Устранение неполадок синхронизации и предоставления SCIM

Обзор

Синхронизация и предоставление пользователей SCIM (система управления идентичностью между доменами) необходимы для автоматизации управления идентичностью и обеспечения безопасного и упрощенного доступа к приложениям и ресурсам. Однако могут возникнуть проблемы, которые прерывают эту автоматизацию, что может привести к проблемам с доступом или рискам несоответствия требованиям. Этот справочник предназначен для решения общих проблем синхронизации и предоставления SCIM в Cato и предложит эффективные решения для их устранения.

Симптомы

Сбои в предоставлении SCIM могут проявляться несколькими способами. Администратор может заметить следующие симптомы:

  • Сообщение об ошибке при включении SCIM
  • Пользователи не предоставляются в CMA
  • Проверка соединения от IdP до CMA не удается
  • Предоставленные пользователи не могут подключиться к клиентам SDP
  • Дубликаты пользователей в CMA

Возможные причины

Перечислите возможные причины, которые они попробуют выявить во время устранения неполадок

  • Неправильная конфигурация
  • Использованы неверные учетные данные администратора
  • Лицензия
  • Дублирующийся пользователь, предоставленный через IdP

Устранение проблемы

Прежде чем приступать к шагам по устранению неполадок, диаграмма ниже предлагает общее представление о том, как функционирует предоставление SCIM. В отличие от LDAP, который использует подход, основанный на запросах, SCIM использует механизм push для передачи обновлений пользователей непосредственно в приложение управления Cato (CMA).

Cato поддерживает предоставление SCIM для пользователей через Azure, Okta и One Login. Для получения дополнительной информации о настройке предоставления SCIM для каждого поставщика идентификации (IdP) см. Предоставление пользователей с помощью SCIM. Этот справочник специально ориентирован на предоставление SCIM с Azure (Entra ID), но основные концепции и методы устранения неполадок применимы и к другим IdP.

Ошибка при включении SCIM

При включении SCIM в CMA наблюдается следующая ошибка: "Невозможно включить предоставление SCIM. Пожалуйста, свяжитесь с поддержкой и укажите конфигурацию учетной записи ID - эл. почта".

Если вы сталкиваетесь с этой ошибкой, пожалуйста, свяжитесь с Поддержкой, чтобы изменить тип идентификатора пользователя в вашей учетной записи.

Пользователи не предоставляются в CMA

В этом разделе будет показано несколько общих причин, почему пользователи не предоставляются в CMA.

Проверка учетных данных администратора

  • Перейдите к приложению SCIM > Предоставление > Обновление учетных данных.
  • Разверните учетные данные администратора и нажмите на Проверка соединения
     
  • Для успешной интеграции и предоставления с CMA вы должны увидеть следующий результат.
  • Если Проверка соединения не удается, обратитесь к Устранение проблем с учетными данными администратора для получения информации о том, как это исправить. 

Обязательные атрибуты

  • Некоторые атрибуты необходимы и обязательны для предоставления SCIM с Microsoft Entra ID. Если какой-либо из этих обязательных атрибутов отсутствует, предоставление пользователей может не удастся, или предоставленный пользователь может быть не в состоянии подключиться.
  • На снимке экрана ниже показаны обязательные поля, необходимые для успешного предоставления.
  • Если поле электронной почты отсутствует, пользователь все равно будет предоставлен в CMA, но не сможет подключиться к клиенту SDP.
  • Обратитесь к разделу решение обязательного атрибута, чтобы проверить, вызывает ли это проблему и как это исправить.

Пользователи/группы не назначены корпоративному приложению в портале Azure

Пользователи и группы должны быть добавлены в приложение предоставления Cato в портале Azure, прежде чем они могут быть синхронизированы в CMA. В этом разделе приведены пошаговые инструкции о том, как это проверить.

