SCIM 配置中与 Entra ID（前称 Azure）

本文介绍如何使用 Azure SCIM 应用自动同步用户和群组信息，并从 Entra ID 配置用户和群组到您的 Cato 账户。

功能支持

在Cato 管理应用程序中创建和禁用用户
从Azure AD同步用户和属性到Cato 管理应用程序
单点登录(SSO)到Azure
用户可以通过电子邮件或UPN进行认证，具体取决于您的Azure配置。

前提条件

在创建 Azure SCIM 应用之前确保这些项目已准备好：

Entra ID租户
Entra ID权限以配置用户配置

限制

从IdP应用程序中移除用户会在Cato管理应用程序中禁用该用户(详见下文从SCIM App移除用户或用户组)
对于使用 LDAP 同步用户的账户，当您启用 SCIM 配置时，这个同步会被禁用。
- 用于用户意识的LDAP同步继续正常工作，不受SCIM配置的影响。
不支持嵌套群组配置
SCIM同步覆盖现有的相同名称的LDAP群组。查看更多信息，请参阅《如何SCIM同步覆盖现有LDAP群组》
通过WMI用户意识无法识别SCIM配置的用户。支持通过Cato身份代理实现SCIM用户意识
按需配置不支持将用户分配到用户组

计划用户同步

本部分描述如何计划 Entra ID 同步用户到您的 Cato 账户。有关在 Azure 和 Cato之间计划用户同步的更多信息，请参见这些 Microsoft 文章：

定义用户和群组以进行用户同步

Entra ID 允许您根据以下方法之一定义用户同步到 Cato 的用户：

分配用户到Entra ID应用
根据用户或群组的属性过滤用户

在计划与Cato的用户同步过程中，我们建议您从小型用户组开始。根据上述方法，您可以：

分配少量用户到Entra ID应用
创建仅匹配少数用户的基于属性的范围过滤器

使用Cato SCIM App配置自动用户同步到Cato

您可以将 Entra ID 连接到您的 Cato 帐户，并在它们之间同步用户。将 Cato SCIM 应用程序添加到您的 Azure 库帐户中，然后配置设置以连接到您的 Cato 帐户。 Azure 每 40 分钟启动一次自动用户同步。

然后，您可以定义同步的 Entra ID 群组和用户，并启用自动配置。

您身份提供者（IdP）中的用户状态自动同步到您的 Cato 账户。例如，当您在 IdP 中禁用用户时，他们会作为禁用状态同步到您的 Cato 帐户。

注意： 在考虑 Azure SCIM 群组中的用户总数与 CMA SCIM 群组相比时，请注意在 CMA SCIM 群组中用户较少。这是因为我们不计算那些已禁用的用户，这些用户要么已同步并禁用，要么始终已禁用。

配置Cato SCIM App

从 Azure 库中配置 Cato SCIM 应用程序的设置，然后设置应用程序以自动同步用户到 Cato。

在 Cato 管理应用程序中，启用 SCIM 配置并将 URL 和令牌复制到 Cato SCIM 应用程序的管理员凭据部分。

要向现有应用添加新属性，请更新 SCIM 应用。

连接Cato 管理应用程序到SCIM App：

从Azure门户，进入企业应用程序。
进入新应用程序，搜索Cato Networks配置应用，然后点击创建。
在 Cato 管理应用程序中，从导航菜单选择 访问 > 目录服务 和点击 SCIM 标签页。
选择启用SCIM配置以连接您的账户到SCIM App。
点击保存。
复制并粘贴SCIM URL和令牌到空白文本文件。
1. 在基本URL中点击复制图标将SCIM URL复制到剪贴板，然后粘贴到文本文件。
2. 在Bearer令牌中点击复制图标将唯一账户令牌复制到剪贴板，然后粘贴到文本文件。
在Azure中，转到SCIM App的配置部分，并粘贴SCIM URL和令牌。
1. 在租户URL中粘贴URL。
2. 在密令令牌中粘贴令牌。
3. 点击保存。
在Azure中点击测试连接以确保Azure AD可以连接到Cato SCIM App。
启用应用中的自动配置。
1. 从导航菜单中选择配置。
2. 在配置屏幕中点击开始使用。
3. 从配置模式下拉菜单中选择自动。
4. 点击保存。
分配群组和用户到应用。

将用户配置到您的Cato账户

在 Cato SCIM 应用可以上传到您的账户后，启用自动配置和选择同步的用户和群组。

将用户配置到您的Cato账户：

在Cato SCIM App中，转到配置部分。
在 配置状态 中，点击 开始配置。

您 Azure AD 与 Cato 账户之间的初始同步开始。

更新现有SCIM App

使用以下步骤更新现有 Microsoft Entra ID SCIM 应用的属性列表和属性映射，以便为 Cato 配置其他用户属性。这是必需的，以获得 Cato 使用的最新属性，例如职位和部门。

注意

注意： 如果 SCIM 应用是在 2025年11月之前创建的，您必须创建新的 SCIM 应用并配置如下描述的属性。

更新现有的SCIM App：

从Azure门户中，进入企业应用程序&gt；所有应用程序并选择您的Cato SCIM App。
点击配置然后选择属性映射。
在属性映射页面，选择显示高级选项复选框并点击编辑应用名的属性列表。
添加属性并从类型下拉菜单选择相关值。

对每个要添加的属性重复此过程。
点击保存。
在属性映射页面点击编辑属性。
在编辑属性页面，选择 源属性 并将其映射到 目标属性。

例如，选择 jobTitle 作为源，并将其映射到目标中的 title。

对您正在添加的每个属性都重复此过程。
点击保存。
配置用户和群组到账户。

审查SCIM配置属性

配置 Cato SCIM 应用程序后，您可以查看 Entra ID 与 Cato 管理应用程序之间的 SCIM 配置属性映射。

Azure AD属性	Cato用户属性	关于用户的注意事项
userPrincipalName	userName	用户的用户名
Coalesce([mail], [userPrincipalName])	emails[type eq "work"].value	电子邮件地址
givenName	name.givenName	名字
surname	name.familyName	姓氏
telephoneNumber	phoneNumbers[type eq "work"].value	电话号码(包括前缀)
objectId	externalId	用户的ID(用于事件中)
Switch([IsSoftDeleted], , "False", "True", "True", "False")	活跃	当用户从SCIM App中取消分配时，用户将被软删除，参数为：“False”、“True”、“True”、“False”
onPremisesSecurityIdentifier	onPremisesSecurityIdentifier
dirSyncEnabled	dirSyncEnabled
jobTitle	title
department	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

分配SDP许可证

在身份提供商中，定义与您的 Cato 帐户同步的群组和用户。完成初始同步后，所有用户都会被创建在 Cato 管理应用程序中，并在 用户目录 页面上可见。

然后可以向用户分配 SDP 许可证，更多信息请参考向用户分配 ZTNA 许可证。

从SCIM应用中移除用户或用户组

注意

重要：虽然用户可以在CMA中删除，我们建议您直接从Azure门户删除由SCIM App配置的用户或用户组。

如果您想移除通过SCIM App配置到您的Cato账户的用户或用户组，请在应用中取消分配这些用户。下次SCIM App与您的账户同步时，用户和用户组会自动禁用。

要移除同步到您的Cato账户的用户或用户组：

在Cato SCIM应用中取消分配用户或用户组。

在下次同步期间，SCIM应用会在您的Cato账户中禁用用户或用户组。
（可选） 用户或群组禁用之后，您可以从 Cato 管理应用程序中删除它们。

最多可能需要 15 分钟才能手动删除用户或用户组。

了解SCIM配置的事件

每当用户和群组因未满足客户端连接策略要求而被阻止时，Cato 管理应用程序会生成事件。

每小时，Cato 管理应用程序发送电子邮件警报，汇总 SCIM 配置操作（成功或失败）。

下表解释了不同的事件。

事件类型	操作	描述
SCIM配置	成功	通过SCIM应用将用户或群组同步到您的账户的操作已成功。
SCIM配置	失败	SCIM应用未能将IdP与您的账户同步。事件消息解释了同步失败的原因。
SCIM配置	已禁用	IDP中已禁用的用户成功同步并禁用到您的Cato账户。