей.

Вы можете затем назначить пользователям лицензии SDP, для получения дополнительной информации смотрите Назначение лицензий ZTNA пользователям.

Удаление Пользователи или группы пользователей из SCIM приложения

Примечание

Важно: Хотя пользователей можно удалить в CMA, мы рекомендуем удалять пользователей или группы пользователей, предоставленные приложением SCIM, напрямую из портала Azure.

Когда вы хотите удалить пользователей или группы пользователей, предоставленные вашей учетной записи Cato с приложением SCIM, отвяжите их в приложении. Пользователи и группы пользователей автоматически отключаются при следующей синхронизации приложения SCIM с вашей учетной записью.

Чтобы удалить пользователей или группы пользователей, синхронизированных с вашей учетной записью Cato:

  1. В SCIM приложении Cato, снимите назначение пользователей или групп пользователей.

    Во время следующей синхронизации SCIM приложение отключает пользователей или группы пользователей в вашем Cato аккаунте.

  2. (Необязательно) После того как пользователи или группы отключены, вы можете удалить их из Приложения Управления Cato.

    Это может занять до 15 минут, прежде чем вы сможете вручную удалить пользователей или группы пользователей.

Понимание Событий для предоставления SCIM

Приложение Управления Cato генерирует события каждый раз, когда пользователи и группы блокируются из-за несоответствия требованиям Политики доступа клиента.

Каждый час Приложение Управления Cato отправляет оповещения по электронной почте, которые резюмируют действия предоставления SCIM (успех или неудача).

Следующая таблица объясняет различные события.

 

Тип события

Действие

Описание

Предоставление SCIM

Успех

Действие по синхронизации пользователей или групп с вашей учетной записью с приложением SCIM успешно выполнено.

Предоставление SCIM

Сбой

Приложение SCIM не смогло синхронизировать IdP с вашей учетной записью. Сообщение о событии объясняет причину сбоя синхронизации.

Предоставление SCIM

Отключено

Отключенный пользователь в IdP был успешно синхронизирован и отключен в вашей учетной записи Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев