Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Zscaler Internet Access ZSThree mit Microsoft Entra ID integrieren. Wenn Sie Zscaler Internet Access ZSThree mit Microsoft Entra ID integrieren, können Sie:
- Verwalten Sie in Microsoft Entra ID, wer Zugriff auf Zscaler Internet Access ZSThree hat.
- Ermöglichen Sie Es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei Zscaler Internet Access ZSThree angemeldet zu sein.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Zscaler Internet Access ZSThree Single Sign-On (SSO) aktiviertes Abonnement.
Szenariobeschreibung
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Zscaler Internet Access ZSThree unterstützt SP initiierte SSO.
Zscaler Internet Access ZSThree unterstützt die Just In Time-Benutzerbereitstellung .
Zscaler Internet Access ZSThree unterstützt die automatisierte Benutzerbereitstellung.
Hinweis
Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, sodass nur eine Instanz in einem Mandanten konfiguriert werden kann.
Hinzufügen von Zscaler Internet Access ZSThree aus der Galerie
Um die Integration von Zscaler Internet Access ZSThree in Microsoft Entra ID zu konfigurieren, müssen Sie Zscaler Internet Access ZSThree aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
- Geben Sie im Abschnitt "Aus Galerie hinzufügen" im Suchfeld Zscaler Internet Access ZSThree ein.
- Wählen Sie Zscaler Internet Access ZSThree aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen von Microsoft Entra SSO für Zscaler Internet Access ZSThree
Konfigurieren und testen Sie Microsoft Entra SSO mit Zscaler Internet Access ZSThree mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra-Benutzer und dem zugehörigen Benutzer in Zscaler Internet Access ZSThree einrichten.
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Zscaler Internet Access ZSThree zu konfigurieren und zu testen:
-
Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
-
Konfigurieren Sie Zsscaler Internet Access ZSThree SSO , um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
- Erstellen Sie Zscaler Internet Access ZSThree Testbenutzer – um ein Gegenstück von B.Simon in Zscaler Internet Access ZSThree zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
- Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.
Microsoft Entra SSO konfigurieren
Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Internet Access ZSThree>Single Sign-On.
Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.
Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Basic SAML Configuration die Werte für die folgenden Felder ein:
Geben Sie im Textfeld Anmelde-URL die URL ein:
https://login.zscalerthree.net/sfc_sso.Ihre Zscaler Internet Access ZSThree-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format, was erfordert, dass Sie Ihrer SAML-Tokenattributekonfiguration benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.
Zusätzlich zu den oben genannten Punkten erwartet die ZSThree-Anwendung von Zscaler Internet Access einige weitere Attribute, die in der SAML-Antwort zurückgegeben werden sollen und die unten angezeigt werden. Diese Attribute sind auch bereits ausgefüllt, sie können jedoch entsprechend Ihrer Anforderung überprüft werden.
Name Quellenattribut Mitglied von user.assignedroles Hinweis
Bitte wählen Sie hier aus, um zu erfahren, wie Sie die Rolle in der Microsoft Entra-ID konfigurieren.
Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML", im Abschnitt "SAML-Signaturzertifikat", nach "Zertifikat (Base64)" und wählen Sie "Herunterladen", um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Im Abschnitt Einrichtung von Zscaler Internet Access ZSThree kopieren Sie die entsprechenden URLs basierend auf Ihrer Anforderung.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren des Zscaler Internet Access ZSThree SSO
Melden Sie sich in einem anderen Webbrowserfenster bei Ihrer Zscaler Internet Access ZSThree-Unternehmenswebsite als Administrator an.
Wechseln Sie zu den Authentifizierungseinstellungen > für die Verwaltung>, und führen Sie die folgenden Schritte aus:
a) Wählen Sie unter "Authentifizierungstyp" SAML aus.
b. Wählen Sie "SAML konfigurieren" aus.
Führen Sie im Fenster "SAML bearbeiten " die folgenden Schritte aus: und wählen Sie "Speichern" aus.
a) Fügen Sie im TEXTFELD der SAML-Portal-URL die Anmelde-URL ein.
b. Geben Sie im Textfeld " Anmeldename-Attribut " "NameID" ein.
Abschnitt c. Wählen Sie "Hochladen" aus, um das Azure SAML-Signaturzertifikat hochzuladen, das Sie aus dem Azure-Portal im öffentlichen SSL-Zertifikat heruntergeladen haben.
d. Aktivieren Sie die automatische SAML-Bereitstellung.
e. Geben Sie im Textfeld User Display Name AttributedisplayName ein, wenn Sie die automatische SAML-Bereitstellung für displayName-Attribute aktivieren möchten.
f. Geben Sie im Textfeld Gruppenname-AttributmemberOf ein, wenn Sie die automatische SAML-Bereitstellung für memberOf-Attribute aktivieren möchten.
g. Wenn Sie die automatische SAML-Bereitstellung für Abteilungsattribute aktivieren möchten, geben Sie im Attribut 'Abteilungsname' die Abteilung ein.
h. Wählen Sie Speichern aus.
Führen Sie auf der Seite " Benutzerauthentifizierung konfigurieren " die folgenden Schritte aus:
a) Bewegen Sie den Mauszeiger links unten auf das Menü Aktivierung.
b. Wählen Sie "Aktivieren" aus.
Konfigurieren von Proxyeinstellungen
So konfigurieren Sie die Proxyeinstellungen in Internet Explorer:
Starten Sie Internet Explorer.
Wählen Sie " Internetoptionen" im Menü "Extras " aus, um das Dialogfeld " Internetoptionen " zu öffnen.
Wählen Sie die Registerkarte "Verbindungen " aus.
Wählen Sie LAN-Einstellungen aus, um das Dialogfeld "LAN-Einstellungen " zu öffnen.
Führen Sie im Abschnitt "Proxyserver" die folgenden Schritte aus:
a) Wählen Sie "Proxyserver verwenden" für Ihr LAN aus.
b. Geben Sie in das Textfeld „Adresse“ gateway.Zscaler Three.net ein.
Abschnitt c. Geben Sie im Textfeld "Port" 80 ein.
d. Wählen Sie "Proxyserver umgehen" für lokale Adressen aus.
e. Wählen Sie "OK " aus, um das Dialogfeld " Lan-Einstellungen" (Local Area Network) zu schließen.
Wählen Sie 'OK ' aus, um das Dialogfeld " Internetoptionen " zu schließen.
Erstellen des Zscaler Internet Access ZSThree-Testbenutzers
In diesem Abschnitt wird ein Benutzer namens B.Simon in Zscaler Internet Access ZSThree erstellt. Zscaler Internet Access ZSThree unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Wenn ein Benutzer noch nicht in Zscaler Internet Access ZSThree vorhanden ist, wird ein neuer erstellt, wenn Sie versuchen, auf Zscaler Internet Access ZSThree zuzugreifen.
Hinweis
Wenn Sie einen Benutzer manuell erstellen müssen, wenden Sie sich an das Zscaler Internet Access ZSThree-Supportteam.
Hinweis
Zscaler Internet Access ZSThree unterstützt auch die automatische Benutzerbereitstellung. Hier finden Sie weitere Details zum Konfigurieren der automatischen Benutzerbereitstellung.
Testen von SSO
In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu Zscaler Internet Access ZSThree-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.
Wechseln Sie direkt zur Zsscaler Internet Access ZSThree-Anmelde-URL, und initiieren Sie den Anmeldefluss von dort aus.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Zscaler Internet Access ZSThree-Kachel in den "Meine Apps" auswählen, wird diese Option zur Zscaler Internet Access ZSThree-Anmelde-URL umgeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Verwandte Inhalte
Nachdem Sie Zscaler Internet Access ZSThree konfiguriert haben, können Sie die Sitzungssteuerung erzwingen, die Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation in Echtzeit schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.