المقدمة
يصف هذا المستند Umbrella الذي يدعم الآن توفير هويات المستخدمين والمجموعات من Azure Active Directory و OKTA، استنادا إلى معيار SCIM.
حالات الاستخدام المدعومة
Umbrella SWG:
- قم باستيراد هويات المستخدمين والمجموعات من Azure AD/OKTA بالاقتران مع إعداد مصادقة SAML مقابل Azure AD/OKTA للمستخدمين النهائيين المتصلين ب SWG عبر نفق IPsec أو ملفات PAC أو سلاسل الوكيل.
- قم باستيراد هويات المستخدمين والمجموعات من Azure AD لتمكين تعريف المستخدم لوحدة SWG ل AnyConnect على الأجهزة التي تقوم بالمصادقة مقابل AD (واجهة مستخدم/مجموعة) أو Azure AD.
- قم باستيراد هويات المستخدمين والمجموعات من OKTA لتمكين تعريف المستخدم لوحدة SWG ل AnyConnect على الأجهزة التي تصادق ضد AD داخلي.
Umbrella DNS:
- قم باستيراد هويات المستخدم والمجموعة من Azure AD لتمكين تعريف المستخدم للوحدة النمطية AnyConnect DNS/العميل المتجول على الأجهزة التي تقوم بالمصادقة مقابل AD (الإعداد المسبق) أو Azure AD.
- قم باستيراد هويات المستخدمين والمجموعات من OKTA لتمكين تعريف المستخدم للوحدة النمطية AnyConnect DNS/العميل المتجول على الأجهزة التي تتم مصادقتها مقابل AD داخلي.
قيود
- يتعذر على Azure AD/OKTA توفير تكامل هوية المستخدم للأجهزة الظاهرية (VAs) Umbrella. وذلك لأن Azure AD/OKTA لا يحتوي على إمكانية رؤية تعيينات مستخدم - IP الخاصة، والتي تكون مطلوبة من قبل VAs. لا تزال عمليات نشر VA تتطلب نشر موصل AD (المظلة) المحلي لتسهيل تكامل AD.
- لا يتم دعم النشر المتزامن لنفس هويات المستخدم/المجموعة من AD المحلي و Azure AD/OKTA. إذا كنت قد قمت سابقا بنشر موصل AD محلي لتزويد المستخدمين والمجموعات، وتبحث الآن عن توفير نفس هويات المستخدم والمجموعة من Azure AD/Okta، فإنك تحتاج بشكل إلزامي إلى إيقاف موصل AD قبل تشغيل إمداد Azure AD/Okta.
- لا يوجد حد لعدد المستخدمين الذين يمكن تزويدهم من Azure AD/OKTA. بالنسبة للمجموعات، يمكن توفير 200 مجموعة كحد أقصى من Azure AD/OKTA إلى مؤسسة Umbrella. يدعم Azure AD المجموعات الديناميكية، بحيث يمكنك إنشاء مجموعة "جميع المستخدمين"، وتوفير هذه المجموعة مع ما يصل إلى 199 مجموعة أخرى يريدون تحديد سياسة Umbrella عليها. أوكتا على نحو مماثل لديها مجموعة مدمجة من الجميع، بحيث يمكنك تزويد هذه المجموعة مع ما يصل إلى 199 مجموعة أخرى يريدون تحديد السياسة عليها.
- لا يدعم AnyConnect SWG مصادقة SAML مقابل Azure AD. يعتمد على نفس آلية المصادقة السلبية التي تستخدم مع AD المحلي.
تزويد الهويات
لتزويد هويات من أي من مزودي الهوية هؤلاء، يمكنك إستخدام التعليمات الموثقة في الروابط أدناه: