使用 Okta 进行 SCIM 配置

本文介绍如何使用 Okta SCIM 应用程序自动同步来自您的 Okta 账户的用户到您的 Cato 账户。

支持的功能

Cato Networks 提供新一代安全网络架构,消除基于脱节点解决方案的传统 IT 方法相关的复杂性、成本和风险。 从单点登录 (SSO) 到用户配置,Okta 的 Cato 集成在整个用户生命周期中处理用户访问和群组,包括:

  • Cato 管理应用程序中创建和删除用户

  • 从 Okta 同步用户和属性到 Cato 管理应用程序

  • 创建用户 - 从 Cato 管理应用程序导入并创建用户到 Okta

  • 更新用户属性 - 从 Cato 管理应用程序同步用户属性变更上传到 Okta

  • 停用用户

  • 管理员组推送

  • 用户可以使用电子邮件或 UPN 进行认证,具体取决于您的 Okta 配置。

要求

确保使用 Okta SCIM 应用程序之前,您在 Okta 中具有配置用户配置的管理员权限。

已知限制

  • 不支持嵌套群组配置

  • SCIM 仅支持使用电子邮件作为用户ID的账户(您可以通过Cato支持确认此设置)

  • 您可以使用 LDAP 或 SCIM 来配置用户(不能同时使用)

  • 从 IdP 应用程序中移除一个用户不会从 Cato 管理应用程序中移除它,而是禁用用户

  • 不支持管理员组链接

  • SCIM 同步覆盖已有名称相同的 LDAP 群组。 更多信息, 请参阅如何 SCIM 同步覆盖现有 LDAP 群组

配置自动用户同步到 Cato

您可以使用 Okta 中提供的 Cato SCIM 应用程序,将用户从您的 Okta 账户连接并同步到您的 Cato 账户。 在 Cato 管理应用程序 中为您的账户启用 SCIM 配置。

在 Okta 账户中添加 Cato SCIM 应用程序,然后配置设置以连接到您的 Cato 账户。 然后,您可以定义要同步的 Okta 群组和用户,Okta 会立即启动自动用户同步。

您在身份提供者(IdP)中的用户状态会自动同步到您的 Cato 账户。 例如,当您在 IdP 中禁用用户时,他们将在 Cato 账户中同步为已禁用。

注意

注意: 如果需要,您可以编辑属性映射以符合您组织的特定要求。 见下文,信息搜集

为 SCIM 应用程序配置 Cato 管理应用程序

Cato 管理应用程序 中启用 SCIM 配置并将网址和令牌复制到文本文件。 您将在 Okta 账户中配置的 Cato SCIM 应用程序中输入这些设置。

连接 Cato 管理应用程序到 SCIM 应用:

  1. Cato 管理应用程序中,从导航菜单选择 访问 > 目录服务并点击 SCIM 标签页。

    SCIM.png

  2. 选择 启用 SCIM 配置以设置您的账户连接到 SCIM 应用。

  3. 点击 保存

  4. 复制并粘贴 SCIM URL 和令牌到空白文本文件。

    1. 基本URL中,点击复制图标 copy.png 将 SCIM URL 复制到剪贴板并粘贴到文本文件。

    2. Bearer 令牌中,点击复制图标 copy.png 将唯一账户令牌复制到剪贴板并粘贴到文本文件。

在 Okta中添加 Cato SCIM 应用程序

从 Okta 应用商店添加 Cato SCIM 应用程序,然后设置应用程序以将用户自动同步到 Cato。 输入从 Cato 管理应用程序 复制的 SCIM 配置网址和令牌。

创建 Cato SCIM 应用:

  1. 登录到您的 Okta 账户并进入管理员控制台。

  2. 从菜单栏中,单击 应用程序 > 应用程序

    SCIM_Okta_AddApp.png

  3. Cato SCIM 应用添加到您的 Okta 账户:

    1. 点击 添加应用程序

    2. 搜索 Cato 网络配置并选择应用程序。 应用程序概览在新窗口中打开。

    3. 单击 添加添加 Cato 网络配置 向导打开。

      Okta_GeneralSettings.png

    4. 输入 应用程序标签 并配置应用程序设置。

    5. 点击 下一步

    6. 配置用户身份验证和凭据的设置。

      Okta_SSO_SWA.png

    7. 确保设置 更新应用程序用户名创建和更新

    8. 点击 完成Cato SCIM 应用已添加到您的账户。

  4. 点击 配置中 标签,打开 集成 窗口。

  5. 点击 配置 API 集成

  6. 选择启用 API 集成

    SCIM_Okta_Integratoin.png

  7. 配置 Okta 与您的 Cato 账户集成:

    1. 基本URL中,粘贴您从 Cato 管理应用程序复制的 URL。

    2. API 令牌中,粘贴您从 Cato 管理应用程序复制的令牌。

  8. 点击 测试 API 凭证 确保 Cato SCIM 应用可以连接到您的 Cato 账户。

  9. 点击 保存

配置 SCIM 应用程序进行配置

在SCIM应用程序中配置设置,将用户配置到您的Cato账户。 有关SCIM属性的更多信息,请参见下方信息搜集

配置 SCIM 应用以配置用户:

  1. 在新 SCIM 应用程序中,点击 配置中 标签。

  2. 设置 部分中选择 上传到应用程序

  3. 配置 上传到应用程序 设置,点击 编辑

  4. 为这些选项选择启用

    • 创建用户

    • 更新用户属性

    • 停用用户

  5. 点击 保存

更新 Okta 的 Cato SCIM 应用

不时地,Cato 将会向其 SCIM 模式添加属性,为您提供有关用户更详细的信息。 要在 CMA 中访问这些属性,您需要使用新属性更新 Okta 中的 Cato 应用并配置创建和更新用户时包含哪些属性。

更新 Cato SCIM 应用:

  1. 导航到 Okta 管理控制台 > 应用程序 > Cato Networks SCIM 应用 > 配置文件编辑器 > 注册用户配置文件

  2. 点击 添加属性

  3. 定义您要添加的属性如下:

    必填字段值为 否 时,该字段在 CMA 中是可选的

    属性名称 (Cato SCIM)

    Okta 外部名称

    数据类型

    必填。

    多值

    SCIM 架构/命名空间

    标题

    标题

    字符串

    urn:ietf:params:scim:schemas:core:2.0:User

    部门

    部门

    字符串

    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

  4. 导航到 Okta 管理控制台 > 应用程序 > Cato Networks SCIM 应用 > 配置中 > 上传到应用程序

  5. 应用用户属性下,启用为每个发送到CMA的属性的 创建更新 选项,当 SCIM 应用处理创建或更新请求时。

  6. 点击 保存

同步 VPN 用户到您的 Cato 账户

在SCIM应用能够连接到您的账户后,分配您正在同步至Cato的用户。 然后您可以继续下一节以向应用程序添加群组。

配置单个用户到您的 Cato 账户:

  1. Cato SCIM 应用程序中,单击分配标签页。

    SCIM_Okta_Assign.png

  2. 将您添加到 SCIM 应用中进行同步的人员和群组分配到您的Cato账户:

    1. 点击 分配 并选择 人员

    2. 对某人点击 分配

    3. 点击 保存并返回

    4. 重复之前的步骤为所有人员或管理员组,然后点击 完成

    用户从 Okta 同步到您的Cato账户。

同步 Okta 群组到您的 Cato 账户

您可以在 Okta 中分配正在同步到Cato的用户群组。 然后创建或分配 Okta 推送群组到 SCIM 应用,应用程序将群组和关联的用户同步到您的Cato账户。

注意

注意: 用户必须是推送群组的成员,并分配到 Okta Cato OIN 应用程序中,以便在应用中正确填写其群组成员身份。

配置 Okta 群组到您 Cato 账户:

  1. 为 SCIM 应用分配您要添加以同步到您的 Cato 账户的群组:

    1. 分配部分中,点击 分配 并选择

    2. 对组点击 分配

    3. 点击 保存并返回

    4. 重复之前的步骤为所有组,然后点击 完成

  2. 推送组 部分。

  3. 选择 推送组 > 通过名称查找群组

  4. 输入 Okta 推送群组的名称并选择该群组。

    SCIM_Okta_PushGroup.png

  5. 如果您需要添加更多的推送组,点击 保存并添加另一个,否则点击 保存。 应用程序将群组和相关用户同步到您的 Cato 账户。

分配 SDP 许可证

在 IdP 中,定义同步到您的 Cato 账户的群组和用户。 在完成初始同步后,所有用户都会在Cato管理应用程序中创建并在用户目录页面中可见。

然后可以向用户分配 SDP 许可证,更多信息请参考 向用户分配 ZTNA 许可证

从 SCIM 应用中移除用户或用户组

注意

重要:虽然用户可以在 CMA 中删除用户,但我们建议您直接从 Cato 管理应用程序中删除使用 SCIM 应用程序配置的用户或用户组。

当您想要移除配置到您的Cato账户的用户或用户组时,请在应用中取消分配他们。 下一次 SCIM 应应用同步时,用户和用户组会被自动禁用。

移除同步到您的 Cato 账户中的用户或用户组:

  1. Cato SCIM 应用中,取消分配用户或用户组。

    在下次同步时,SCIM 应用会在您的Cato账户中禁用用户或用户组。

  2. (可选)在用户或组被禁用后,您可以从Cato 管理应用程序删除他们。

    在您可以手动删除用户或用户组之前可能需要最多 15 分钟。

在 CMA 中删除的用户而不通过 SCIM 应用程序,永久删除。

架构发现

您可以使用应用程序的配置中标签页中的属性映射来配置SCIM属性。 属性的应用于设置为创建和更新

属性

Cato VPN 用户属性

用户名

用户名

在Okta 应用的 登录 设置中配置 电子邮件 选项

givenName

user.firstName

姓氏

familyName

user.lastName

主要电子邮件

电子邮件

user.email

显示名称

displayName

user.displayName

主要电话

primaryPhone

属性类型 - 表达式

(user.primaryPhone != null && user.primaryPhone != '') ? user.primaryPhone : ''

主要电话类型

primaryPhonetype

属性类型 - 表达式

(user.primaryPhone != null && user.primaryPhone != '') ? '工作' : ''

职位

title

user.title

部门

department

user.department

了解 SCIM 配置的事件

每当用户和群组因未满足客户端连接策略的要求而被阻止时,Cato管理应用程序会生成事件。

每小时,Cato 管理应用程序发送电子邮件警报,汇总SCIM配置操作(成功或失败)。

下表解释了不同的事件。

事件类型

操作

描述

SCIM 配置

成功

将用户或组与 SCIM 应用同步到您的账户的操作已成功。

SCIM 配置

失败

SCIM 应用程序未能将 IdP 同步到您的账户。 事件消息 解释了同步失败的原因。

SCIM 配置

已禁用

IdP 中的已禁用用户已成功同步并禁用在您的 Cato 账户中。

删除活跃的 SCIM 目录

您可以从您的账户中删除一个 SCIM 目录。 删除目录后,其用户和组的更改不再同步。 您可以在目录仍有活跃用户时进行删除。 删除后,那些用户不再与目录关联。

要删除活跃的 SCIM 目录:

  1. 导航到 访问 > 目录服务

  2. SCIM 标签页中,点击要删除的目录的三个点。

  3. 点击 删除

  4. 在确认弹出窗口中,点击 删除

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论