Предоставление пользователям SCIM и LDAP

В этой статье объясняются условия предоставления пользователям SCIM и LDAP.

Обзор

Cato использует вашего существующего поставщика идентификационных данных (IdP), который является централизованным сервисом для управления идентификацией пользователей и поддерживает возможность лёгкого предоставления и синхронизации пользователей с вашей учетной записью. IdP интегрирован с вашей учетной записью Cato и автоматически импортирует и обновляет пользователей.

Cato поддерживает следующие методы предоставления пользователей и групп пользователей:

  • Импорт пользователей из IdP через SCIM и LDAP
  • Импорт пользователей из IdP через SCIM
  • Импорт пользователей из IdP через LDAP

Для получения дополнительной информации, см. Изменение между SCIM и LDAP Управлением учетными записями пользователей.

Назначение лицензий

Как только пользователь или группа пользователей предоставлены одним из этих методов, они могут быть включены в любую политику и им может быть назначена Лицензия SDP. Например, вы можете импортировать одного пользователя из SCIM и другого пользователя с помощью LDAP, и обоим можно назначить лицензию удаленного пользователя. Для получения дополнительной информации, см. Назначение пользовательских лицензий ZTNA.

Добавление каталогов LDAP при настроенном SCIM

Количество настроенных каталогов SCIM в CMA определяет, можно ли добавлять каталоги LDAP:

  • Если настроен один каталог SCIM, вы можете добавить несколько каталогов LDAP. В настоящее время нет известного ограничения на количество каталогов LDAP, которые вы можете добавить.
  • Если настроены два или более каталога SCIM, вы не можете добавлять каталоги LDAP.

Чтобы добавить каталог LDAP при настройке двух или более каталогов SCIM, сначала отключите каталоги SCIM, пока не останется только один настроенный каталог SCIM. Затем добавьте каталог LDAP.

Использование SCIM и LDAP для обеспечения пользователей

SCIM и LDAP могут использоваться вместе для предоставления пользователям. Однако каждый отдельный пользователь должен предоставляться исключительно через SCIM или LDAP, а не через оба. Это гарантирует единый источник истины для каждого пользователя.

Если один и тот же пользователь идентифицирован как предоставленный и через SCIM, и через LDAP, пользователь, предоставленный SCIM, переопределяет пользователя, предоставленного LDAP. Это значит, что пользователь, предоставленный LDAP, будет удалён из групп пользователей, предоставленных LDAP, и добавлен в группы пользователей, предоставленные SCIM.

Предоставление SCIM используется в качестве единого источника истины для обеспечения стабильного поведения. Это может повлиять на то, будут ли пользователям предоставлены ожидаемые ими права доступа. Например:

  • Пользователь Джон Доу предоставлен с помощью LDAP и является членом группы пользователей, которая имеет блокировку сайтов азартных игр правилом Интернет-файервола.
  • Затем Джон Доу предоставлен с помощью SCIM, ни одной группы SCIM нет в правиле Интернет-файервола.
  • Пользователь, предоставленный SCIM, перекрывает пользователя, предоставленного LDAP, и Джон Доу исключен из группы пользователей, которая блокирует доступ к сайтам азартных игр.
  • Джон Доу не включен в правило Интернет-файервола и может получить доступ к сайтам азартных игр.

Пользователи идентифицируются как совпадения на основе адреса электронной почты или UPN.

Использование SCIM и LDAP для обеспечения групп пользователей

SCIM и LDAP могут использоваться вместе для предоставления групп пользователей. Тем не менее, каждая отдельная группа пользователей должна предоставляться исключительно через SCIM или LDAP, а не через оба. Это гарантирует единый источник истины для идентификации пользователей и обеспечивает однообразие идентификации пользователей в вашей среде.

Если одна и та же группа пользователей предоставляется и SCIM, и LDAP, группа пользователей, предоставленная SCIM, переопределяет группу пользователей, предоставленную LDAP. Если группа пользователей, предоставленная LDAP, содержит пользователей, не входящих в группу пользователей, предоставленную SCIM, эти пользователи удаляются из группы пользователей в Приложение управления Cato. Это может иметь последствия для предоставления пользователям ожидаемых ими прав доступа. Например:

  • Группа пользователей Финансовая команда предоставлена через LDAP и на сайтах с играми установлено правило межсетевого экрана для Интернета, блокирующее их. Он содержит следующих пользователей:

    • Джон Доу
    • Джейн Филлипс
    • Саймон Томпсон

  • Затем группа пользователей Финансовая команда предоставляется через SCIM и содержит следующих пользователей:

    • Джон Доу
    • Джейн Филлипс
  • Группа пользователей, предоставленная SCIM, перекрывает группу пользователей, предоставленную LDAP.
  • Саймон Томпсон исключен из группы пользователей команды "Финансы" и может получить доступ к сайтам азартных игр.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев