Предоставление пользователям SCIM и LDAP

В этой статье объясняются условия предоставления пользователям SCIM и LDAP.

Обзор

Cato использует вашего существующего поставщика идентификационных данных (IdP), который является централизованным сервисом для управления идентификацией пользователей и поддерживает возможность лёгкого предоставления и синхронизации пользователей с вашей учетной записью. IdP интегрирован с вашей учетной записью Cato и автоматически импортирует и обновляет пользователей.

Cato поддерживает следующие методы для предоставления пользователям и группам пользователей:

  • Импорт пользователей из IdP через SCIM и LDAP
  • Импорт пользователей из IdP через SCIM
  • Импорт пользователей из IdP через LDAP

Для получения дополнительной информации о смене между предоставлением SCIM и LDAP, см. Изменение между предоставлением SCIM и LDAP.

Назначение лицензий

После предоставления пользователям или группам пользователей любым из этих методов, они могут быть включены в любую Политика и им может быть назначена лицензия SDP. Например, вы можете импортировать одного пользователя через SCIM и другого пользователя с помощью LDAP, и обоим может быть назначена лицензия SDP. Для получения дополнительной информации, см. Назначение лицензий SDP пользователям.

Использование SCIM и LDAP для обеспечения пользователей

SCIM и LDAP могут использоваться вместе для предоставления пользователям. Однако каждый отдельный пользователь должен предоставляться исключительно через SCIM или LDAP, а не через оба. Это гарантирует единый источник истины для каждого пользователя.

Если один и тот же пользователь идентифицирован как предоставленный и через SCIM, и через LDAP, пользователь, предоставленный SCIM, переопределяет пользователя, предоставленного LDAP. Это значит, что пользователь, предоставленный LDAP, будет удалён из групп пользователей, предоставленных LDAP, и добавлен в группы пользователей, предоставленные SCIM.

Предоставление SCIM используется в качестве единого источника истины для обеспечения стабильного поведения. Это может повлиять на то, будут ли пользователям предоставлены ожидаемые ими права доступа. Например:

  • Пользователь Джон Доу предоставлен с помощью LDAP и является членом группы пользователей, которая имеет блокировку сайтов азартных игр правилом Интернет-файервола.
  • Затем Джон Доу предоставлен с помощью SCIM, ни одной группы SCIM нет в правиле Интернет-файервола.
  • Пользователь, предоставленный SCIM, перекрывает пользователя, предоставленного LDAP, и Джон Доу исключен из группы пользователей, которая блокирует доступ к сайтам азартных игр.
  • Джон Доу не включен в правило Интернет-файервола и может получить доступ к сайтам азартных игр.

Пользователи идентифицируются как совпадения на основе адреса электронной почты или UPN.

Использование SCIM и LDAP для обеспечения групп пользователей

SCIM и LDAP могут использоваться вместе для предоставления групп пользователей. Тем не менее, каждая отдельная группа пользователей должна предоставляться исключительно через SCIM или LDAP, а не через оба. Это гарантирует единый источник истины для идентификации пользователей и обеспечивает однообразие идентификации пользователей в вашей среде.

Если одна и та же группа пользователей предоставляется и SCIM, и LDAP, группа пользователей, предоставленная SCIM, переопределяет группу пользователей, предоставленную LDAP. Если группа пользователей, предоставленная LDAP, содержит пользователей, не входящих в группу пользователей, предоставленную SCIM, эти пользователи удаляются из группы пользователей в Приложение управления Cato. Это может иметь последствия для предоставления пользователям ожидаемых ими прав доступа. Например:

  • Группа пользователей Финансовая команда предоставлена через LDAP и на сайтах с играми установлено правило межсетевого экрана для Интернета, блокирующее их. Он содержит следующих пользователей:

    • Джон Доу
    • Джейн Филлипс
    • Саймон Томпсон

  • Затем группа пользователей Финансовая команда предоставляется через SCIM и содержит следующих пользователей:

    • Джон Доу
    • Джейн Филлипс
  • Группа пользователей, предоставленная SCIM, перекрывает группу пользователей, предоставленную LDAP.
  • Саймон Томпсон исключен из группы пользователей команды "Финансы" и может получить доступ к сайтам азартных игр.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев