本文讨论将SDP用户导入到您的Cato账户以实现网络安全远程访问的功能和选项。
用户身份是零信任的基础元素,Cato使导入和管理用户变得简单。 Cato利用您现有的身份提供商(IdP),这是一个集中式服务,用于管理用户身份,并支持轻松在您的账户中配置和同步用户。 IdP与您的Cato账户集成,自动导入和更新用户。
这确保您拥有一个用户身份的唯一真实来源,并在环境中提供一致的用户身份。
Cato支持以下方法来导入和创建用户:
-
通过LDAP从IdP导入用户
-
通过SCIM从IdP导入用户
-
在Cato管理应用中手动创建用户。
有关Cato支持的IdP的更多信息,请参见使用Cato账户的身份提供商。
您可以使用LDAP为您的账户配置用户,以便将用户从IdP同步到Cato。 Cato支持以下IdP进行LDAP导入:
-
Microsoft本地或Azure Active Directory (AD)
(使用LDAP协议同步组)
-
Okta
-
OneLogin(需要vLDAP)
-
Jump Cloud
有关如何配置与IdP的LDAP配置的更多信息,请参见LDAP用户配置部分中的文章。
-
域名
-
用于验证到AD或LDAP提供商的登录DN或绑定DN及其关联的密码
-
基DN:LDAP服务器在查找用户验证时使用的起点
-
配置入站防火墙规则以允许Cato连接到本地AD或Azure AD
Cato在通过LDAP在您的AD和Cato之间导入用户时提供了提高安全性的能力,并从LDAP转移到LDAPS。 Cato使用TLS(SSL)来保护LDAP连接。
为您的Cato账户配置LDAPS的步骤:
-
在IdP(如AD)上启用LDAPS。
-
在Cato管理应用中,为LDAP用户配置启用加密。
-
Cato尝试通过端口636连接到IdP。
对于基于云的IdP(如Azure AD或Okta),Cato仅支持LDAPS,因为这些流量经过公用互联网(本质上不安全)。
Cato从不导入或同步IdP用户账户的密码。
SCIM定义了一个标准,用于在不同的云应用程序供应商之间交换身份信息,并允许您在您的IdP和Cato账户之间同步相关的身份数据。
Cato支持以下IdP:
-
Azure AD
-
Okta
-
OneLogin
-
OneWelcome
-
立即将用户从IdP同步到您的Cato账户。
-
对组成员资格或用户资料的更新或更改几乎实时更新
-
将IdP集成到您的Cato账户中,无需配置任何入站防火墙规则
-
SCIM受到IdP供应商的广泛支持,并且易于与您的账户集成
您还可以在Cato管理应用中手动创建用户。 手动创建用户通常用于特定情况,这不是一种可扩展的解决方案,因为它需要持续的手动工作来管理用户身份生命周期。
有关手动创建用户的更多信息,请参见与用户合作。
0 条评论
请登录写评论。