SCIM 配置与 OneLogin

本文解释了如何使用 OneLogin Cato SCIM 应用程序从您的 OneLogin 账户自动同步用户到您的 Cato 账户。

支持的功能

Cato Networks 提供下一代安全网络架构，消除了依赖零散点解决方案的传统 IT 方法带来的复杂性、成本和风险。从单点登录（SSO）到用户配置，OneLogin的Cato集成在整个用户生命周期内处理用户访问和群组，包括：

在Cato 管理应用程序中创建和移除用户
从 OneLogin 同步用户和属性到 Cato 管理应用程序
单点登录(SSO)到 OneLogin
更新用户属性
停用用户
导入用户
导入群组 (OneLogin 角色)

需求

确保在创建自定义 Cato SCIM 应用程序之前，您在 OneLogin 中有管理员权限可以配置应用程序和用户配置。

已知限制

在 OneLogin 中已删除的用户在 Cato 管理应用程序中被禁用
从 OneLogin 中已删除的角色，其对应的群组在 Cato 管理应用程序中不会被删除
不支持嵌套群组
SCIM 同步会覆盖具有相同名称的现有 LDAP 群组。欲知更多信息，请参阅如何通过 SCIM 覆盖现有 LDAP 群组

配置Cato SCIM 应用以自动同步用户到Cato

您可以在 OneLogin 应用程序库中使用 Cato SCIM 应用程序，从您的 OneLogin 账户连接和同步用户到您的 Cato 账户。本节解释了如何根据以下工作流程配置此 SCIM 应用程序：

在Cato 管理应用程序，启用 SCIM 配置您的Cato账户
在您的 OneLogin 账户中添加Cato SCIM 应用
配置该应用以连接到您的Cato账户
定义在 OneLogin 中同步的用户
定义从 OneLogin 同步到您Cato账户中的群组的角色

身份提供者（IdP）中用户的状态会自动同步到您的Cato账户。例如，当您在 IdP 中禁用用户时，他们将在您的 Cato 账户中同步为已禁用。

为 SCIM 应用配置Cato 管理应用程序

在 Cato 管理应用程序中，启用 SCIM 配置并将 URL 和令牌复制到文本文件。您将在您的 OneLogin 中配置的 Cato SCIM 应用程序中输入这些设置

账户。

连接Cato 管理应用程序到 SCIM 应用

在 Cato 管理应用程序中，从导航菜单中选择 访问 > 目录服务，然后单击 SCIM 标签页。
选择 启用 SCIM 配置 以设置您的账户连接到 SCIM 应用。
点击保存。
复制并粘贴 SCIM URL 和令牌到空白文本文件。
1. 在 基本 URL中，点击复制图标复制 SCIM URL 到剪贴板，然后粘贴到文本文件中。
2. 在 Bearer 令牌中，点击复制图标复制唯一账户令牌到剪贴板，然后粘贴到文本文件中。

添加Cato SCIM 应用

您可以将 Cato SCIM 应用程序添加到您的 OneLogin 账户，并使用它将用户从您的 OneLogin 账户配置到您的 Cato 账户。

要将 Cato SCIM 应用程序添加到您的 OneLogin 账户：

要将 Cato SCIM 应用添加到您的 OneLogin 账户:

在您的 OneLogin 管理仪表板上，点击 应用程序 > 应用程序。
点击 添加应用。
搜索Cato Networks应用程序，然后单击带有SAML2.0，配置中的Cato Networks应用程序。
在 应用程序列表 / 添加 Cato Networks 窗口中，输入应用程序的 显示名称，然后单击保存。

消息显示应用程序已成功添加到你的账户。

配置 SCIM 应用以连接到您的账户

在应用程序的配置和 配置中 部分中配置设置，以便它可以连接到你的 Cato 账户。您需要在上面的配置Cato管理应用程序以适用于SCIM应用程序中输入从Cato管理应用程序复制的URL和令牌。

配置 SCIM 应用以连接到您的 Cato 账户:

从应用程序导航窗格，点击配置。
在API连接部分中，配置OneLogin以与您的账户集成：
1. 在 SCIM 基本 URL中，粘贴从Cato 管理应用程序复制的 URL。
2. 在 SCIM Bearer 令牌中，粘贴从Cato 管理应用程序复制的令牌。
在 API 状态中，点击启用。
点击保存。
从导航窗格中点击配置中。
为应用程序配置这些配置设置：
1. 选择 启用配置。
2. （可选） 配置 在执行此操作之前需要管理员批准 设置：
3. 在 当用户在 OneLogin 中被删除，或者用户的应用访问被移除时，执行以下操作中，选择暂停。
4. 确保在权限部分中的刷新链接是可点击的。
点击保存。

Cato SCIM应用程序的参数已配置，应用程序已准备好连接到您的Cato账户。

同步 VPN 用户到您的 Cato 账户

SCIM应用程序可以连接到您的账户后，分配您正在同步到Cato的用户。然后您可以继续下一部分以将组添加到应用程序。

为您的 Cato 账户配额用户:

从顶部菜单，选择 用户 > 用户。
选择您要分配给SCIM应用程序的用户。
从用户的导航窗格中选择应用程序。
将 SCIM 应用分配给用户：
1. 点击加号按钮为用户添加一个新应用程序。
2. 在分配新登陆到窗口中，从选择应用程序下拉菜单中选择SCIM应用程序。
3. 点击继续。
4. 在弹出窗口中，点击保存。
  
  SCIM应用程序已分配给用户。
点击 保存用户。该用户的设置已更新。
对每个您配置到您的Cato账户的用户重复上述步骤4和5。

要显示分配给SCIM应用程序的用户，请转到SCIM应用程序并从应用程序导航窗格中选择用户。

同步 OneLogin 角色到您的 Cato 账户

您可以在OneLogin中与您正在同步到Cato的用户一起分配角色。您可以选择手动为此角色添加用户。

为每个角色创建一个将角色连接到应用程序的规则。然后将角色分配给应用程序，角色及其关联用户被同步到您Cato账户中的新组。

为您的 Cato 账户预配 OneLogin 角色:

从顶部菜单，选择 用户 > 角色。
选择您将分配给 SCIM 应用的角色。
（可选） 手动为角色分配用户：
1. 从角色的导航菜单中，选择用户。
2. 在 检查现有用户或向此规则添加新用户中，输入您要添加到应用程序的用户名。
3. 点击检查，窗口中显示用户。
4. 点击 添加到角色。该用户已被添加到 手动添加的用户 部分。
创建一个规则将角色连接到 SCIM 应用。
1. 从顶部菜单，点击 应用程序 > 应用程序 然后打开 SCIM 应用。
2. 从应用程序导航窗格，选择规则。
3. 点击 添加规则。
4. 在新映射窗口中，为规则输入一个名称。
5. 在操作部分，选择 在 <应用程序名称> 中设置群组。上图显示选项为 在 Sample Cato SCIM 应用中设置群组。
6. 从每个下拉菜单，选择角色。
7. 输入角色名称匹配的值。上图显示角色名为 示例角色。
8. 点击保存。规则已添加到应用程序。
9. 点击保存。连接角色到应用程序的规则已保存到应用程序。
将SCIM应用程序分配给角色。
1. 从角色的导航菜单，选择 应用程序。
2. 点击加号按钮显示在您 OneLogin 账户中的应用程序。
3. 选择Cato SCIM 应用程序，然后点击保存。应用程序已添加到角色。
SCIM应用程序将角色从OneLogin同步到您的Cato账户。

从SCIM应用程序中移除用户或群组

重要

重要：不要直接从Cato 管理应用程序删除使用SCIM应用程序配置的用户或群组。您必须首先在SCIM应用程序中取消分配它们。

当您希望删除通过 SCIM 应用配额到您的Cato账户的用户或群组时，请在应用程序中取消其分配。在 SCIM 应用下次与您的账户同步时，用户和群组会自动被禁用。

删除同步到您的 Cato 账户的用户或群组:

在Cato SCIM应用程序中，取消分配用户或群组。

在下次同步期间，SCIM应用程序将在您的Cato账户中禁用用户或群组。
（可选） 用户或群组被禁用后，您可以从 Cato 管理应用程序中删除他们。

分配 ZTNA 许可证

在IdP中，定义同步到您的Cato账户的群组和用户。初始同步完成后，所有用户都会被创建在 Cato 管理应用程序中，并可在用户目录页面上看到。

然后您可以为用户分配 ZTNA 许可证，欲知更多信息，请参阅为用户分配 ZTNA 许可证。

了解 SCIM 配置的事件

每当用户和群组由于未能满足客户端连接策略的要求而被阻止时，Cato 管理应用程序将生成事件。

Each hour, the Cato Management Application sends email alerts that summarize the SCIM provisioning actions (success or failure).

下表解释了不同的事件。

事件类型	操作	描述
SCIM 配置	成功	同步用户或群组到您的账户的操作通过 SCIM 应用成功。
SCIM 配置	失败	SCIM 应用未能将 IdP 同步到您的账户。事件消息说明同步失败的原因。
SCIM 配置	已禁用	在 IdP 中被禁用的用户已被成功同步并在您的 Cato 账户中被禁用。