本文讨论如何使用SCIM协议将用户配置到您的Cato 账户。
SCIM定义了一种跨不同云应用供应商交换身份信息的标准。 例如,通过SCIM,您可以在Cato账户中轻松创建、更新或批量删除用户数据。
用户信息从您的IdP安全同步到Cato以创建用户。 在IdP中对用户详情的任何变更几乎实时反映在Cato中。 例如,如果员工离开公司,其账户将从公司IdP中删除。 此变更与Cato同步后,该用户将被删除。
在“目录名称”列中,您可以查看哪些用户是导入的,哪些用户是手动创建的 - 导入的用户显示为 SCIM 目录名称,手动创建的显示为手动。 您还可以按目录名称进行过滤,或者查看系统中手动添加的所有用户。
一旦用户通过SCIM配置,他们就可以被分配许可证并包含在策略中。
注意
注意: 添加新SCIM提供商或目录不应用于迁移现有目录。 有关迁移用户的信息,请参阅本部分中的文章。
使用SCIM配置用户具有以下优势:
- 立即将用户从IdP同步到您的Cato账户。
- 对群组会员资格或用户资料的更新或变更接近实时更新
- 将IdP与您的Cato账户集成,不需配置任何入站防火墙规则
- SCIM受到IdP供应商广泛支持,并且易于与您的账户集成
此流程解释了用户如何从您的IdP配置,然后分配许可证并添加到策略中,以便他们可以安全地连接到网络。
- 在您的IdP中,定义要配置到Cato的用户和/或群组。
- 配置与Cato的自动用户同步。
- 给必需的用户分配许可证
- 将策略应用到用户
支持SCIM用户配置的IdP如下:
- Azure
- Okta
- One Login
- DTS
有关如何在每个身份提供者中配置SCIM配置的更多信息,请参见SCIM 配置用户和使用身份提供者为您的Cato账户。
我们建议您在身份提供者中为用户或群组分配或取消分配SCIM应用程序。 但是,也可以直接从CMA启用、禁用和删除使用SCIM提供的用户和群组。 这些变更会自动同步到SCIM服务。
注意
注意:在CMA中禁用或删除的用户是通过SCIM配置的:
- Entra ID将在下一个配置周期里被重新激活和启用。 Entra会覆盖禁用或删除的状态,并自动重新启用用户。
- Okta
- 已禁用的用户 — 仍保持禁用状态。 Okta在发送更新时会保留禁用状态。 在CMA中重新启用用户之前,将被禁用的用户重新分配到Okta SCIM应用程序上会失败。
- 被删除的用户 — 在SCIM服务中仍然不活跃。 要重新配置已删除的用户,请先取消分配该用户从Okta应用程序中,然后重新分配。 用户已在SCIM服务和CMA中重新激活。
当您想要从通过SCIM应用配置的Cato账户中删除用户或群组时,请在应用中取消分配他们。 在下次SCIM应用与您的账户同步时,用户和群组将自动被禁用。
如果您要删除或更改SCIM提供商,请确保在从CMA中删除您的SCIM提供商配置之前,从SCIM应用中删除所有导入的用户或群组。 SCIM应用同步后,这些实体在CMA中被禁用。
禁用或移除具有ZTNA (SDP)许可证的SCIM配置用户时,ZTNA许可证将被取消分配并可供其他用户使用。
删除后重新配置用户组
在重新配置删除的用户组时,不同的IdP行为有所不同:
- Entra ID: 重新配置删除的用户组会重新创建,但成员关系不会恢复。 要恢复成员关系,请将该群组从Entra应用程序中移除,然后重新添加回去。 会员关系将在下一个配置周期里恢复。
- Okta: 从Okta推送已删除的用户组会失败。 欲重新配置用户组,请将其从Okta应用程序移除并重新分配。 这会恢复用户组及其成员关系。
0 条评论
文章评论已关闭。