SCIM同步和配置故障排除

概览

SCIM（跨域身份管理系统）同步和用户配置对自动化身份管理和确保应用程序和资源的安全、流畅访问至关重要。然而，可能会出现一些挑战中断这种自动化，可能导致访问问题或合规风险。本手册旨在解决Cato中常见的SCIM同步和配置问题，并提供解决这些问题的有效方案。

症状

SCIM配置失败可能以多种形式表现。管理员可能会注意到以下症状：

启用SCIM时出现错误信息
用户未配置到CMA
从IdP到CMA的测试连接失败
配置的用户无法连接到SDP客户端
CMA中重复的用户

可能的原因

列出故障排除时他们将尝试识别的可能原因

配置错误
使用了错误的管理员凭据
许可问题
通过IdP配置的重复用户

故障排除问题

在深入研究故障排除步骤之前，下面的图表提供了SCIM配置功能的高级概述。与依赖于拉取机制的LDAP不同，SCIM使用推送机制直接向Cato管理应用程序（CMA）提供用户更新。

Cato通过Azure、Okta和One Login支持用户的SCIM配置。有关为每个身份提供商（IdP）配置SCIM配置的更多信息，请参阅使用SCIM配置用户。本手册专注于Azure（Entra ID）中的SCIM配置，但核心概念和故障排除技术也适用于其他IdP。

启用SCIM时出现错误

在CMA中启用SCIM时，观察到以下错误：“无法启用SCIM配置。请联系支持并参考账户ID配置 - 电子邮件”。

当您遇到此错误时，请联系支持以修改您账户中的用户ID类型。

用户没有被配置到CMA

本节将展示一些用户未被配置到CMA的常见原因。

验证管理员凭据

转到SCIM应用程序 > 配置 > 更新凭据。
展开管理员凭据并点击测试连接
对于成功的整合及CMA的配置，您应该看到以下结果。
如果测试连接失败，请参考解决管理员凭据以了解如何解决此问题。

必需属性

某些属性是与Microsoft Entra ID进行SCIM配置所必须的。如果缺少这些必需属性中的任何一个，用户配置可能会失败，或者配置的用户可能无法连接。
下图显示了配置所需的必填字段。
如果缺少电子邮件字段，用户仍会被配置到CMA，但无法连接到SDP客户端。
请参阅解决必需属性部分以验证这是否是导致问题的原因及如何解决。

在Azure门户中未分配到企业应用程序的用户/组

用户和组需要在Azure门户中添加到Cato配置应用程序中，然后才能同步到CMA。本节提供了有关如何验证这一点的逐步指南。

转到企业应用程序 > Cato配置应用程序 > 用户 & 组并验证用户或组是否已列出。
在下面的示例中，我们可以看到1个组和1个用户被分配到“Cato Networks配置-APJ T1实验室”应用程序中。
如果用户或组未列在您的Azure中的配置应用程序下，请参阅将用户/组分配到配置应用程序。

用户/组的范围过滤器

检查是否在配置设置中为用户或组配置了范围过滤器。
导航到企业应用程序 > Cato配置应用程序 > 配置 > 映射，然后选择用户或组映射。
查看源对象范围过滤器以查看它们是否可能排除了相关的用户或组。
如果由于范围过滤器导致配置失败，则用户/组将被跳过，Azure将显示失败原因。
为了解决这个问题，请参阅解决用户组中的范围过滤。

配置用户无法连接到SDP客户端

在CMA中通过SCIM配置后，用户尝试通过SDP客户端连接时遇到以下错误，具体是在输入其电子邮件地址和子域名后。
此故障的一个可能原因是许可问题
请参阅解决许可问题部分以了解如何验证该问题是否与许可相关以及如何解决。

CMA中的重复用户

CMA中可能会出现具有相同电子邮件地址的重复用户。通常，一个用户被禁用，而另一个已分配SDP许可。

请参阅解决CMA中重复用户部分以了解发生此情况的可能原因及解决方法。

解决发现的问题

解决管理员凭据

登录到您的CMA并导航到访问 > 目录服务 > SCIM以验证基本URL是否与Azure中配置的租户URL相同。
如果基本网址相同，请尝试生成新令牌。
在CMA上保存配置前复制新的令牌。完成后，在Azure中输入新的令牌并再次点击测试连接。

