Tutorial: Konfigurieren von Zscaler Three für die automatische Benutzerbereitstellung

In diesem Tutorial wird beschrieben, wie Sie Microsoft Entra ID zum automatischen Bereitstellen und Aufheben der Bereitstellung von Benutzern bzw. Gruppen in Zscaler Three konfigurieren.

Hinweis

In diesem Tutorial wird ein Connector beschrieben, der auf dem Microsoft Entra-Benutzerbereitstellungsdienst basiert. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie Antworten auf häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Microsoft Entra ID.

Voraussetzungen

Zum Durchführen der Schritte in diesem Tutorial benötigen Sie Folgendes:

• Ein Microsoft Entra-Mandant.
• Einen Zscaler Three-Mandanten.
• Ein Benutzerkonto in Zscaler Three mit Administratorberechtigungen.

Hinweis

Die Microsoft Entra-Bereitstellungsintegration basiert auf der Zscaler ZSCloud-SCIM-API, die für Unternehmenskonten verfügbar ist.

Hinzufügen von Zscaler Three aus dem Katalog

Bevor Sie Zscaler Three für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, müssen Sie Zscaler Three aus dem Microsoft Entra-Anwendungskatalog Ihrer Liste verwalteter SaaS-Anwendungen hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Zscaler Three.
3. Wählen Sie in den Ergebnissen Zscaler Three und dann Hinzufügen aus.

Zuweisen von Benutzern zu Zscaler Three

Für Microsoft Entra-Benutzer muss der Zugriff auf ausgewählte Apps zugewiesen werden, bevor diese die Apps nutzen können. Im Kontext der automatischen Benutzerbereitstellung werden nur die Benutzer*innen oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen sind.

Vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung müssen Sie entscheiden, welche Benutzer oder Gruppen in Microsoft Entra ID Zugriff auf Zscaler Three benötigen. Nachdem Sie die Entscheidung getroffen haben, können Sie diese Benutzer und Gruppen Zscaler Three zuweisen, indem Sie die Anleitung unter Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App in Azure Active Directory befolgen.

Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler Three

• Wir haben empfohlen, Zscaler Three eine*n einzelne*n Microsoft Entra-Benutzer*in zuzuweisen, um die Konfiguration der automatischen Benutzerbereitstellung zu testen. Sie können später dann weitere Benutzer und Gruppen zuweisen.

• Beim Zuweisen eines Benutzers zu Zscaler Three müssen Sie im Dialogfeld für die Zuweisung eine gültige anwendungsspezifische Rolle (sofern verfügbar) auswählen. Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen.

Einrichten der automatischen Benutzerbereitstellung

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in Zscaler Three auf der Grundlage von Benutzer- und Gruppenzuweisungen in Microsoft Entra ID erläutert.

Tipp

Es kann auch ratsam sein, SAML-basiertes einmaliges Anmelden für Zscaler Three zu aktivieren. Befolgen Sie hierfür die Anleitung im Tutorial für einmaliges Anmelden mit Zscaler Three. Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, aber diese beiden Features ergänzen sich gegenseitig.

Hinweis

Beim Bereitstellen oder Aufheben der Bereitstellung von Benutzern und Gruppen wird empfohlen, die Bereitstellung in regelmäßigen Abständen neu zu starten, um sicherzustellen, dass die Gruppenmitgliedschaften ordnungsgemäß aktualisiert werden. Durch einen Neustart wird der Dienst gezwungen, alle Gruppen neu auszuwerten und die Mitgliedschaften zu aktualisieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Zscaler Three.

   

3. Wählen Sie in der Liste mit den Anwendungen Zscaler Three aus:

   

4. Wählen Sie die Registerkarte Bereitstellung:

   

5. Legen Sie den Bereitstellungsmodus auf Automatisch fest:

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen die Mandanten-URL und das geheime Token Ihres Zscaler Three-Kontos ein. Dies ist im nächsten Schritt beschrieben.

7. Navigieren Sie zum Abrufen der Angaben für Mandanten-URL und Geheimes Token im Zscaler Three-Portal zu Administration>Authentication Settings (Verwaltung > Authentifizierungseinstellungen), und wählen Sie unter Authentication Type (Authentifizierungstyp) die Option SAML:

   

8. Wählen Sie Configure SAML (SAML konfigurieren), um das Fenster Configure SAML (SAML konfigurieren) zu öffnen:

   

9. Wählen Sie Enable SCIM-Based Provisioning (SCIM-basierte Bereitstellung aktivieren), und kopieren Sie die Basis-URL und das Bearertoken. Speichern Sie anschließend die Einstellungen. Fügen Sie im Azure-Portal die Basis-URL im Feld Mandanten-URL und das Bearertoken im Feld Geheimes Token ein.

10. Wählen Sie nach dem Eingeben der Werte in die Felder Mandanten-URL und Geheimes Token die Option Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Zscaler Three herstellen kann. Wenn die Verbindung nicht möglich ist, sollten Sie sicherstellen, dass Ihr Zscaler Three-Konto über Administratorberechtigungen verfügt, und den Vorgang wiederholen.

    

11. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll. Wählen Sie Bei Fehler E-Mail-Benachrichtigung senden:

    

12. Wählen Sie Speichern.

13. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer mit Zscaler Three synchronisieren aus.

14. Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Zscaler Three synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Zscaler Three für Updatevorgänge verwendet werden. Wählen Sie Speichern aus, um Ihre Änderungen zu committen.

    Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Three
    userName	String	✓	✓
    externalId	String		✓
    aktiv	Boolean		✓
    name.givenName	String
    name.familyName	String
    displayName	String		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String		✓

15. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Gruppen mit Zscaler Three synchronisieren aus.

16. Überprüfen Sie im Abschnitt Attributzuordnungen die Gruppenattribute, die von Microsoft Entra ID mit Zscaler Three synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Zscaler Three für Updatevorgänge verwendet. Wählen Sie Speichern aus, um Ihre Änderungen zu committen.

    Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Three
    displayName	String	✓	✓
    members	Verweis
    externalId	String		✓

17. Wenn Sie Bereichsfilter konfigurieren möchten, hilft Ihnen die Anleitung unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern weiter.

18. Um den Microsoft Entra-Bereitstellungsdienst für Zscaler Three zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen zu Ein:

    

19. Legen Sie die Benutzer und/oder Gruppen fest, die Sie in Zscaler Three bereitstellen möchten. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus:

    

20. Wählen Sie Speichern, wenn Sie bereit für die Bereitstellung sind:

    

Bei diesem Vorgang wird die Erstsynchronisierung aller Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird. Sie können den Fortschritt im Abschnitt Synchronisierungsdetails überwachen. Außerdem können Sie die Links zu einem Bericht zu den Bereitstellungsaktivitäten verwenden. Darin werden alle Aktionen beschrieben, die vom Microsoft Entra-Bereitstellungsdienst für Zscaler Three durchgeführt werden.

Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Nächste Schritte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen