本文解释了从 SCIM 切换到 LDAP 或反之亦然的配置方法时需要考虑的事项。
Cato 利用您现有的身份提供者(IdP),这是一种用于管理用户身份的集中服务,并支持轻松将用户配置和同步到您的账户。 IdP 与您的 Cato 账户集成,自动导入和更新用户。 这确保了您拥有一个用户身份的单一来源,在整个环境中为您提供一致的用户身份。 有关 SCIM 与 LDAP 用户配置的更多信息,请参见使用 SCIM 和 LDAP 配置用户。
Cato 支持以下方法来导入和创建用户:
-
通过 SCIM 从 IdP 导入用户
-
通过 LDAP 从 IdP 导入用户
-
在 Cato 管理应用程序中手动创建用户
有关如何配置每种方法的详细信息,请参阅目录服务。
在更改用户配置方式之前,您需要了解对用户和用户组的影响。
当您从 LDAP 更改为 SCIM 配置时,以下规则适用于用户和用户组:
-
SCIM 配置的用户覆盖 LDAP 配置的用户和手动创建的用户
-
用户根据他们的 UPN 或电子邮件识别为匹配
注意
注意: 当从 LDAP 更改为 SCIM 时,请遵循以下最佳实践:
-
确保通过 LDAP 配置的用户:
-
与即将通过 SCIM 配置的用户具有相同的 UPN 或电子邮件地址
-
是 Cato 管理应用程序中的现有用户
-
-
如果 UPN 或电子邮件地址不同,将创建重复用户。
-
为所有 SCIM 用户分配 SDP 许可证。 这可以避免用户在其配置从 LDAP 过渡到 SCIM 时丢失 SDP 许可证。
-
如果错误地创建了重复用户,请从 Cato 管理应用程序中删除重复用户,更新您的 IdP 中的电子邮件地址,然后重新配置用户。
-
如果有多个具有相同对象 ID 或 UPN 的用户,则 SCIM 用户不会覆盖现有的 SCIM 用户,并会触发一个事件。
-
-
-
-
SCIM 配置的用户组覆盖 LDAP 配置的用户组。 一旦启用 SCIM 配置,就无法在 Cato 管理应用程序中对 LDAP 配置的用户组进行任何更新。
-
用户组根据其名称或对象 ID 识别为匹配
-
如果存在多个具有相同对象 ID 或组名的组,则覆盖失败。 我们建议删除重复的组以确保覆盖成功
-
用户将从所有 LDAP 配置的用户组中移除,并分配到 SCIM 配置的用户组中
-
例如:
-
有 100 位用户在一个名为 R&D 的用户组中,该用户组通过 LDAP 配置
-
有 10 位用户在一个名为 R&D 的用户组中,该用户组通过 SCIM 配置
-
在 Cato 管理应用程序中,R&D 用户组只包含通过 SCIM 配置的 10 位用户
-
-
要逐步从 LDAP 更改为 SCIM 用户配置:
-
在导航菜单中,单击 访问 > 许可证分配。
-
选择 将SDP许可证分配给选定的用户或组。
-
从下拉菜单中选择 系统组 和 所有 SCIM 用户。
这可防止用户丢失其 SDP 许可证。
-
启用 SCIM 配置。 有关详细信息,请参阅 使用 SCIM 进行用户配置。
用户根据上述规则通过 SCIM 进行配置。
注意: 用户通过 SCIM 配置后,他们将从 LDAP 配置的组中移除。 这可能会影响所应用的策略规则。
当您为本地 AD 和 Azure AD 更改 LDAP 至 SCIM 配置时,应用于用户和用户组的配置规则与上面描述的更改 LDAP 至 SCIM 配置相同。
通过 SCIM 配置的用户必须拥有 SDP 许可证才能被用户意识识别。 要识别没有 SDP 许可证的用户,请使用 LDAP 配置他们。 用户需要进行一次身份验证以便被识别。
在 Windows 客户端 v5.9 及更高版本中,不需要 SDP 许可证,用户无需进行一次身份验证即可被身份代理识别。
0 条评论
请登录写评论。