解决必需属性

电子邮件属性是必需的。如果在身份提供商（IdP）的用户信息中缺少此字段，用户仍会被配置到CMA，但其个人资料将缺少电子邮件地址。
当用户的个人资料中没有电子邮件字段时，系统无法分配SDP许可，从而阻止用户通过SDP客户端成功连接。

将用户/组分配到配置应用程序

要将用户或组分配到您的配置应用程序，点击添加用户/组，然后选择“用户和组”。
然后，右侧窗格将出现以供您选择要添加的相应用户/组。
可选项：在将用户和群组添加到配置应用程序后，无需等待常规自动配置周期，您可以通过“按需配置”在CMA中手动配置这些用户/群组。

注意：不支持嵌套群组配置

解决用户组中的范围过滤

如果范围过滤器意外排除了用户或组：
- 调整范围过滤器标准以确保其包含用户/组。
- 确认过滤器的逻辑（与/或）符合预期行为。
有关详细信息，请参阅微软文档 - 使用范围过滤器为用户或组配置范围。
调整后，重新运行按需配置以验证用户/组是否已包含。

解决许可问题

导航到访问 > 用户，并点击用户目录。验证用户是否被分配了SDP许可。下面的截图显示Scim用户没有被分配任何SDP许可。
接下来，导航到访问 > 许可分配以验证“为所有用户分配SDP许可”选项是否已启用。
- 如果启用了，请检查用户总数是否超过SDP许可总数。
- 如果用户数量超过可用许可，请联系您的Cato销售代表以探索获取额外SDP许可的选项。
- 如果您不确定他们是谁，请随时联系支持。
如果选择了“为选定用户或组分配SDP许可”，请确保SCIM配置的用户被包括在分配的组中。

解决CMA中重复用户

当用户在Azure中被删除时，系统会将ObjectID值前置于UPN值并将用户的活动状态设置为false。此操作会在SCIM数据库中停用该用户，并更新UPN值以包含ObjectID+UPN。这种行为符合微软文档。
如果在Azure中使用相同的电子邮件地址重新创建相同用户，将在SCIM数据库和CMA中创建具有不同ObjectID的重复用户。在这个阶段，复制用户的UPN将不同。在这种情况下，应在CMA中删除已禁用的用户以避免重复。
Cato允许使用重复电子邮件地址的用户，但只能给一个重复用户分配SDP许可证。重要的是，UPN和ObjectID必须在所有SCIM目录服务中保持唯一。

注意事项和限制

可以通过SCIM和LDAP来配置不同的用户。但是，如果用户同时通过SCIM和LDAP配置，则SCIM配置优先。因此，用户从LDAP配置的组中被移除并添加到SCIM配置的组中。有关详细信息，请参阅使用SCIM和LDAP配置用户。
如果您计划在SCIM和LDAP配置之间切换，请首先阅读在SCIM和LDAP用户配置之间切换以确保平稳过渡。
尽管可以在CMA中删除用户和群组，我们建议您直接在SCIM应用中删除用户。有关正确移除的方法，请参阅移除SCIM应用程序中的用户或组。

向Cato支持提交案件

提交一张包含上述故障排除步骤结果的支持票据。请在票据中包含以下信息：

问题描述和用户影响
- 关于在进行SCIM配置中遇到的问题的清晰描述。
- 受影响用户的范围及影响概述（例如，受影响的用户数量、收到的错误消息等）。
配置到CMA的状态
- 受影响的用户是否成功配置到CMA？
  - 如果没有，检查日志可以提供更多见解，有助于识别问题的根本原因，从而促进进一步故障排除和解决。
    - 登录到www.portal.azure.com。转到企业应用程序 > Cato配置应用程序 > 配置
    - 点击“配置日志”以查看配置历史。
    - 点击特定配置将打开右侧的“配置日志详细信息”窗格。以下显示，该对象的同步被跳过，因为它未分配到应用程序。
  - 请尝试为受影响的用户进行按需配置，并包括以下信息：
    - 结果（成功或错误消息）的屏幕截图
    - 执行按需供应时的确切时间戳
连接到SDP客户端
- 成功供应的用户能否连接到SDP客户端？
  - 如果不能，请提供客户端界面截图，显示用户尝试连接时的错误。
  - 使用记录问题功能提供客户端日志。