本文解释了通过SCIM和LDAP配置用户的注意事项。
Cato利用您现有的身份提供者(IdP),这是一个集中化的用户身份管理服务,并支持轻松配置和同步用户到您的账户。 IdP与您的Cato账户集成,并自动导入和更新用户。
Cato 支持以下方法来配置用户和用户组:
- 通过SCIM和LDAP从IdP导入用户
- 通过SCIM从IdP导入用户
- 通过LDAP从IdP导入用户
更多信息,请参阅变更 SCIM 和 LDAP 用户配置。
分配许可证
一旦用户或用户组通过这些方法中的任何一个进行配置,他们就可以包括在任何访问权限策略中,并分配SDP许可证。 例如,您可以从SCIM导入一个用户,另一个用户通过LDAP导入,两者都可分配远程用户许可证。 有关更多信息,请参阅向用户分配ZTNA许可证。
在SCIM配置时添加LDAP目录
在CMA中配置的SCIM目录数量确定您是否可以添加LDAP目录:
- 如果配置了一个SCIM目录,您可以添加多个LDAP目录。 目前已知没有关于您可以添加多少LDAP目录的限制
- 如果配置了两个或更多SCIM目录,则不能添加LDAP目录
要在配置了两个或更多SCIM目录时添加LDAP目录,首先禁用SCIM目录,直到只剩下一个SCIM目录被配置。 然后添加LDAP目录。
SCIM和LDAP可以一起用于配置用户。 然而,每个用户都必须通过SCIM或LDAP分别配置,而不是两者兼而有之。 这可以保证每位用户只有一个权威数据来源。
如果同一用户被识别为同时通过SCIM和LDAP进行配置,SCIM配置的用户将覆盖LDAP配置的用户。 这意味着LDAP配置的用户将从LDAP配置的群组中移除并添加到SCIM配置的群组中。
SCIM配置用作唯一的权威数据来源,以确保一致的行为。 这可能会影响用户是否获得预期的访问权限。 例如:
- 用户John Doe已通过LDAP配置,并是一个用户组的成员,该组通过互联网防火墙规则阻止赌博网站
- John Doe然后通过SCIM配置,没有SCIM组在互联网防火墙规则中
- SCIM配置的用户优先于LDAP配置的用户,并将John Doe从阻止访问赌博网站的用户组中移除
- John Doe不在互联网防火墙规则中,可以访问赌博网站
用户根据电子邮件地址或UPN被识别为匹配。
SCIM和LDAP可以一起用于配置用户组。 然而,每个用户组都必须通过SCIM或LDAP分别配置,而不是两者兼而有之。 这可以保证用户身份有一个权威数据来源,并确保在您的环境中用户身份的一致性。
如果同一个用户组被识别为同时通过SCIM和LDAP进行配置,SCIM配置的用户组将覆盖LDAP配置的用户组。 如果LDAP配置的用户组包含不在SCIM配置的用户组中的用户,那些用户将从Cato管理应用程序中的用户组中移除。 这可能影响您确保向用户提供预期访问权限的能力。 例如:
-
财务团队用户组通过LDAP配置,并且有互联网防火墙规则阻止赌博站点。 它包含以下用户:
- John Doe
- Jane Phillips
- Simon Thompson
-
然后通过SCIM配置财务团队用户组,包含以下用户:
- John Doe
- Jane Phillips
- SCIM配置的用户组优先于LDAP配置的用户组
- 将Simon Thompson从财务团队用户组中移除,并允许他访问赌博网站
0 条评论
文章评论已关闭。