SCIM 配置中与 Entra ID（前称 Azure）

本文介绍如何使用 Azure SCIM 应用自动同步用户和群组信息，并从 Entra ID 配置用户和群组到您的 Cato 账户。

支持的功能

在Cato 管理应用程序中创建和禁用用户
同步用户和属性从 Azure AD 上传到 Cato 管理应用程序
单点登录（SSO）到 Azure
用户可以使用电子邮件或 UPN 进行认证，具体取决于您的 Azure 配置。

先决条件

在创建 Azure SCIM 应用之前确保这些项目已准备好：

一个 Entra ID 租户
Entra ID 权限以配置用户配置

限制

从 IdP 应用中移除用户会禁用 Cato 管理应用程序中的用户（见下文从 SCIM 应用中移除用户或用户组）
对于使用 LDAP 同步用户的账户，当您启用 SCIM 配置时，这个同步会被禁用。
- 用于用户意识的 LDAP 同步继续正常工作，不会受到 SCIM 配置的影响。
嵌套群组配置不支持
SCIM 同步覆盖具有相同名称的现有 LDAP 群组。有关更多信息，请参见如何 SCIM 同步覆盖现有 LDAP 群组
使用 SCIM 配置的用户不通过基于 WMI 的用户意识进行识别。支持通过 Cato 身份代理实现与 SCIM 的用户意识
按需配置不支持将用户分配到用户组

计划用户同步

本部分描述如何计划 Entra ID 同步用户到您的 Cato 账户。有关在 Azure 和 Cato之间计划用户同步的更多信息，请参见这些 Microsoft 文章：

定义用户和群组用于用户同步

Entra ID 允许您根据以下方法之一定义用户同步到 Cato 的用户：

将用户分配到 Entra ID 应用程序
根据用户或群组的属性过滤用户

在计划与Cato的用户同步过程中，我们建议您从小型用户组开始。根据上述方法，您可以：

将少量用户分配到 Entra ID 应用程序
创建仅匹配少数用户的基于属性的范围过滤器

使用 Cato SCIM 应用配置自动用户同步到 Cato

您可以将 Entra ID 连接到您的 Cato 帐户，并在它们之间同步用户。将 Cato SCIM 应用程序添加到您的 Azure 库帐户中，然后配置设置以连接到您的 Cato 帐户。 Azure 每 40 分钟启动一次自动用户同步。

然后，您可以定义同步的 Entra ID 群组和用户，并启用自动配置。

您身份提供者（IdP）中的用户状态自动同步到您的 Cato 账户。例如，当您在 IdP 中禁用用户时，他们会作为禁用状态同步到您的 Cato 帐户。

注意： 在考虑 Azure SCIM 群组中的用户总数与 CMA SCIM 群组相比时，请注意在 CMA SCIM 群组中用户较少。这是因为我们不计算那些已禁用的用户，这些用户要么已同步并禁用，要么始终已禁用。

配置 Cato SCIM 应用程序

从 Azure 库中配置 Cato SCIM 应用程序的设置，然后设置应用程序以自动同步用户到 Cato。

在 Cato 管理应用程序中，启用 SCIM 配置并将 URL 和令牌复制到 Cato SCIM 应用程序的管理员凭据部分。

要向现有应用添加新属性，请更新 SCIM 应用。

将 Cato 管理应用程序连接到 SCIM 应用：

从 Azure 门户上传到 企业应用程序。
上传到 新应用程序，搜索 Cato Networks 配置应用，和点击创建。
在 Cato 管理应用程序中，从导航菜单选择 访问 > 目录服务 和点击 SCIM 标签页。
选择 启用SCIM配置 设置您的账户上传到 SCIM 应用。
点击保存。
复制和粘贴 SCIM 网址和令牌到空白文本文件。
1. 在基本URL中，点击复制图标以复制SCIM网址到剪贴板，然后粘贴到文件中。
2. 在Bearer 令牌中，点击复制图标以复制唯一的账户令牌到剪贴板，然后粘贴到文件中。
在 Azure 中，上传到 SCIM 应用的 配置中 部分，并粘贴 SCIM 网址和令牌。
1. 粘贴网址在 Tenant 网址 中。
2. 粘贴令牌在 密钥令牌 中。
3. 点击保存。
在 Azure 中，点击 测试连接 确保 Azure AD 上传到 Cato SCIM 应用。
启用应用中的自动配置。
1. 从导航菜单，选择 配置中。
2. 在 配置中 屏幕，点击开始。
3. 从 配置模式 下拉菜单，选择自动。
4. 点击保存。
分配群组和用户到应用。

配置用户到您的 Cato 账户

在 Cato SCIM 应用可以上传到您的账户后，启用自动配置和选择同步的用户和群组。

上传用户到您的 Cato 账户：

在 Cato SCIM 应用中，上传到 配置中 部分。
在 配置状态 中，点击 开始配置。

您 Azure AD 与 Cato 账户之间的初始同步开始。

更新现有 SCIM 应用

使用以下步骤更新现有 Microsoft Entra ID SCIM 应用的属性列表和属性映射，以便为 Cato 配置其他用户属性。这是必需的，以获得 Cato 使用的最新属性，例如职位和部门。

注意

注意： 如果 SCIM 应用是在 2025年11月之前创建的，您必须创建新的 SCIM 应用并配置如下描述的属性。

更新现有 SCIM 应用：

从 Azure 门户上传到 企业应用程序 > 全部应用程序 和选择您的 Cato SCIM 应用。
点击 配置中然后 属性映射。
在属性映射页面，选择 显示高级选项 复选框并点击 编辑 <appName> 的属性列表。
添加属性并从类型下拉菜单选择相关值。

对每个要添加的属性重复此过程。
点击保存。
在属性映射页面，点击 编辑属性。
在编辑属性页面，选择 源属性 并将其映射到 目标属性。

例如，选择 jobTitle 作为源，并将其映射到目标中的 title。

对您正在添加的每个属性都重复此过程。
点击保存。
配置用户和群组到账户。

查看 SCIM 配置属性

配置 Cato SCIM 应用程序后，您可以查看 Entra ID 与 Cato 管理应用程序之间的 SCIM 配置属性映射。

Azure AD 属性	Cato 用户属性	关于用户的备注
userPrincipalName	userName	用户的用户名
Coalesce([mail], [userPrincipalName])	emails[type eq "work"].value	电子邮件地址
givenName	name.givenName	名字
surname	name.familyName	姓氏
telephoneNumber	phoneNumbers[type eq "work"].value	电话号码（包括前缀）
objectId	externalId	用户的 ID（用于事件中）
Switch([IsSoftDeleted], , "False", "True", "True", "False")	active	当用户从 SCIM 应用程序中取消分配时，用户会被软删除，参数为："False", "True", "True", "False"
onPremisesSecurityIdentifier	onPremisesSecurityIdentifier
dirSyncEnabled	dirSyncEnabled
jobTitle	标题
部门	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:部门

分配 SDP 许可证

在身份提供商中，定义与您的 Cato 帐户同步的群组和用户。完成初始同步后，所有用户都会被创建在 Cato 管理应用程序中，并在 用户目录 页面上可见。

然后可以向用户分配 SDP 许可证，更多信息请参考向用户分配 ZTNA 许可证。

从SCIM应用中移除用户或用户组

注意

重要：虽然用户可以在CMA中删除，但我们建议直接从Cato 管理应用程序中删除通过SCIM应用配置的用户或用户组。

当您想移除通过SCIM应用预配到您的Cato账户中的用户或用户组时，请在应用中取消分配他们。下次SCIM应用与您的账户同步时，用户和用户组会自动被禁用。

要移除同步到您的Cato账户中的用户或用户组：

在Cato SCIM应用中取消分配用户或用户组。

在下次同步期间，SCIM应用会在您的Cato账户中禁用用户或用户组。
（可选） 用户或群组禁用之后，您可以从 Cato 管理应用程序中删除它们。

最多可能需要 15 分钟才能手动删除用户或用户组。

了解 SCIM 配置的事件

每当用户和群组因未满足客户端连接策略要求而被阻止时，Cato 管理应用程序会生成事件。

每小时，Cato 管理应用程序发送电子邮件警报，汇总 SCIM 配置操作（成功或失败）。

下表解释了不同的事件。

事件类型	操作	描述
SCIM 配置	成功	使用 SCIM 应用程序同步用户或群组到您的帐户的操作成功。
SCIM 配置	失败	SCIM 应用程序未能将 IdP 与您的帐户同步。该事件消息解释了同步失败的原因。
SCIM 配置	已禁用	IdP 中已禁用的用户已成功在您的 Cato 账户中同步和禁用。