Comprendre la prise en charge Umbrella pour l'importation d'identités d'utilisateur et de groupe depuis Azure AD et Okta

Introduction

Ce document décrit Umbrella qui prend désormais en charge l'approvisionnement des identités d'utilisateur et de groupe à partir d'Azure Active Directory et d'Okta, sur la base de la norme SCIM.

Cas d'utilisation pris en charge

Umbrella SWG :

• Importez des identités d'utilisateur et de groupe à partir d'Azure AD/Okta en même temps que la configuration de l'authentification SAML avec Azure AD/Okta pour les utilisateurs finaux qui se connectent à SWG via un tunnel IPsec, des fichiers PAC ou un chaînage de proxy.
• Importez des identités d'utilisateur et de groupe à partir d'Azure AD pour activer l'identification d'utilisateur pour le module AnyConnect SWG sur les appareils qui s'authentifient auprès d'Azure AD local ou d'Azure AD.
• Importez les identités d'utilisateur et de groupe à partir d'Okta pour activer l'identification d'utilisateur pour le module AnyConnect SWG sur les périphériques qui s'authentifient par rapport à AD local.

DNS parapluie :

• Importez des identités d'utilisateur et de groupe à partir d'Azure AD pour activer l'identification d'utilisateur pour le module DNS AnyConnect/le client d'itinérance sur les appareils qui s'authentifient auprès d'Azure AD local ou d'Azure AD.
• Importez des identités d'utilisateur et de groupe à partir d'Okta pour activer l'identification d'utilisateur pour le module DNS AnyConnect/le client d'itinérance sur les périphériques qui s'authentifient par rapport à AD local.

Restrictions

• Azure AD/Okta ne peut pas fournir d'intégration d'identité d'utilisateur pour les appareils virtuels (VA) Umbrella. En effet, Azure AD/Okta n'a pas de visibilité sur les mappages IP - utilisateur privés, qui sont requis par les VA. Les déploiements VA continuent de nécessiter le déploiement d'un connecteur AD Umbrella sur site pour faciliter l'intégration AD.
• Le déploiement simultané des mêmes identités utilisateur/groupe à partir d'AD sur site et d'Azure AD/Okta n'est pas pris en charge. Si vous avez précédemment déployé un connecteur AD sur site pour mettre en service des utilisateurs et des groupes et que vous cherchez à présent à mettre en service les mêmes identités d'utilisateur et de groupe à partir d'Azure AD/Okta, vous devez obligatoirement arrêter le connecteur AD avant d'activer la mise en service d'Azure AD/Okta.
• Il n'y a pas de limite au nombre d'utilisateurs qui peuvent être provisionnés à partir d'Azure AD/Okta. Pour les groupes, un maximum de 200 groupes peuvent être provisionnés à partir d'Azure AD/Okta vers une organisation parapluie. Azure AD prend en charge les groupes dynamiques. Vous pouvez donc créer un groupe « Tous les utilisateurs » et le mettre en service avec jusqu'à 199 autres groupes sur lesquels ils souhaitent définir une stratégie Umbrella. Okta dispose également d'un groupe Tout le monde intégré. Vous pouvez donc configurer ce groupe avec jusqu'à 199 autres groupes sur lesquels ils souhaitent définir une stratégie.
• AnyConnect SWG ne prend pas en charge une authentification SAML avec Azure AD. Il repose sur le même mécanisme d'authentification passive que celui utilisé avec la fonction AD sur site.

Identités de provisionnement

Pour mettre en service des identités à partir de l'un de ces fournisseurs d'identités, vous pouvez utiliser les instructions documentées sur les liens ci-dessous :

• Approvisionner les identités à partir d'Azure AD : https://docs.umbrella.com/umbrella-user-guide/docs/microsoft-azure-ad-integration
• Approvisionner les identités à partir d'Okta : https://docs.umbrella.com/umbrella-user-guide/docs/okta-integration