Freigeben über

Konfigurieren des Zscaler Internet Access ZSCloud für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Zscaler Internet Access ZSCloud mit Microsoft Entra ID integrieren. Wenn Sie Zscaler Internet Access ZSCloud mit Microsoft Entra ID integrieren, können Sie:

  • Kontrollieren Sie mit Microsoft Entra ID, wer auf Zscaler Internet Access ZSCloud zugreifen kann.
  • Ermöglichen Sie Es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Zscaler Internet Access ZSCloud angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Zscaler Internet Access ZSCloud-Abonnement mit aktiviertem Single Sign-On.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Zscaler Internet Access ZSCloud unterstützt SP initiierte SSO.

  • Zscaler Internet Access ZSCloud unterstützt die Just In Time-Benutzerbereitstellung .

  • Zscaler Internet Access ZSCloud unterstützt die automatisierte Benutzerbereitstellung.

Um die Integration von Zscaler Internet Access ZSCloud in microsoft Entra ID zu konfigurieren, müssen Sie Zscaler Internet Access ZSCloud aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt "Aus Galerie hinzufügen" im Suchfeld Zscaler Internet Access ZSCloud ein.
  4. Wählen Sie Zsscaler Internet Access ZSCloud aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für Zscaler Internet Access ZSCloud

Konfigurieren und testen Sie Microsoft Entra SSO mit Zscaler Internet Access ZSCloud mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra-Benutzer und dem zugehörigen Benutzer in Zscaler Internet Access ZSCloud einrichten.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Zscaler Internet Access ZSCloud zu konfigurieren und zu testen:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
  2. Konfigurieren Sie Zscaler Internet Access ZSCloud SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie Zscaler Internet Access ZSCloud Testbenutzer – um ein Gegenstück von B.Simon in Zscaler Internet Access ZSCloud zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Internet Access ZSCloud>Single Sign-On.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Geben Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein:

    Geben Sie im Textfeld " Anmelde-URL " die URL ein, die Von Ihren Benutzern zum Anmelden bei Ihrer Zscaler Internet Access ZSCloud-Anwendung verwendet wird.

    Hinweis

    Sie müssen den Wert mit der richtigen Anmelde-URL aktualisieren. Wenden Sie sich an das Zscaler Internet Access ZSCloud Client-Supportteam , um den Wert zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  6. Ihre Zscaler Internet Access ZSCloud-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format, was erfordert, dass Sie Ihrer SAML-Tokenattributekonfiguration benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute. Wählen Sie das Symbol "Bearbeiten " aus, um das Dialogfeld " Benutzerattribute " zu öffnen.

    Screenshot: Benutzerattribute mit ausgewähltem Symbol

  7. Darüber hinaus erwartet die Zscaler Internet Access ZSCloud-Anwendung nur wenige weitere Attribute, die in der SAML-Antwort zurückgesendet werden. Führen Sie im Abschnitt "Benutzeransprüche " im Dialogfeld " Benutzerattribute " die folgenden Schritte aus, um das SAML-Token-Attribut hinzuzufügen, wie in der folgenden Tabelle gezeigt:

    Name Quellenattribut
    Mitglied von user.assignedroles

    a) Wählen Sie "Neuen Anspruch hinzufügen " aus, um das Dialogfeld " Benutzeransprüche verwalten" zu öffnen.

    Screenshot: Benutzeransprüche mit der Option zum Hinzufügen eines neuen Anspruchs.

    Screenshot des Dialogfelds

    b. Geben Sie im Textfeld "Name " den für diese Zeile angezeigten Attributnamen ein.

    Abschnitt c. Lassen Sie den Namespace leer.

    d. Wählen Sie "Quelle als Attribut" aus.

    e. Geben Sie in der Quell-Attributliste den für diese Zeile angezeigten Attributwert ein.

    f. Wählen Sie "Speichern" aus.

    Hinweis

    Bitte wählen Sie hier aus, um zu erfahren, wie Sie die Rolle in der Microsoft Entra-ID konfigurieren.

  8. Auf der Seite Set up Single Sign-On with SAML, wählen Sie im Abschnitt SAML Signing Certificate die Option Herunterladen aus, um das Zertifikat (Base64) nach Bedarf aus den angegebenen Optionen herunterzuladen und auf Ihrem Computer zu speichern.

    Der Link zum Herunterladen des Zertifikats

  9. Kopieren Sie im Abschnitt "Zsscaler Internet Access ZSCloud einrichten " die entsprechenden URL(n) gemäß Ihrer Anforderung.

    Kopieren von Konfigurations-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren Sie Zscaler Internet Access ZSCloud SSO

  1. Melden Sie sich in einem anderen Webbrowserfenster bei Ihrer Zscaler Internet Access ZSCloud-Unternehmenswebsite als Administrator an.

  2. Wechseln Sie zu den Authentifizierungseinstellungen > für die Verwaltung>, und führen Sie die folgenden Schritte aus:

    Screenshot der Zscaler-Website mit schritten wie beschrieben.

    a) Wählen Sie unter "Authentifizierungstyp" SAML aus.

    b. Wählen Sie "SAML konfigurieren" aus.

  3. Führen Sie im Fenster "SAML bearbeiten " die folgenden Schritte aus: und wählen Sie "Speichern" aus.

    Benutzer und Authentifizierung verwalten

    a) Fügen Sie im TEXTFELD der SAML-Portal-URL die Anmelde-URL ein.

    b. Geben Sie im Textfeld " Anmeldename-Attribut " "NameID" ein.

    Abschnitt c. Wählen Sie "Hochladen" aus, um das Azure SAML-Signaturzertifikat hochzuladen, das Sie aus dem Azure-Portal im öffentlichen SSL-Zertifikat heruntergeladen haben.

    d. Aktivieren Sie die automatische SAML-Bereitstellung.

    e. Geben Sie im Textfeld User Display Name AttributedisplayName ein, wenn Sie die automatische SAML-Bereitstellung für displayName-Attribute aktivieren möchten.

    f. Geben Sie im Textfeld Gruppenname-AttributmemberOf ein, wenn Sie die automatische SAML-Bereitstellung für memberOf-Attribute aktivieren möchten.

    g. Wenn Sie die automatische SAML-Bereitstellung für Abteilungsattribute aktivieren möchten, geben Sie im Attribut 'Abteilungsname' die Abteilung ein.

    h. Wählen Sie "Speichern" aus.

  4. Führen Sie auf der Seite " Benutzerauthentifizierung konfigurieren " die folgenden Schritte aus:

    Screenshot des Dialogfelds

    a) Bewegen Sie den Mauszeiger über das Menü "Aktivierung" unten links.

    b. Wählen Sie "Aktivieren" aus.

Konfigurieren von Proxyeinstellungen

So konfigurieren Sie die Proxyeinstellungen in Internet Explorer:

  1. Starten Sie Internet Explorer.

  2. Wählen Sie " Internetoptionen" im Menü "Extras " aus, um das Dialogfeld " Internetoptionen " zu öffnen.

    Internetoptionen

  3. Wählen Sie die Registerkarte "Verbindungen " aus.

    Verbindungen Verbindungen

  4. Wählen Sie LAN-Einstellungen aus, um das Dialogfeld "LAN-Einstellungen " zu öffnen.

  5. Führen Sie im Abschnitt "Proxyserver" die folgenden Schritte aus:

    Proxyserver

    a) Wählen Sie "Proxyserver verwenden" für Ihr LAN aus.

    b. Geben Sie im Textfeld "Adresse" das Gateway ein. Zscaler ZSCloud.net.

    Abschnitt c. Geben Sie im Textfeld "Port" 80 ein.

    d. Wählen Sie "Proxyserver umgehen" für lokale Adressen aus.

    e. Wählen Sie "OK " aus, um das Dialogfeld " Lan-Einstellungen" (Local Area Network) zu schließen.

  6. Wählen Sie 'OK ' aus, um das Dialogfeld " Internetoptionen " zu schließen.

Erstellen des Zscaler Internet Access ZSCloud-Testbenutzers

In diesem Abschnitt wird ein Benutzer namens Britta Simon in Zscaler Internet Access ZSCloud erstellt. Zscaler Internet Access ZSCloud unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Wenn ein Benutzer noch nicht in Zscaler Internet Access ZSCloud vorhanden ist, wird nach der Authentifizierung ein neuer erstellt.

Hinweis

Wenn Sie einen Benutzer manuell erstellen müssen, wenden Sie sich an das Zscaler Internet Access ZSCloud-Supportteam.

Hinweis

Zscaler Internet Access ZSCloud unterstützt auch die automatische Benutzerbereitstellung. Hier finden Sie weitere Details zum Konfigurieren der automatischen Benutzerbereitstellung.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu Zscaler Internet Access ZSCloud Sign-On-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Wechseln Sie direkt zur Zscaler Internet Access ZSCloud-Anmelde-URL, und initiieren Sie den Anmeldefluss von dort aus.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Zscaler Internet Access ZSCloud-Kachel in den "Meine Apps" auswählen, leitet diese Option zur Zscaler Internet Access ZSCloud-Anmelde-URL um. Weitere Informationen finden Sie unter Microsoft Entra My Apps.

Verwandte Inhalte

Nachdem Sie Zscaler Internet Access ZSCloud konfiguriert haben, können Sie die Sitzungssteuerung erzwingen, die Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation in Echtzeit schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.