使用用户组和系统群组

概述

您的账户中的用户包含在两种不同类型的群组中。

用户群组

用户群组是用于规则、策略或分配许可证的对象。 例如,如果您在互联网防火墙策略中为规则添加一个用户群组,则该规则适用于用户群组中的所有用户。 有三种类型的用户群组:

  • 系统群组: 自动创建

  • SCIM/LDAP定义: 从您的IdP配置

  • 用户定义: 手动创建

    注意: 用户定义群组中最多可添加的用户数量为50,000

您可以在访问 > 用户群组页面中查看您的账户中的用户群组。

了解系统定义的用户群组

Cato自动创建所有用户系统用户群组。 这包含在您的账户中创建的所有用户。 如果您希望规则、策略或设置适用于所有用户,请使用此用户群组。

如果您至少配置了一个WMI控制器,还会创建这些系统用户群组:

  • 待识别的所有用户: 已同步但尚未登录客户端的用户

  • 所有未识别用户: 无法识别的用户

  • 所有未映射用户: 能被识别但未匹配到从LDAP同步的信息(例如组织数据)的用户

用于分配许可证的系统群组

系统群组是用于为用户分配SDP许可证的对象,只有在访问 > 许可证分配页面上可见。 例如,您可以将SDP许可证分配给所有手动创建的用户。 系统群组不能用于规则或策略中。 有三种类型的系统群组:

  • 所有LDAP用户: 所有通过LDAP配置的用户

  • 所有SCIM用户: 所有通过SCIM配置的用户

  • 所有手动用户: 手动创建的所有用户

有关分配SDP许可证的更多信息,请参见为用户分配ZTNA许可证

显示用户群组和成员

User_Groups.png

要显示用户群组的成员:

  1. 在导航菜单中,单击访问 > 用户群组并选择用户群组。

  2. 在导航菜单中,单击成员。 显示群组成员。

添加用户群组

您可以定义用户群组及其成员。 对于作为SCIM或LDAP用户配置一部分创建的用户群组:

  • 常规窗格中的定义由Cato 管理应用程序定义,无法修改。

  • 要修改LDAP或SCIM用户群组的成员,请在AD或IdP中修改设置

  • 用户群组的类型SCIM定义LDAP定义

要添加群组并定义其成员:

  1. 在导航菜单中,单击访问 > 用户群组并选择用户群组。

  2. 单击新建创建用户组面板打开。

  3. 输入群组名称并单击应用。 用户群组被添加到屏幕中。

  4. 单击用户群组。 用户群组的常规屏幕打开。

  5. (可选) 输入描述

  6. 添加此群组的成员项目:

    1. 在导航菜单中,单击成员。 用户群组成员显示。

    2. 添加成员下拉菜单中选择要添加的成员类型(SDP 用户或用户)。

    3. 选择您要包含在用户群组中的所有用户。

      SDP 用户和用户被添加到成员列表中。

  7. 单击保存

删除用户群组

根据创建方式,用户群组可以永久删除或禁用。

  • 手动创建的用户群组可以手动删除。 删除后,它们不再出现在用户群组页面上。 删除的用户群组仍然在策略中可见,并标记为已删除,策略不会应用于用户群组。

  • 已配置的用户组可以在CMA中删除,但我们建议您从IdP中删除它们。 从IdP中删除后,它们不再出现在用户群组页面上。 删除的用户群组仍然在策略中可见,并标记为已删除,策略不会应用于用户群组。

    • 在CMA中删除的用户组,并由以下配置:

      • Okta - 与所有成员重新创建

      • Entra - 无成员重新创建

注意

注意: 您无法撤销删除。

要手动删除用户群组:

  1. 在导航菜单中,点击访问权限 > 用户组并选择用户组。

  2. 点击 删除.png (删除)用户组旁边的按钮以删除您希望删除的用户组。

    打开一个确认窗口。

  3. 点击删除。

    用户组已删除。

更改域控制器中群组的路径

对于LDAP已配置的用户组,如果您在域控制器中更改了群组路径,则还必须更新Cato管理应用程序(CMA)中的基础 DN

如果您不更新CMA到新路径,已移动的用户组将不再包含在同步中,并将被删除。 这些用户组在用户组页面上不再可见。 已删除的用户组仍在访问权限策略中可见,并标记为已删除,访问权限策略不会应用于该用户组。已删除的LDAP配置用户组内的用户将移除SDP许可证,且无法再连接到网络。 如果用户需要连接到网络,则必须重新分配SDP许可证给他们。

这篇文章有帮助吗?

3 人中有 1 人觉得有帮助

0 条评论