Подготовка к миграции на SCIM (часть 1)

Обзор

Миграция от предоставления пользователей на основе LDAP к SCIM (Система управления идентичностью между доменами) упрощает управление идентичностью и улучшает интеграцию с современными поставщиками идентичности (IdP), такими как Microsoft Entra ID. Эта статья предоставляет техническим администраторам четкий путь для миграции управления существующими пользователями и группами из серверов LDAP на SCIM в приложении управления Cato (CMA).

Миграция использует существующие данные пользователей, уже синхронизированные через LDAP, и переводит обязанности по предоставлению на SCIM, обеспечивая минимальные перебои и повышенную оперативную эффективность. Конкретно это руководство использует Microsoft Entra ID в качестве примера IdP, подробно описывая необходимые настройки и сопоставления полей. Тем не менее, изложенные принципы и процедуры можно легко адаптировать к другим IdP, которые поддерживают SCIM.

После завершения подготовки к миграции на SCIM провиженинг, продолжайте с:

  1. Тестирование провиженинга пользователей (Часть 2)

  2. Миграция LDAP в SCIM (Часть 3)

Предварительные условия

  1. Временно отключите режим Всегда Включено для всех пользователей, которых вы мигрируете.

  2. Добавить группу пользователей Все пользователи SCIM на страницу Назначение лицензий.

    Причина этого заключается в том, что пользователи могут быть отключены от сети во время миграции.

  3. Проверьте, что количество пользователей, подлежащих миграции, не превышает количество назначенных лицензий SDP.

    Если пользователей больше, чем лицензий, приоритезируйте миграцию групп, требующих лицензий, а затем удалите группу пользователей Все пользователи SCIM со страницы назначения лицензии перед продолжением остальной миграции.

  4. Очистите каталог LDAP и удалите всех ненужных пользователей и группы

  5. Обновите настройки в синхронизации LDAP, чтобы удалять пользователей, а не отключать их, если они больше не существуют.

    1. В CMA перейдите в Доступ > Директории сервисов и нажмите на вкладку LDAP.

    2. Выберите домен LDAP, и в разделе Основные выберите Отключить.

      image1.png

  6. Проверьте существующие группы AD на наличие вложенных групп - Cato не поддерживает вложенные группы

  7. Найдите правила межсетевого экрана для WAN или Интернета, где важные группы пользователей являются Источником/Получателем, и добавьте группу пользователей Все пользователи к правилу.

    Убедитесь, что вы отмените это изменение после миграции.

    1. Определите правила, где пользователи были добавлены индивидуально, и преобразуйте этих пользователей в группы.

      Примечание: Это не обязательный шаг и зависит от перерыва в работе - допустимо ли, чтобы пользователи не имели доступа к ресурсам во время миграции.

  8. Убедитесь, что настройки групп пользователей в SCIM такие же, как настройки групп LDAP. Например, пользователи домена LDAP имеют ту же группу в приложении SCIM

  9. Атрибуты пользователей и групп, такие как email, UPN, имя, фамилия, должны быть одинаковыми в IdP (например, Entra ID, Okta) и LDAP (AD), чтобы избежать ошибок обновления или дублирования объектов.

  10. Если необходимо внести изменения в email или другие атрибуты в рамках миграции, эти корректировки следует сделать либо до, либо после перехода, чтобы предотвратить конфликты в CMA.

    Мы настоятельно рекомендуем использовать период заморозки изменений во время миграции.

  11. Необходимо предоставить достаточные права для настройки приложения IdP.

  12. Верификация атрибутов пользователей и групп перед миграцией должна быть выполнена с использованием инструментов, таких как PowerShell, чтобы выявить и исправить любые несоответствия между провайдерами LDAP и SCIM до начала обслуживания.

  13. (По желанию) Создайте экспорт (или снимки экрана) затронутых страниц CMA: правил межсетевого экрана (Интернет / WAN), сетевых правил, политики Всегда Включено, политики клиентской подключения, каталога пользователей и групп пользователей.

  14. Проверьте окно обслуживания для сервисов CMA, чтобы оно не совпадало с фактическим окном обслуживания миграции: https://status.catonetworks.com

Подготовка к миграции пользователей

Это логика для пользователей, предоставленных через SCIM в вашем аккаунте Cato:

  • Пользователи, предоставленные через SCIM, заменяют пользователей, предоставленных через LDAP и созданных вручную. 

  • Пользователи сопоставляются на основе внутреннего ID, ID объекта, UPN или email.

Убедитесь, что пользователи, предоставленные через LDAP, соответствуют этим условиям:

  1. Существующие пользователи находятся в CMA Доступ > Пользователи > Каталог пользователей.

  2. Имеют тот же UPN или адрес электронной почты, что и пользователи, которым будет предоставлен доступ с помощью SCIM.

    1. Если UPN или адрес электронной почты отличаются, будут созданы дублирующиеся пользователи.

    2. Если дублирующиеся пользователи были созданы ошибочно, выполните следующие шаги:

      1. Удалите пользователя из приложения предоставления SCIM сети Cato.

      2. Удалите дублирующего пользователя из CMA.

      3. Обновите адрес электронной почты в LDAP IdP и затем снова предоставьте доступ пользователю.

  3. Если больше одного пользователя имеют одинаковый ID объекта или UPN, пользователь SCIM не заменяет существующего пользователя LDAP, и будет сгенерировано событие.

Подготовка к миграции групп пользователей

  1. Группы пользователей, предоставленные через SCIM, заменяют группы пользователей, предоставленные через LDAP.

  2. Если существуют несколько групп с одинаковым ID объекта или названием группы, замена проваливается. В этом случае рекомендуем удалить дублирующиеся группы.

  3. Группы пользователей для LDAP - после завершения миграции на SCIM, пользователи автоматически удаляются из групп пользователей LDAP и добавляются в новые группы пользователей SCIM.

Пример миграции групп пользователей: Если пользователь является частью нескольких групп пользователей, он останется активным в группах пользователей, которые мигрируются на SCIM, и временно удалится из групп пользователей, которые еще не мигрированы (отмечены как LDAP в CMA). Как только все группы пользователей мигрируются на SCIM, пользователи будут снова активированы в этих группах пользователей. Это может вызвать простой для некоторых пользователей, когда правила с различными типами групп пользователей (SCIM и LDAP) используются в CMA для некоторых приложений, и типы групп пользователей не находятся в одном пакете миграции.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев