Решение проблем с предоставлением SCIM

Обзор

Предоставление SCIM — это функция службы каталогов, используемая поставщиком удостоверений (IdP) для предоставления пользователей в Приложении Управления Cato (CMA). Невозможность завершить это предоставление означает, что пользователи не будут добавлены в CMA. Этот сценарий предоставляет рекомендации для устранения проблем в процессе предоставления SCIM. 

Симптомы

Проблемы с предоставлением SCIM могут проявляться различными способами. Администратор может отметить следующие симптомы:

  • Предоставление SCIM не может быть включено
  • Ни одного пользователя невозможно добавить в CMA через предоставление SCIM
  • Новые пользователи добавляются в CMA, но работают неправильно
  • Невозможно добавить дополнительных пользователей в CMA через предоставление SCIM
  • Пользователи SCIM были обновлены, но изменения не отражены в CMA

Возможные причины 

Ниже приведены возможные причины, которые вы можете выявить во время устранения неполадок

  • Учётная запись не соответствует требованиям для предоставления SCIM
  • Произошло несоответствие между Идентификаторами IdP и CMA
  • Атрибуты отсутствуют в IdP и не могут быть переданы в CMA
  • Недостаточно лицензий для предоставления пользователям
  • Группы в IdP не назначены приложению
  • Пользователь или Группа неправильно сфокусированы в приложении для предоставления
  • Требуемые пользователи или группы вложены в IdP
  • Пользователь или Группа не обновили необходимые поля от приложения для предоставления до CMA

Устранение неисправностей 

Шаги по устранению неисправностей, с которыми может столкнуться Администратор, перечислены ниже. Эти шаги предназначены для выявления возможных причин для рассмотренных проблем. Шаги по устранению будут выделены позже в сценарии.

Устранение неисправностей, что предоставление SCIM не может быть включено

Убедитесь, что учетная запись соответствует требованиям для предоставления SCIM

При попытке включения SCIM обратите внимание на сообщение об ошибке, которое отображается. В данном случае "Не могу включить предоставление SCIM. Пожалуйста, свяжитесь с Поддержкой и укажите ID Аккаунта - Конфигурация Электронной почтой"

Cant enable.png

Устранение первоначальных ошибок предоставления SCIM не удается добавить пользователей в CMA

Подтвердите, что учетные данные соответствуют в приложении для предоставления

Перейдите в приложение SCIM > Предоставление > Предоставление > Администраторские Данные и нажмите Тест Соединения , чтобы просмотреть сообщение об ошибке:

Тест предоставления.png

Проверьте доступные лицензии

Проверьте события для аккаунта в разделе Мониторинг > События примените фильтр: Тип События - Система

Недостаточно Лицензий.png

Устранение неисправностей добавления новых пользователей в CMA, которые работают неправильно

Подтвердите, что атрибуты заполняются правильно в CMA

CMA не может назначить лицензии пользователям, у которых отсутствует обязательный атрибут электронной почты.

Проверьте запись пользователей в Доступ > Пользователи > Справочник Пользователей и подтвердите, что поле E-mail заполнено корректно.

Нет почты.png

 

Проверьте события для аккаунта в разделе Мониторинг > События примените фильтр: Тип События - Система

Failed to Assign Licence.png

 

Проверьте доступные лицензии

Проверьте события для аккаунта в разделе Мониторинг > События примените фильтр: Тип События - Система

Недостаточно Лицензий.png

 

Устранение неисправностей добавления пользователей через SCIM предоставление недоступно

Проверьте, где пользователи или группы отсутствуют в CMA

Если вы не видите ожидаемых пользователей или групп в CMA в разделе Доступ > Пользователи > Справочник Пользователей или Доступ > Группы Пользователей.

Для Справочника Пользователей вы можете фильтровать по источнику SCIM

Source SCIM.png

 

Для Групп Пользователей смотрите Тип: Определено SCIM.

Определенные Группы SCIM.png

 

Проверьте причину сбоя предоставления, используя функцию "предоставление по запросу"

В приложении для предоставления вы можете подтвердить скопление пользователя, используя функцию предоставление по запросу. Перейдите в Корпоративные приложения > Приложение для предоставления Cato > Предоставление > Предоставление по запросу введите данные пользователей и нажмите Предоставить.

После сбоя вы можете просмотреть подробности пропущенного действия

Отдел в объеме пользователя.png

В этом сценарии мы видим, что пользователь принадлежит к отделу Братство, который не соответствует правилам фокусировки «Нет мутантов», которое имеет условие отдел НЕ РАВНО «Братство»

Мистик.png

Проверка на другие ошибки предоставления.

Могут быть другие сценарии, когда группа не является частью приложения, просмотрите отображаемое сообщение и определите причину.

В данном случае группа активна и соответствует фокусировке, но сообщается как не назначена приложению:

Группа в объеме.png

Устранение проблем с тем, что пользователи SCIM были обновлены, но изменения не отражаются в CMA

Пользователи могут иметь обновленные атрибуты в приложении SCIM, но это не отражается, когда завершена синхронизация предоставления.

Решение обнаруженных проблем

Решение, что аккаунт не соответствует требованиям для предоставления SCIM

Вам нужно будет открыть запрос в Поддержку Cato. Ознакомьтесь со секцией по Открытию Запросов в Поддержку Cato. 

Решение проблемы несоответствия учетных данных между IdP и CMA

Перейдите в приложение SCIM > Предоставление > Предоставление > Администраторские Данные. Убедитесь, что учетные данные (URL арендатора и токен) для приложения являются действительными. 

Учетные данные доступны в CMA в разделе Доступ > Службы Каталогов > SCIM

SCIM Provisioning in CMA.png 

Это можно проверить, нажав кнопку Тест Соединения изнутри приложения для предоставления.

Тест предоставления.png

 

Решение проблем с отсутствующими атрибутами в IdP, которые не могут быть переданы в CMA

Перейдите в Корпоративные приложения > Приложение для предоставления Cato > Предоставление > Предоставление > Сопоставления, затем выберите Предоставление пользователей Microsoft Entra ID в разделе Сопоставление Атрибутов и убедитесь, что Имя Основного Пользователя сопоставлено, а также адрес Электронной Почты

Сопоставление Атрибутов.png

 

Решение недостатка лицензий для предоставления пользователям

В CMA перейдите в Администрирование > Лицензия > Пользователи и убедитесь, что есть достаточное количество лицензий, чтобы предоставить количество пользователей, которых вы пытаетесь добавить. 

Лицензии в CMA.png

Если у вас недостаточно лицензий, пожалуйста, отвяжите/отключите/удалите неактивных пользователей или свяжитесь с вашей командой продаж для дополнительных вариантов лицензий.

 

Решение проблемы, что группы в IdP не назначены для приложения предоставления

Перейдите в Корпоративные приложения > Приложение для предоставления Cato > Пользователи и Группы и убедитесь, что пользователь/группа перечислены.

Назначенные группы.png

Если отсутствуют, их можно добавить через кнопку Добавить пользователя/группу

Решение проблемы, что пользователь или группа не сфокусированы правильно в приложении

Перейдите в Корпоративные приложения > Приложение для предоставления Cato > Предоставление > Предоставление > Сопоставления, затем выберите сопоставление Пользователи или Группы. Убедитесь, что фильтры Объекта Источника включают соответствующего пользователя/группу. 

Сопоставление для Приложения.pngОбласть Объекта Источника.pngФильтр сфокусирования пользователя.png

Примечание: При использовании нескольких фильтров сфокусирования используется логика ИЛИ, тогда как, при использовании нескольких атрибутов в фильтре используется логика И.

Решение необходимости гнездования необходимых Пользователей или Групп в IdP 

Подтвердите, что при добавлении групп в приложение для предоставления они добавляются как индивидуальные записи и не являются вложенными в другие группы.

Гнездование Братства.png
Гнездованное Назначение.png

Решение обновления пользователей SCIM, но изменения не отражены в CMA

При выполнении синхронизации подтвердите, что одно из следующих полей для пользователя в вашем IdP было обновлено.
  • Электронная почта
  • UPN
  • Имя
  • Фамилия
  • Номер телефона
 
Если проблема все равно возникает, попытайтесь удалить пользователя из вашего IdP, если возможно, и затем проверьте, переходит ли пользователь в отключенное состояние в CMA. 
 
Если нет, пожалуйста, передайте в Поддержку.

Создание заявок в Поддержку Cato

Если следование этому руководству не решило проблему, отправьте тикет в Поддержку, используя эту Базу Знаний

Чтобы получить наиболее полезный ответ на запрос, администратор должен предоставить результаты выполненных шагов по устранению неполадок во время использования этого плейбука. Включая, например:

  • Название/номер аккаунта
  • Подробности о используемом IdP провайдере
  • Скриншоты из IdP, содержащие соответствующие UPN пользователей
  • Подробности о группах пользователей из IdP

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев