Поделиться через

Настройка Cato Networks для автоматического предоставления пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в Cato Networks, так и в Microsoft Entra ID, для настройки автоматической конфигурации пользователей. При настройке Microsoft Entra ID автоматически создаёт и удаляет пользователей и группы в Cato Networks с помощью службы Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

  • Создание пользователей в Cato Networks
  • Удаление пользователей в Cato Networks, когда они больше не требуют доступа
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Cato Networks
  • Назначение групп и участие в группах в Cato Networks

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Учетная запись компании Cato Networks.
  • Учетная запись администратора в Cato Networks с разрешениями администратора.
  • Лицензия с достаточным количеством пользователей.

Шаг 1. Планирование развертывания снабжения

  1. Узнайте, как работает служба обеспечения.
  2. Определите, кто входит в зону ответственности для обеспечения.
  3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Cato Networks.

Шаг 2. Настройка Cato Networks для поддержки предоставления через Microsoft Entra ID

  1. Войдите в учетную запись в приложении управления Cato.
  2. В меню навигации выберите службы каталогов Access > и перейдите на вкладку раздел SCIM. Снимок экрана: переход к параметру SCIM.
  3. Выберите "Включить предоставление SCIM", чтобы подключить учетную запись к приложению SCIM. А затем нажмите кнопку "Сохранить". Снимок экрана настройки провизионирования SCIM.
  4. Скопируйте базовый URL-адрес. Выберите "Создать токен" и скопируйте маркер носителя. Базовый URL-адрес и маркер вводятся в поле "URL-адрес клиента " и " Секретный маркер " на вкладке "Подготовка" приложения Cato Network.

Добавьте Cato Networks из коллекции приложений Microsoft Entra, чтобы начать управление предоставлением доступа к Cato Networks. Узнайте подробнее о добавлении приложения из галереи здесь.

Шаг 4: Определите, кто входит в область предоставления ресурсов

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

  • Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрять это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

  • Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматического предоставления пользователей для Cato Networks

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Cato Networks на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Cato Networks в идентификаторе Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите к Entra ID>приложениям для предприятий

    снимок экрана панели корпоративных приложений.

  3. В списке приложений выберите Cato Networks.

    Снимок экрана: ссылка Cato Networks в списке

  4. Выберите вкладку Подготовка.

    Снимок экрана: вкладка настройки.

  5. Установите Режим конфигурирования на Автоматически.

    Снимок экрана вкладки автоматической конфигурации.

  6. В разделе "Учетные данные администратора" введите URL-адрес клиента Cato Networks и секретный маркер. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Cato Networks. Если подключение завершается ошибкой, убедитесь, что у учетной записи Cato Networks есть разрешения администратора и повторите попытку.

    Снимок экрана токена.

  7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

    Снимок экрана: сообщение электронной почты с уведомлением.

  8. Выберите Сохранить.

  9. В разделе «Сопоставления» выберите синхронизацию пользователей Microsoft Entra с Cato Networks.

  10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra в Cato Networks в разделе "Сопоставление атрибутов ". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Cato Networks для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Cato Networks поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации
    userName Струна
    emails[тип eq "рабочий"].value Струна
    активный булевый
    внешний_идентификатор Струна
    имя.имяОтчество Струна
    имя_фамилия Струна
    Номера телефонов [тип равен "работа"]. значение Струна

  11. В разделе Сопоставления выберите Синхронизировать группы Microsoft Entra с Cato Networks.

  12. Просмотрите атрибуты группы, которые синхронизируются из Microsoft Entra ID в Cato Networks в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления, используются для сопоставления групп в Cato Networks во время операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации
    отображаемое имя Струна
    внешний_идентификатор Струна
    члены Ссылка

  13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

  14. Чтобы включить службу подготовки Microsoft Entra для Cato Networks, измените состояние подготовки на "Включено " в разделе "Параметры ".

    Снимок экрана с включенным состоянием предоставления.

  15. Определите пользователей и/или группы, которым вы хотите предоставить доступ к Cato Networks, выбрав нужные значения в Объёме в разделе "Параметры".

    Скриншот области развертывания.

  16. Когда будете готовы настроить, нажмите Сохранить.

    Снимок экрана сохранения конфигурации настройки.

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие, которые происходят примерно каждые 40 минут при непрерывной работе службы подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

  1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
  2. Используйте индикатор выполнения, чтобы узнать текущее состояние цикла подготовки ресурсов и насколько близко он к завершению.
  3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

Связанный контент