Провизионинг SCIM с OneLogin

Эта статья объясняет, как использовать приложение SCIM Cato от OneLogin для автоматической синхронизации пользователей из вашей учетной записи OneLogin в вашу учетную запись Cato.

Поддерживаемые возможности

Cato Networks предоставляет архитектуру безопасной сети следующего поколения, устраняющую сложность, затраты и риски, связанные с традиционными IT-подходами, основанными на разрозненных узконаправленных решениях. От единого входа (SSO) до предоставления учетных записей, интеграция Cato от OneLogin обрабатывает доступ пользователей и группы на протяжении всего жизненного цикла пользователя, включая:

  • Создайте и удалите пользователей в Приложение Управления Cato
  • Синхронизируйте пользователей и атрибуты из OneLogin в Приложение Управления Cato
  • Единый вход (SSO) в OneLogin
  • Обновить атрибуты пользователя
  • Деактивировать пользователей
  • Импортировать пользователей
  • Импортировать группы (роли OneLogin)

Требования

Убедитесь, что до создания пользовательского приложения SCIM Cato у вас есть административные разрешения в OneLogin для настройки приложений и управления учетными записями пользователей.

Известные ограничения

  • Пользователи, удаленные из OneLogin, отключаются в Приложение Управления Cato
  • Роли, удаленные из OneLogin, соответствующие группы НЕ удаляются в Приложение Управления Cato
  • Вложенные группы не поддерживаются
  • Синхронизация SCIM заменяет существующие группы LDAP с тем же именем. Для получения дополнительной информации смотрите Как SCIM синхронизация заменяет существующие группы LDAP

Настройка SCIM приложения Cato для автоматической синхронизации пользователей с Cato

Вы можете использовать приложение SCIM Cato в библиотеке приложений OneLogin для подключения и синхронизации пользователей из вашей учетной записи OneLogin в вашу учетную запись Cato. В этом разделе объясняется, как настроить это приложение SCIM в соответствии со следующим рабочим процессом:

  • В Приложении Управления Cato активируйте SCIM предоставление для вашей учетной записи Cato
  • Добавьте SCIM приложение Cato к вашей учетной записи OneLogin
  • Настройте приложение для подключения к вашей учетной записи Cato
  • Определите пользователей OneLogin, которые синхронизированы
  • Определите роли OneLogin, которые синхронизированы с группами в вашей учетной записи Cato

Статус пользователей в вашем поставщике идентификационных данных (IdP) автоматически синхронизируется с вашей учетной записью Cato. Например, когда вы отключаете пользователей в IdP, они синхронизируются с вашей учетной записью Cato как отключенные.

Настройка Приложения Управления Cato для SCIM приложения

В Приложение Управления Cato включите провизионинг SCIM и скопируйте URL и токен в текстовый файл. Вы введете эти настройки в приложении SCIM Cato, которое вы настраиваете в своем OneLogin

учетная запись.

Подключить Приложение Управления Cato к SCIM приложению

  1. В Приложение Управления Cato выберите в меню навигации Доступ > Службы каталогов и нажмите на вкладку SCIM.

    SCIM.png
  2. Выберите Включить предоставление SCIM для подключения вашей учетной записи к SCIM приложению.
  3. Нажмите Сохранить.
  4. Скопируйте и вставьте URL SCIM и токен в пустой текстовый файл.
    1. В Основной URL, нажмите иконку копирования copy.png для копирования URL SCIM в буфер обмена, затем вставьте его в текстовый файл.
    2. В Bearer Token, нажмите иконку копирования copy.png для копирования уникального токена учетной записи в буфер обмена, затем вставьте его в текстовый файл.

Добавление SCIM приложения Cato

Вы можете добавить приложение Cato SCIM в ваш аккаунт OneLogin и использовать его для предоставления пользователям доступ из вашего аккаунта OneLogin в ваш аккаунт Cato.

Чтобы добавить приложение Cato SCIM в ваш аккаунт OneLogin:

Добавить SCIM приложение Cato к вашей учетной записи OneLogin:

  1. С вашего админпанели OneLogin, нажмите Приложения > Приложения.
  2. Нажмите Добавить приложение.

  3. Найдите приложение Cato Networks, затем нажмите на приложение Cato Networks с SAML2.0, предоставление.

    OneLogin_CatoApp.png

  4. В окне Список приложений / Добавить Cato Networks введите Отображаемое имя для приложения и нажмите Сохранить.

    OneLogin_CatoApp_AddApp.png

    Сообщение показывает, что приложение успешно добавлено в ваш аккаунт.

Настройка SCIM приложения для подключения к вашей учетной записи

Настройте параметры в разделах Настройки и Предоставление приложения, чтобы оно могло подключиться к вашему аккаунту Cato. Вам нужно ввести URL и Токен, скопированные из Приложение Управления Cato в разделе Настройка Приложение Управления Cato для приложения SCIM выше.

Настроить SCIM приложение для подключения к вашей учетной записи Cato

  1. Из панели навигации приложения выберите Конфигурация.

  2. In the API Connection section, configure OneLogin to integrate with your account:

    OneLogin_CatoApp_Configuration.png
    1. В Базовый URL SCIM, вставьте URL, который вы скопировали из Приложение Управления Cato.
    2. В Bearer Token SCIM, вставьте токен, который вы скопировали из Приложение Управления Cato.
  3. В Статус API, нажмите Включить.
  4. Нажмите Сохранить.

  5. С панели навигации, нажмите Предоставление.

    OneLogin_CatoApp_Provisioning.png
  6. Настройте эти параметры предоставления для приложения:
    1. Выберите Включить предоставление.
    2. (Необязательно) Настройте параметры Требовать одобрение администратора перед выполнением этого действия:
    3. В Когда пользователи удалены из OneLogin, или доступ к приложению пользователя удален, выполните ниже действия, выберите Приостановить.
    4. Убедитесь, что ссылка Обновление в разделе Право на доступ кликабельна.

  7. Нажмите Сохранить.

    Параметры для приложения Cato SCIM настроены, и приложение готово к подключению к вашему аккаунту Cato.

Синхронизация VPN пользователей с вашей учетной записью Cato

После того как приложение SCIM может подключиться к вашему аккаунту, назначьте пользователей, которых вы синхронизируете с Cato. Затем вы можете продолжить со следующего раздела, чтобы добавить группы к приложению.

Предоставить индивидуальным пользователям вашу учетную запись Cato

  1. Из верхнего меню выберите Пользователи > Пользователи.

  2. Выберите пользователя, которого вы назначаете для приложения SCIM.

    OneLogin_SelectUser.png

  3. В навигационной панели пользователя выберите Приложения.

    OneLogin_User_Applications.png
  4. Назначьте SCIM приложение пользователю:
    1. Нажмите кнопку плюс для добавления нового приложения пользователю.

    2. В окне Назначить новый логин для из выпадающего меню Выберите приложение выберите приложение SCIM.

      OneLogin_User_Applications_AssignApp.png
    3. Нажмите Продолжить.

    4. В всплывающем окне нажмите Сохранить.

      OneLogin_EditAppForUser.png

      Приложение SCIM назначено пользователю.

  5. Нажмите Сохранить пользователя. Настройки для пользователя обновлены.

  6. Повторите шаги 4 и 5 выше для каждого пользователя, которого вы настраиваете в вашем аккаунте Cato.

    Чтобы показать пользователей, назначенных приложению SCIM, перейдите к приложению SCIM и из панели навигации приложения выберите Пользователи.

Синхронизация ролей OneLogin с вашей учетной записью Cato

Вы можете назначать роли в OneLogin пользователям, которых вы синхронизируете с Cato. Вы можете выбрать ручное добавление пользователей к этой роли.

Для каждой роли создайте правило, которое связывает её с приложением. Затем назначьте роль приложению, и роли с их связанными пользователями синхронизируются с новыми группами в вашем аккаунте Cato.

Предоставить роли OneLogin вашей учетной записи Cato

  1. Из верхнего меню выберите Пользователи > Роли.
  2. Выберите роль, которую вы назначаете SCIM приложению.
  3. (Необязательно) Назначьте пользователей вручную роли:

    1. В навигационном меню роли выберите Пользователи.

      OneLogin_Role_AddUser.png
    2. В Проверить существующих или добавить новых пользователей к этому правилу, введите имя пользователя, которого вы добавляете в приложение.
    3. Нажмите Проверить, окно показывает пользователя.
    4. Нажмите Добавить к роли. Пользователь добавлен в раздел Пользователи добавлены вручную.
  4. Создайте правило для подключения роли к SCIM приложению.
    1. Из верхнего меню нажмите Приложения > Приложения и затем откройте SCIM приложение.
    2. Из панели навигации приложения выберите Правила.
    3. Нажмите Добавить правило.

    4. В окне Новая сопоставление введите Название для правила.

      OneLogin_App_Rule.png
    5. В разделе Действия выберите Установить группы в <название приложения>. На скриншоте выше показан вариант Установить группы в Пример SCIM приложения Cato.
    6. В раскрывающемся меню Для каждого выберите роль.
    7. Введите значение, которое совпадает с названием роли. На скриншоте выше показано название роли пример роли.

    8. Нажмите Сохранить. Правило добавлено в приложение.

      OneLogin_Rule_Configured.png
    9. Нажмите Сохранить. Правила подключения роли к приложению сохранены в приложение.

  5. Назначьте приложение SCIM роли.

    1. Из меню навигации роли выберите Приложения.
    2. Нажмите кнопку плюс, чтобы показать приложения в вашей учетной записи OneLogin.

    3. Выберите приложение Cato SCIM и нажмите Сохранить. Приложение добавлено к роли.

      OneLogin_Role_Add_App.png

    Приложение SCIM синхронизирует роли из OneLogin в вашей учетной записи Cato.

Удаление пользователей или групп из приложения SCIM

Важно

Важно: Не удаляйте пользователей или группы, предоставленные через приложение SCIM, напрямую из Приложения управления Cato. Сначала необходимо отменить назначение в приложении SCIM.

Когда вы хотите удалить пользователей или группы, которые предоставлены вашей учетной записи Cato с SCIM приложением, отвяжите их в приложении. Пользователи и группы автоматически отключаются в следующий раз, когда SCIM приложение синхронизируется с вашей учетной записью.

Удалить пользователей или группы, которые синхронизированы с вашей учетной записью Cato

  1. В приложении SCIM Cato отмените назначение пользователей или групп.

    При следующей синхронизации приложение SCIM отключает пользователей или группы в вашей учетной записи Cato.

  2. (Необязательно) После отключения пользователей или групп, вы можете удалить их из Приложение Управления Cato.

Назначение лицензий ZTNA

В IdP определите группы и пользователей, синхронизированные с вашей учетной записью Cato. После завершения начальной синхронизации, все пользователи создаются в Приложение Управления Cato и отображаются на странице Каталог пользователей.

Вы можете затем назначить пользователям лицензии ZTNA, для получения дополнительной информации смотрите Назначение лицензий ZTNA пользователям.

Понимание событий для предоставления SCIM

Приложение Управления Cato генерирует события каждый раз, когда пользователи и группы блокируются из-за несоответствия требованиям Политики доступа клиента.

Каждый час Приложение Управления Cato отправляет оповещения по электронной почте, которые подводят итоги действий по предоставлению SCIM (успех или неудача).

Следующая таблица объясняет разные события.

 

Тип события

Действие

Описание

Предоставление SCIM

Успех

Действие по синхронизации пользователей или групп с вашей учетной записью через SCIM приложение было успешно.

Предоставление SCIM

Сбой

SCIM приложению не удалось синхронизировать IdP с вашей учетной записью. Сообщение события объясняет причину сбоя синхронизации.

Предоставление SCIM

Отключено

Отключенный пользователь в IdP успешно синхронизирован и отключен в вашей учетной записи Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев