SCIM 配置故障排除

概览

SCIM 配置是 来自身份提供者 (IdP) 的目录服务功能,用于在 Cato 管理应用程序 (CMA) 内配置用户。 无法完成此配置意味着用户将不会被添加到 CMA。 此剧本旨在提供故障排除SCIM 配置过程中的问题指南。 

症状

SCIM 配置问题可以通过多种方式显现。 管理员可能注意到以下症状:

  • SCIM 配置无法启用
  • 无法通过 SCIM 配置将用户添加到 CMA
  • 新用户已添加到 CMA,但无法正常工作
  • 无法通过 SCIM 配置将更多用户添加到 CMA
  • SCIM 用户已更新,但更改未在 CMA 中反映出来

可能的原因 

以下是可识别故障排除时可能的原因

  • 该账户不符合 SCIM 配置的要求
  • IdP 和 CMA 之间的凭证不匹配
  • IdP 中缺少属性,无法传播到 CMA
  • 许可证不足,无法配置用户
  • IdP 中的群组未分配到应用程序
  • 用户或群组在配置应用程序中范围设置不正确
  • 所需的用户或群组嵌套在 IdP 中
  • 用户或群组没有从配置应用程序的相关字段更新到 CMA

故障排除 

管理员可能遇到的症状故障排除步骤如下所示。 这些步骤旨在帮助识别问题可能的原因。 解决步骤将在剧本中详细说明。

故障排除 SCIM 配置无法启用

确保账户符合 SCIM 配置的要求

尝试启用 SCIM 时注意展示的错误信息。 在这种情况下 无法启用 SCIM 配置。 请联系支持并参考账户 ID 配置 - 电子邮件"

无法启用.png

故障排除初始 SCIM 配置无法将用户添加到 CMA

确认配置应用程序中的凭证正确

转到SCIM 应用程序 > 配置 > 配置 > 管理员凭证,按下测试连接并查看错误信息:

测试配置.png

检查可用许可证

检查账户的事件,在监控 > 事件应用过滤器:事件类型是系统,检查具有子类型 Sdp 许可证的事件

许可证不足.png

故障排除添加的新用户已添加到 CMA 但未正常工作

确认 CMA 中的属性正在正确填写

CMA 不能为没有必需电子邮件属性的用户分配许可证。

检查用户条目在访问 > 用户 > 用户目录并确认电子邮件字段具有有效内容。

没有电子邮件.png

 

检查账户的事件,在监控 > 事件应用过滤器:事件类型是系统

无法分配许可证.png

 

检查可用许可证

检查账户的事件,在监控 > 事件应用过滤器:事件类型是系统,检查具有子类型 SDP 许可证的事件

许可证不足.png

 

故障排除无法通过 SCIM 配置将更多用户添加到 CMA

检查用户或群组不在 CMA 中出现的位置

如果无法在 CMA 的 访问 > 用户 > 用户目录访问 > 用户群组中看到预期的用户或群组。

对于用户目录可以通过来源 SCIM进行过滤

来源 SCIM.png

 

对于用户群组查看类型: SCIM 定义

SCIM 定义群组.png

 

验证使用按需配置功能故障的原因

在配置应用程序中,您可以通过使用按需配置功能来确认用户的范围。 转到企业应用程序 > Cato 配置应用程序 > 配置 > 按需配置输入用户详细信息并按下配置

一旦失败,您可以查看跳过的操作的详细信息

部门用户在范围内.png

在此场景中,我们可以看到该用户是部门兄弟会的一部分,而该规则 '没有变种人'不符合范围规则,具有条款 部门不等于‘兄弟会’

Mystique.png

检查其他配置错误。

还有其他场景,例如群组不属于应用程序,审查展示的消息并识别原因。

在这种情况下,群组是活跃的并符合范围,但报告为未分配到应用程序

组在范围内.png

故障排除 SCIM 用户已更新,但更改未在 CMA 中反映出来

用户可能在 SCIM 配置应用程序中更新了属性,但在完成配置同步后未反映出来。

解决已发现的问题

解决账户不符合 SCIM 配置的要求

您需要向 Cato 支持提出问题。 请参见下面的提高案例到 Cato 支持部分 

解决 IdP 和 CMA 之间的凭证不匹配

转到SCIM 应用程序 > 配置 > 配置 > 管理员凭证。 确保应用程序的凭证(租户 URL 和令牌)有效。 

CMA 中提供凭证,位于 访问 > 目录服务 > SCIM

SCIM Provisioning in CMA.png 

这可以通过在配置应用程序中按下测试连接按钮来验证。

测试配置.png

 

解决 IdP 中缺少的属性不能传播到 CMA

转到企业应用程序 > Cato 配置应用程序 > 配置 > 配置 > 映射然后选择 配置 Microsoft Entra ID 用户属性映射部分确认 userPrincipalName 以及 电子邮件地址已被映射。

属性映射.png

 

解决许可证不足,无法配置用户

在 CMA 中转到管理 > 许可证 > 用户并验证是否有足够的许可证来配置您尝试添加的用户数量。 

CMA 中的许可证.png

如果缺乏足够的许可证,请取消分配/禁用/删除不活动的用户或联系您的销售团队以获取更多许可证选项。

 

解决 IdP 中的群组未分配到配置应用程序

转到企业应用程序 > Cato 配置应用程序 > 用户 & 群组并验证该用户/群组是否在列表中。

群组分配.png

如果不存在,可以通过添加用户/群组按钮添加。

解决用户或群组在配置应用程序中范围设置不正确

转到企业应用程序 > Cato 配置应用程序 > 配置 > 配置 > 映射然后选择 用户群组映射。 验证来源对象范围过滤器是否包含相关的用户/群组。 

应用程序的映射.png来源对象范围.png用户范围过滤器.png

注意:多个范围过滤器使用或逻辑,而过滤器中的多个属性使用和逻辑。

解决 IdP 中必需的用户或群组被嵌套

确认在将群组添加到配置应用程序时,它们作为单独条目添加,而不是嵌套在其他群组中。

同盟嵌套.png
嵌套分配.png

解决 SCIM 用户已更新,但更改未在 CMA 中反映出来

执行同步时,确认 IdP 中用户的以下字段之一是否已更新。
  • 电子邮件
  • UPN
  • 名字
  • 姓氏
  • 电话号码
 
如果问题仍然存在,尝试从您的 IdP 中删除用户,如果可能,然后检查用户是否进入 CMA 的禁用状态。 
 
如果没有,请提升到支持。

上传案例到 Cato 支持

如果按照本剧本操作后问题仍未解决,请使用此知识库文章提交支持工单。 

为了获得最有用的请求响应,管理员应提供在使用此剧本过程中采取的故障排除步骤结果。 例如包括:

  • 账户名称/号码
  • 使用中的 IdP 提供商详细信息
  • 来自 IdP 的截图,其中包含相关用户的 UPNs
  • 来自 IdP 的用户组详细信息

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论