  • Перейдите к Корпоративные приложения > Приложение предоставления Cato > Пользователи и группы, и убедитесь, что пользователь или группа указаны.
  • В приведенном ниже примере видно, что 1 группа и 1 пользователь назначены приложению "Cato Networks Provisioning—APJ T1 Lab".
  • Если пользователь или группы не указаны в вашем приложении предоставления в Azure, обратитесь к Назначение пользователей/групп приложению предоставления

Фильтр обхвата в Пользователи/группы

  • Проверьте, настроены ли фильтры обхвата для пользователей или групп в настройке предоставления.
  • Перейдите к Корпоративные приложения > Приложение предоставления Cato > Предоставление > Сопоставления, затем выберите сопоставление пользователя или группы.
  • Просмотрите фильтры области начальных объектов, чтобы выяснить, исключают ли они пользователя или группу.
  • Если предоставление не удается из-за фильтра обхвата, пользователь/группа будет пропущена, и Azure покажет причину сбоя.
  • Чтобы устранить это, обратитесь к Устранение фильтров обхвата в пользователях/группах.

Предоставленные пользователи не могут подключиться к клиенту SDP

  • После предоставления SCIM в CMA пользователи сталкиваются с следующей ошибкой при попытке подключения через клиент SDP, особенно после ввода своего адреса эл. почты и поддомена.
  • Одной из возможных причин этой неудачи является проблема с лицензией
  • Обратитесь к разделу Устранение проблем с лицензией, чтобы узнать, связана ли эта проблема с лицензией и как ее решить.

Дубликаты пользователей в CMA

В CMA могут появиться дублирующиеся пользователи с одинаковым адресом эл. почты. Обычно один пользователь отключен, а другому назначена лицензия SDP.

Обратитесь к разделу Устранение дубликатов пользователей в CMA, чтобы узнать возможную причину этой проблемы и как ее решить.

Устранение обнаруженных проблем

Устранение проблем с учетными данными администратора

  • Войдите в свой CMA и перейдите в Доступ > Директории > SCIM, чтобы убедиться, что базовый URL совпадает с URL арендатора, настроенным в Azure.
  • Если базовый URL равен, попробуйте создать новый токен.
  • Скопируйте новый токен перед сохранением конфигурации в CMA. После этого введите новый токен в Azure и снова нажмите на Проверка соединения.

Устранение обязательного атрибута

  • Атрибут эл. почты обязателен. Если это поле отсутствует в информации о пользователе в поставщике идентичности (IdP), пользователь будет предоставлен в CMA, но в его профиле не будет адреса эл. почты.
  • Когда поле эл. почты отсутствует в профиле пользователя, система не может назначить лицензию SDP, что предотвращает успешное подключение пользователя через клиент SDP.

Назначение пользователей/групп приложению предоставления

  • Чтобы назначить пользователей или группы вашему приложению предоставления, нажмите на Добавить пользователя/группу, затем выберите "Пользователь и группы".
  • Затем справа появится панель для выбора соответствующих пользователей/групп для добавления.
  • При желании, после добавления пользователей и групп к приложению для предоставления, вместо ожидания обычного автоматического цикла предоставления, можно вручную предоставить этих пользователей/группы в CMA через "Предоставление по запросу."

    ПРИМЕЧАНИЕ: Предоставление вложенных групп не поддерживается

Устранение фильтров обхвата в пользователях/группах

  • Если фильтр обхвата исключает пользователя или группу по ошибке:
    • Отрегулируйте критерии фильтра обхвата, чтобы гарантировать включение пользователя/группы.
    • Убедитесь, что логика ваших фильтров (И/ИЛИ) соответствует предполагаемому поведению.
  • Для получения дополнительных сведений см. документацию Microsoft - Обсечение пользователей или групп для предоставления с помощью фильтров обхвата.
  • После внесения корректировок повторно запустите предоставление по запросу, чтобы убедиться, что пользователь/группа теперь включены.

Устранение проблем с лицензией

  • Перейдите в Доступ > Пользователи и нажмите на Справочник пользователей. Проверьте, назначена ли пользователю лицензия SDP. Скриншот ниже показывает, что пользователю Scim не была назначена лицензия SDP.
  • Затем перейдите в Доступ > Назначение лицензий, чтобы проверить, включена ли опция "Назначить лицензии SDP всем пользователям".
    • Если это так, проверьте, превышает ли общее количество пользователей общее количество лицензий SDP.
    • Если количество пользователей превышает доступные лицензии, свяжитесь с представителем по продажам компании Cato, чтобы обсудить возможности приобретения дополнительных лицензий SDP.
    • Если вы не уверены, кто это, не стесняйтесь связаться с Поддержкой.
  • Если выбрано "Назначить лицензии SDP выбранным пользователям или группам", убедитесь, что предоставленные SCIM пользователи включены в назначенные группы.

Устранение дубликатов пользователей в CMA

  • Когда пользователь удаляется в Azure, система добавляет значение ObjectID к значению UPN и устанавливает активный статус пользователя как ложный. Это действие деактивирует пользователя в базе данных SCIM и обновляет значение UPN, чтобы оно включало ObjectID+UPN. Это поведение соответствует документации Microsoft.

  • Если того же пользователя воссоздать в Azure с использованием того же адреса электронной почты, дублированный пользователь будет создан в обеих базах данных SCIM и CMA с различным ObjectID. На данном этапе UPN для дублированных пользователей будет различаться. В этом сценарии отключённый пользователь должен быть удалён в CMA, чтобы избежать дублирования.
  • Cato разрешает пользователям с дублированными адресами электронной почты, однако только один дублированный пользователь может получить лицензию SDP. Важно отметить, что UPN и ObjectID должны оставаться уникальными для всех служб каталога SCIM.

Замечания и ограничения

  1. Разные пользователи могут быть предоставлены через SCIM и LDAP. Однако, если пользователь предоставлен через SCIM и LDAP, предоставление SCIM имеет приоритет. В результате пользователь удаляется из групп, предоставленных LDAP, и добавляется в группы, предоставленные SCIM. Для получения подробной информации см. Предоставление пользователей с помощью SCIM и LDAP
  2. Если вы планируете переключаться между предоставлением SCIM и LDAP, сначала прочтите Изменение между предоставлением пользователей SCIM и LDAP чтобы обеспечить плавный переход.
  3. Хотя пользователи и группы могут быть удалены в CMA, мы рекомендуем удалять пользователей напрямую в вашем приложении SCIM. Подробности о правильном способе выполнения этой операции см. Удаление пользователей или групп из приложения SCIM.

Подготовка заявок в поддержку Cato

Отправьте заявку в поддержку с результатами вышеупомянутых шагов по устранению неполадок. Пожалуйста, включите следующую информацию в заявку:

  1. Описание проблемы и влияние на пользователей
    • Четкое описание проблемы, возникшей во время предоставления SCIM.
    • Обзор объема и влияния на затронутых пользователей (например, количество затронутых пользователей, полученные сообщения об ошибках и т.д.).
  2. Статус предоставления в CMA
    • Были ли успешны предоставления затронутых пользователей в CMA?
      • Если нет, анализ журналов может предложить дополнительные идеи и помочь выявить основную причину проблемы, способствуя дальнейшему устранению неполадок и их решению.
        • Войдите на www.portal.azure.com. Перейдите в Корпоративное приложение > Приложение предоставления Cato > Предоставление
        • Нажмите на "Журналы предоставления", чтобы просмотреть историю предоставления.
        • Нажатие на конкретное предоставление откроет панель "Подробности журнала предоставления" справа. Из информации ниже видно, что синхронизация для этого объекта была пропущена, потому что он не был привязан к приложению.
      • Пожалуйста, также попробуйте выполнить предоставление по запросу для затронутых пользователей и включите:
        • Скриншот результата (сообщение об успехе или ошибке)
        • Точное время выполнения онлайнового предоставления услуг
  3. Подключение к клиенту SDP
    • Могут ли пользователи, успешно подключенные, соединяться с клиентом SDP? 
      • Если нет, пожалуйста, предоставьте скриншот интерфейса клиента, показывающий ошибку при попытке подключения пользователя
      • Предоставьте журналы клиента, используя функцию Запись проблемы.
  4.  
  5.  

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев