소개
이 문서에서는 SCIM 표준을 기반으로 Umbrella가 Azure Active Directory 및 Okta에서 사용자 및 그룹 ID 프로비저닝을 지원하는 방법에 대해 설명합니다.
지원되는 사용 사례
Umbrella SWG:
- IPsec 터널, PAC 파일 또는 프록시 체이닝을 통해 SWG에 연결하는 최종 사용자에 대해 Azure AD/Okta에 대한 SAML 인증 설정과 함께 Azure AD/Okta에서 사용자 및 그룹 ID를 가져옵니다.
- 온-프레미스 AD 또는 Azure AD에 대해 인증되는 장치에서 AnyConnect SWG 모듈에 대한 사용자 ID를 사용하도록 설정하려면 Azure AD에서 사용자 및 그룹 ID를 가져옵니다.
- 온프레미스 AD에 대해 인증되는 디바이스에서 AnyConnect SWG 모듈에 대한 사용자 ID를 활성화하려면 Okta에서 사용자 및 그룹 ID를 가져옵니다.
Umbrella DNS:
- 온-프레미스 AD 또는 Azure AD에 대해 인증되는 장치에서 AnyConnect DNS 모듈/로밍 클라이언트에 대한 사용자 ID를 사용하도록 설정하려면 Azure AD에서 사용자 및 그룹 ID를 가져옵니다.
- 온프레미스 AD에 대해 인증되는 디바이스에서 AnyConnect DNS 모듈/로밍 클라이언트에 대한 사용자 ID를 활성화하려면 Okta에서 사용자 및 그룹 ID를 가져옵니다.
제약 조건
- Azure AD/Okta는 Umbrella VA(Virtual Appliance)에 대한 사용자 ID 통합을 제공할 수 없습니다. Azure AD/Okta에는 VA에 필요한 개인 IP - 사용자 매핑에 대한 가시성이 없기 때문입니다. VA 구축에서는 AD 통합을 용이하게 하기 위해 온프레미스 Umbrella AD 커넥터를 구축해야 합니다.
- 온-프레미스 AD 및 Azure AD/Okta에서 동일한 사용자/그룹 ID를 동시에 배포할 수 없습니다. 사용자 및 그룹을 프로비저닝하기 위해 온프레미스 AD 커넥터를 배포한 적이 있고 Azure AD/Okta에서 동일한 사용자 및 그룹 ID를 프로비저닝하려는 경우 Azure AD/Okta 프로비저닝을 켜기 전에 AD 커넥터를 중지해야 합니다.
- Azure AD/Okta에서 프로비저닝할 수 있는 사용자 수에는 제한이 없습니다. 그룹의 경우 Azure AD/Okta에서 Umbrella 조직에 최대 200개의 그룹을 프로비저닝할 수 있습니다. Azure AD는 동적 그룹을 지원하므로 '모든 사용자' 그룹을 만들고 Umbrella 정책을 정의하려는 최대 199개의 다른 그룹과 함께 이 그룹을 프로비저닝할 수 있습니다. 마찬가지로 Okta에는 Everyone 그룹이 내장되어 있으므로 정책을 정의하려는 최대 199개의 다른 그룹과 함께 이 그룹을 프로비저닝할 수 있습니다.
- AnyConnect SWG는 Azure AD에 대한 SAML 인증을 지원하지 않습니다. 온프레미스 AD와 함께 사용되는 것과 동일한 수동 인증 메커니즘에 의존합니다.
프로비저닝 ID
이러한 ID 공급자 중 하나에서 ID를 프로비저닝하려면 아래 링크에 설명된 지침을 사용할 수 있습니다.