XOps 网络操作手册 - SCIM 配置失败

SCIM 同步对于将用户配置到 CMA 至关重要，确保无缝入职和一致的资源访问。 同步频率取决于使用的身份提供者（IdP），如 SCIM 用户配置中所述。 

当 SCIM 配置失败时，新创建的用户可能无法连接或访问所需服务，并且安全策略可能无法正确执行。 为了帮助确保快速检测和解决问题，每当 IdP 和 CMA 之间发生配置失败时，会自动生成一个 XOps 事件。

响应网络 XOps 事件时，至关重要的是以系统的方式处理问题。 首先，验证问题是否仍在进行，然后进行故障排除，最后确认问题已解决。

步骤 1 - 验证 SCIM 同步失败

以下是 Cato 管理应用程序管理员可以验证 SCIM 同步失败的不同方法。 

• 当 SCIM 同步失败时，将生成一个 XOps 事件。
• 转到 XDR 发现事件 页面并使用网络运维预设，包括过滤器“指示 包含 SCIM”。 Adjust the time frame as necessary.
  
• 验证是否生成了如下所示的事件。
  
• 点击事件以深入查看详细信息。 它提供了关于事件状态、事件时间线以及更重要的 SCIM 同步状态的信息。 
  
• 在事件深入分析页面往下滚动，可以找到事件时间线。 此时间线突出显示了 SCIM 同步状态的任何变化。 在右侧窗格中，您将看到操作手册工作流，其中概述了故障排除问题的步骤。
  
   

使用事件

本节概述了 Cato 中可以使用的工具，以结构化的方法进行此类事件的故障排查。 虽然步骤通常意味着按顺序进行，但每项检查的结果可能会影响下一个步骤。

• 为了确定问题是否为一次性发生，请从 IdP 平台执行按需配置。 对于 Azure，请导航到企业应用程序 > Cato Networks 配置 > 配置 并点击“按需配置”。
  
• 选择分配给应用程序的用户或组，然后点击“配置”按钮。
• 如果 SCIM 同步成功完成，则可能表示 SCIM 同步失败是一个孤立的事件。 管理员应验证是否有提供商中断或 Cato 维护活动与 SCIM 同步时间重合。
• 如果 SCIM 同步也失败，则表明问题仍然存在，并且与 IdP 的同步未成功完成。 在这种情况下，查看可能导致问题的任何最近的配置更改。
   

• 查看审计追踪页面上的更改，以确定配置更改是否是此问题的原因。 如果计划的同步一直正常运行但意外停止工作，则这一步尤其重要。
• 要查看对域配置进行的任何更改，请打开审计仪表板过滤器，将模型类型设置为 域名。 根据需要调整时间范围以匹配问题发生时间。
  
• 例如，下面的截图显示管理员对 Okta SCIM 配置进行了更改。 如果此活动的时间与 SCIM 同步失败相符，管理员可以恢复更改以确定这些更改是否为原因。 
  
• 另一个可能影响 SCIM 连接性的因素是对 IdP 端应用程序的更改。 对于 Azure，请导航到 企业应用程序 > Cato Networks 配置并检查 审计日志和 配置日志以确定配置更改是否触发了 SCIM 失败。
  

更新管理员凭证

• 要验证与 IdP 的凭证失败，请在 CMA 下的 目录服务 > SCIM生成新令牌。 点击“生成令牌”并复制新令牌。

• 对于 Azure，请导航到企业应用程序 > Cato Networks 配置 > 配置 并展开 配置 > 管理员凭证。 输入从 CMA 生成的令牌并点击“测试连接”。
  

• 如果认证成功，则问题可能与 IdP 和 CMA 之间的令牌不匹配有关。

   

识别和解决导致 SCIM 同步失败的问题后，验证同步在事件中是否已显示为已解决。 

注意：问题解决后，事件状态将从“开放”变更为“监控”。 在接下来的一个小时内将保持这种状态，前提是没有进一步的事件。 有关更多信息，请参考理解事件列。 

向 Cato 支持提出问题

如果按照此操作手册仍未解决问题，请提交支持票据。 为了获得最有帮助的响应，管理员应提供所采取故障排除步骤的结果。