Переключение между управлением учетными записями пользователей SCIM и LDAP

Эта статья объясняет аспекты смены методов управления учетными записями с SCIM на LDAP или наоборот.

Обзор

Cato использует вашего существующего поставщика идентификационных данных (IdP), который является централизованным сервисом для управления идентификаторами пользователей, и поддерживает способность легко настраивать и синхронизировать пользователей с вашим аккаунтом. IdP интегрирован с вашим аккаунтом Cato и автоматически импортирует и обновляет пользователей. Это гарантирует, что у вас есть единый источник истины для идентификации пользователей и обеспечивает одинаковую идентификацию пользователей во всей вашей среде. Для получения дополнительной информации о предоставлении пользователей с помощью SCIM и LDAP см. Предоставление пользователей с помощью SCIM и LDAP.

Cato поддерживает следующие методы для импорта и создания пользователей:

  • Импортировать пользователей из IdP через SCIM

  • Импортировать пользователей из IdP через LDAP

  • Создать пользователей вручную в Приложении Управления Cato

Для получения дополнительной информации о том, как настроить каждый метод, см. Службы каталогов.

Преимущества импорта SCIM

  • Осведомленность Пользователя поддерживается начиная с Клиент для Windows версии 5.4 и выше и Клиент macOS версии 5.3 и выше. Для получения дополнительной информации см. Использование Агент идентификации Cato для Осведомленность Пользователя.

  • Немедленно синхронизируйте пользователей из IdP с вашим аккаунтом Cato.

  • Обновления или изменения в членстве в группах или профилях пользователей обновляются практически в реальном времени.

  • Интегрируйте IdP с вашим аккаунтом Cato без настройки каких-либо входящих правил файервола.

  • SCIM широко поддерживается поставщиками IdP и легко интегрируется с вашим аккаунтом.

Изменение способа, которым пользователи предоставляются

Перед тем как изменить предоставление ваших пользователей, важно понимать влияние на пользователей и группы пользователей.

Смена предоставления от LDAP к SCIM

Это правила, которые применяются к пользователям и группам пользователей при смене предоставления от LDAP к SCIM:

  • Пользователи, предоставленные через SCIM, перезаписывают пользователей, предоставленных через LDAP, и пользователей, созданных вручную

    • Пользователи идентифицируются как совпадение на основании их UPN или электронной почты

      Примечание

      Примечание: При смене предоставления от LDAP к SCIM, следуйте этим лучшим практикам:

      1. Убедитесь, что пользователи, предоставленные через LDAP:

        • Имеют тот же UPN или адрес электронной почты, что и пользователи, которых предполагается предоставить через SCIM

        • Являются существующими пользователями в Приложении Управления Cato

      2. Если UPN или адрес электронной почты различаются, создаются дублирующие пользователи.

      3. Назначьте Лицензия SDP всем пользователям SCIM. Это позволяет избежать потери Лицензия SDP, когда их предоставление переходит от LDAP к SCIM.

      4. Если дублирующие пользователи были созданы ошибочно, удалите дублирующего пользователя из Приложение Управления Cato, обновите адрес электронной почты в вашем IdP и затем предоставьте пользователя снова.

        • Если существует более одного пользователя с одним и тем же Идентификатор объекта или UPN, пользователь SCIM не перезаписывает существующего пользователя SCIM и событие будет сгенерировано.

  • Группы пользователей, предоставленные через SCIM, перезаписывают группы пользователей, предоставленные через LDAP. Как только включено правило предоставления SCIM, никакие обновления не могут быть сделаны в группах пользователей, предоставленных через LDAP в Приложение Управления Cato.

    • Группы пользователей идентифицируются как совпадения на основе их имени или идентификатора объекта

    • Если существуют несколько групп с одним и тем же идентификатором объекта или именем группы, перезапись не выполняется. Мы рекомендуем удалить дублирующие группы для успешной перезаписи

    • Пользователи удаляются из всех групп пользователей, предоставленных через LDAP, и назначаются в группы пользователей, предоставленные через SCIM

    • Например:

      • 100 пользователей находятся в группе пользователей, названной R&D, которая была предоставлена через LDAP

      • 10 пользователей находятся в группе пользователей, названной R&D, которая была предоставлена через SCIM

      • В Приложение Управления Cato группа пользователей R&D содержит только тех 10 пользователей, которые были предоставлены через SCIM

Чтобы постепенно перейти от управления учетными записями пользователей LDAP к SCIM:

  1. В меню навигации нажмите Доступ > Назначение лицензий.

  2. Выберите Назначить Лицензия SDP выбранным пользователям или группам.

  3. В выпадающем списке выберите Системная группа и Все пользователи SCIM.

    Это предотвращает потерю пользователями их лицензии SDP.

  4. Включить провизионинг SCIM. Для получения дополнительной информации см. Предоставление пользователей через SCIM.

    Пользователи предоставляются через SCIM в соответствии с вышеописанными правилами.

    Примечание: После того как пользователь предоставлен через SCIM, его удаляют из групп, предоставленных LDAP. Это может повлиять на применяемые политики.

Изменение с LDAP на провизионинг SCIM Azure для гибридного подключения Azure AD

Правила предоставления, применяемые к пользователям и группам пользователей при изменении с LDAP на SCIM для локальных AD и Azure AD, такие же, как при изменении с LDAP на провизионинг SCIM, описаны выше.

Пользователи, предоставленные через SCIM, должны иметь лицензию SDP, чтобы их можно было идентифицировать по Осведомленности Пользователя. Чтобы идентифицировать пользователей без лицензии SDP, предоставьте их через LDAP. Пользователь должен один раз пройти аутентификацию для идентификации.

В Клиенте для Windows v 5.9 и выше лицензия SDP не требуется, и пользователю не нужно один раз проходить аутентификацию, чтобы быть идентифицированным через Агента идентификации.

Изменение с провизионинга SCIM на LDAP

Это правила, применяемые к пользователям и группам пользователей при изменении с провизионинга SCIM на LDAP:

  • Пользователи, предоставленные через LDAP, не перезаписывают пользователей, предоставленных через SCIM

    • Перед изменением удалите всех пользователей, предоставленных SCIM, из IdP. Это отключает пользователя в Приложении Управления Cato

  • Группы пользователей, предоставленные через LDAP, не перезаписывают группы пользователей, предоставленные через SCIM

    • Перед изменением удалите все группы пользователей, предоставленные SCIM, из IdP

  • Перед изменением удалите пользователей и группы пользователей, предоставленных SCIM, из политик и удалите из Приложения Управления Cato

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев