Импорт пользователей в Cato

Эта статья рассматривает функции и параметры для импорта Пользователей SDP в ваш аккаунт в Cato для безопасного удаленного доступа к сети.

Обзор

Идентификация пользователя является основным элементом нулевого доверия, и Cato упрощает импорт и управление пользователями. Cato использует вашего существующего Поставщика Идентификационных Данных (IdP), который является централизованной службой для управления идентификацией пользователей, и поддерживает возможность легкого предоставления и синхронизации пользователей с вашим аккаунтом. IdP интегрируется с вашим аккаунтом Cato и автоматически импортирует и обновляет пользователей.

Это гарантирует, что у вас есть единственный источник истины для идентификации пользователей и обеспечивает вам консистентную идентификацию пользователей в вашей среде.

Cato поддерживает следующие методы импорта и создания пользователей:  

  • Импорт пользователей из IdP через LDAP

  • Импорт пользователей из IdP через SCIM 

  • Вручную создавайте пользователей в Приложении Управления Cato

Для получения дополнительной информации о поддерживаемых IdP в Cato, ознакомьтесь с разделом Использование Поставщика Идентификационных Данных для вашего аккаунта Cato.

Импорт пользователей с использованием LDAP

Вы можете предоставить пользователям доступ к вашему аккаунту с помощью LDAP для синхронизации пользователей из IdP в Cato. Cato поддерживает следующие IdP для импорта через LDAP:

  • Microsoft локальный или Azure Active Directory (AD)

    (Синхронизация групп с использованием протокола LDAP)

  • Okta

  • OneLogin (требуется vLDAP)

  • Jump Cloud

Для получения дополнительной информации о настройке предоставления LDAP с вашим IdP, ознакомьтесь со статьями в разделе Управление учетными записями пользователей LDAP.

Предварительные условия для импорта LDAP

  • Имя домена

  • Имя входа DN или Привязка DN и связанный пароль для аутентификации в AD или к LDAP-провайдеру

  • Базовый DN: Точка, с которой сервер LDAP начинает поиск аутентификации пользователя в вашем каталоге

  • Настройте входящие правила брандмауэра, чтобы позволить Cato подключиться к локальному AD или Azure AD

Жизненный цикл управления пользователями и группами

Процесс синхронизации LDAP происходит автоматически, один раз каждые 24 часа, в 0:00 по GMT. Любые обновления пользователей, удаленные пользователи или различия членства в группах в IdP синхронизируются с вашим аккаунтом.

Защита LDAP с помощью LDAPS

Cato предоставляет возможность улучшения безопасности при импорте пользователей через LDAP между вашим AD и Cato и перехода с LDAP на LDAPS. Cato использует TLS (SSL) для защиты подключения LDAP.  

Шаги для настройки LDAPS для вашего аккаунта Cato:

  1. Включите LDAPS на IdP (например, AD).

  2. В Приложении Управления Cato, включите шифрование для управления учетными записями пользователей LDAP.

  3. Cato пытается подключиться к IdP через порт 636.

Для облачных IdP, таких как Azure AD или Okta, Cato поддерживает только LDAPS, поскольку эти потоки проходят через общедоступный Интернет (который не является безопасным по своей природе).

Cato никогда не импортирует и не синхронизирует пароли для учетных записей пользователей IdP.

Преимущества импорта пользователей с помощью LDAP

LDAP - это давно устоявшаяся технология и практика для импорта пользователей.

Дополнительные ресурсы для импорта пользователей с помощью LDAP

Импорт пользователей с использованием SCIM

Определено SCIM стандарт для обмена информацией о идентификации между различными облачными приложениями и позволяет синхронизировать соответствующие данные идентификации между вашим IdP и вашим аккаунтом в Cato. 

Cato поддерживает следующие IdP:

  • Azure AD

  • Okta

  • OneLogin

  • OneWelcome

Предварительные условия для импорта SCIM

Cato поддерживает SCIM, начиная с версии 2.0 и выше

Преимущества импорта SCIM

  • Немедленно синхронизируйте пользователей из IdP с вашим аккаунтом Cato.

  • Обновления или изменения в членстве группы или профилях пользователей обновляются практически в реальном времени

  • Интегрируйте IdP с вашим аккаунтом Cato без настройки каких-либо входящих правил брандмауэра

  • SCIM широко поддерживается поставщиками IdP и легко интегрируется с вашим аккаунтом

Дополнительные ресурсы для импорта пользователей с помощью SCIM

Ручное создание пользователей в приложении управления Cato

Вы также можете создать пользователей вручную в приложении управления Cato. Ручное создание пользователей часто используется в специфических ситуациях и не является масштабируемым решением, так как требует постоянных усилий для управления жизненным циклом идентификации пользователя.

Для получения дополнительной информации о ручном создании пользователей, смотрите Работа с пользователями.

Предварительные условия для ручного создания пользователей

Учетная запись каждого пользователя в приложении управления Cato должна включать: имя, фамилию и адрес электронной почты.

Лучшие практики для импорта пользователей

  • Импорт пользователей с помощью SCIM обычно является лучшим решением, чем импорт пользователей с помощью LDAP:

    • SCIM работает практически в реальном времени, и любые изменения в службе каталогов автоматически и быстро синхронизируются с вашим аккаунтом Cato.

    • LDAP автоматически синхронизируется с вашим аккаунтом один раз каждые 24 часа.

  • SCIM — это более простой, последовательный, современный и масштабируемый способ управления идентификацией из централизованного IdP в пользовательские приложения.

  • Мы рекомендуем использовать LDAP для импорта пользователей, только если невозможно использовать SCIM.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев