从基于LDAP的用户供应迁移到SCIM(跨域身份管理系统)简化了身份管理并增强了与现代身份提供商(如Microsoft Entra ID)的集成。 本文为技术管理员提供了将现有用户和组管理从LDAP服务器迁移到Cato管理应用程序(CMA)中的SCIM的明确路径。
迁移利用现有的用户数据,该数据已通过LDAP同步,并将供应职责转移至SCIM,确保最小化中断并提高运营效率。 具体而言,本指南以Microsoft Entra ID为身份提供商示例,详细说明必要的配置和字段映射。 然而,所列出的原则和程序可以轻松地适应其他支持SCIM的身份提供商。
完成准备迁移到SCIM供应后,继续:
-
暂时禁用所有要迁移用户的始终在线功能。
-
将所有SCIM用户用户组添加到许可证分配页面。
原因是用户可能会在迁移期间与网络断开连接。
-
验证要迁移的用户数量不超过分配的SDP许可证数量。
如果用户数量超过许可证数量,请优先迁移需要许可证的组,然后从许可证分配页面中移除所有SCIM用户用户组,然后继续完成剩余的迁移。
-
清理LDAP目录并移除所有不必要的用户和组
-
更新LDAP同步设置,在用户不再存在时移除用户而不是禁用他们。
-
在CMA中,导航到访问 > 目录服务并点击LDAP标签页。
-
选择LDAP域,并在通用部分中选择禁用。
-
-
检查现有AD组是否存在任何嵌套组 - Cato不支持嵌套组
-
找到具有重要用户组作为来源/目标的WAN或互联网防火墙规则,并将所有用户用户组添加到规则中。
确保在迁移后还原此更改。
-
识别单独添加用户的规则并将这些用户转变为组。
注意:这不是强制步骤,取决于停机时间 - 如果用户在迁移期间无法访问资源是可以接受的。
-
-
确保SCIM中的组设置与LDAP组设置相同。 例如,LDAP域用户在SCIM应用程序中拥有相同的组
-
用户和组属性如电子邮件、UPN、名字、姓氏应在身份提供商(例如:Entra ID, Okta)和LDAP(AD)中保持一致,以防止更新失败或重复对象。
-
如果在迁移过程中需要更改电子邮件或其他属性,应该在迁移前或迁移后进行这些调整,以避免在CMA中发生冲突。
我们强烈建议在迁移过程中使用变更冻结期。
-
配置身份提供商应用程序必须具备足够的权限。
-
在迁移开始之前,需要使用工具(例如PowerShell)验证用户和组属性,以识别并纠正LDAP和SCIM提供商之间的任何差异。
-
(可选)创建受影响的CMA页面的导出(或截图):防火墙(互联网/WAN)规则、网络规则、始终在线策略、客户端连接策略、用户目录和用户组。
-
检查CMA服务的维护窗口,以确保不会与迁移的实际维护窗口重合: https://status.catonetworks.com
这是您的Cato账户中SCIM用户供应的逻辑:
-
SCIM供应的用户将覆盖LDAP供应的用户和手动创建的用户。
-
用户基于内部ID、对象ID、UPN或电子邮件进行匹配
确保通过LDAP供应的用户符合以下条件:
-
现有用户位于CMA访问 > 用户 > 用户目录中。
-
拥有与将通过SCIM供应的用户相同的UPN或电子邮件地址。
-
如果UPN或电子邮件地址不同,将会创建重复的用户。
-
如果错误地创建了重复用户,请按照以下步骤操作:
-
从SCIM Cato网络供应应用程序中移除用户。
-
从CMA中移除重复的用户。
-
在LDAP身份提供商中更新电子邮件地址,然后再次供应用户。
-
-
-
如果有多个用户拥有相同的对象ID或UPN,SCIM用户不会覆盖现有的LDAP用户,并会生成一个事件。
0 条评论
文章评论已关闭。