Konfigurieren von Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

Ziel dieses Artikels ist es, die Schritte zu veranschaulichen, die in Zscaler Private Access (ZPA) und Microsoft Entra ID ausgeführt werden sollen, um Microsoft Entra ID so zu konfigurieren, dass Benutzer und/oder Gruppen automatisch für Zscaler Private Access (ZPA) bereitgestellt und entzogen werden.

Hinweis

In diesem Artikel wird ein Connector beschrieben, der auf dem Microsoft Entra-Benutzerbereitstellungsdienst basiert. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Einen Zscaler Private Access (ZPA)-Mandanten
• Ein Benutzerkonto in Zscaler Private Access (ZPA) mit Administratorberechtigungen

Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

Microsoft Entra ID ermittelt anhand von Zuweisungen, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzer*innen werden nur die Benutzer*innen und/oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.

Vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung müssen Sie entscheiden, welche Benutzer und/oder Gruppen in Azure AD Zugriff auf Zscaler Private Access (ZPA) benötigen. Anschließend können Sie diese Benutzer und/oder Gruppen Zscaler Private Access (ZPA) wie folgt zuweisen:

• Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App

Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

• Es wird empfohlen, dass einem einzelnen Microsoft Entra-Benutzer Zscaler Private Access (ZPA) zugewiesen wird, um die automatische Benutzerbereitstellungskonfiguration zu testen. Später können weitere Benutzer und/oder Gruppen zugewiesen werden.

• Beim Zuweisen eines Benutzers zu Zscaler Private Access (ZPA) müssen Sie eine gültige anwendungsspezifische Rolle (sofern verfügbar) im Dialogfeld für die Zuweisung auswählen. Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen.

Einrichten von Zscaler Private Access (ZPA) für die Bereitstellung

1. Melden Sie sich bei Ihrer Zscaler Private Access (ZPA)-Verwaltungskonsole an. Navigieren Sie zu Administration > IdP Configuration (Verwaltung > IdP-Konfiguration).

   

2. Stellen Sie sicher, dass ein IdP für einmaliges Anmelden konfiguriert ist. Wenn kein IdP eingerichtet ist, fügen Sie eins hinzu, indem Sie das Plussymbol in der oberen rechten Ecke des Bildschirms auswählen.

   

3. Folgen Sie dem Assistenten zum Hinzufügen von IdP-Konfigurationen, um einen IdP hinzuzufügen. Übernehmen Sie im Feld Einmaliges Anmelden die Einstellung Benutzer. Geben Sie einen Namen an, und wählen Sie in der Dropdownliste die Domänen aus. Wählen Sie "Weiter" aus, um zum nächsten Fenster zu navigieren.

   

4. Laden Sie das Zertifikat des Dienstanbieters herunter. Wählen Sie "Weiter" aus, um zum nächsten Fenster zu navigieren.

   

5. Laden Sie im nächsten Fenster das Zertifikat des Dienstanbieters hoch, das Sie zuvor heruntergeladen haben.

   

6. Scrollen Sie nach unten, um die URL für einmaliges Anmelden und IdP Entity ID (IdP-Entitäts-ID) anzugeben.

   

7. Scrollen Sie nach unten, um SCIM-Synchronisierung zu aktivieren. Wählen Sie die Schaltfläche " Neues Token generieren " aus. Kopieren Sie das Bearertoken. Dieser Wert wird im Feld "Geheimes Token" auf der Registerkarte "Bereitstellung" Ihrer Zscaler Private Access-Anwendung (ZPA) eingegeben.

   

8. Navigieren Sie zu (Verwaltung > IdP-Konfiguration), um die > zu finden. Wählen Sie den Namen der neu hinzugefügten IdP-Konfiguration aus, die auf der Seite aufgeführt ist.

   

9. Scrollen Sie nach unten, um den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt) am Ende der Seite anzuzeigen. Kopieren Sie den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt). Dieser Wert wird im Feld "Tenant URL" auf der Registerkarte "Bereitstellung" Ihrer Zscaler Private Access (ZPA) Anwendung eingegeben.

   

Hinzufügen von Zscaler Private Access (ZPA) über den Katalog

Bevor Sie Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung mit Azure AD konfigurieren, müssen Sie Zscaler Private Access (ZPA) aus dem Azure AD-Anwendungskatalog zu Ihrer Liste verwalteter SaaS-Anwendungen hinzufügen.

Führen Sie die folgenden Schritte aus, um Zscaler Private Access (ZPA) aus dem Azure AD-Anwendungskatalog hinzuzufügen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Zscaler Private Access (ZPA) ein, und wählen Sie Zscaler Private Access (ZPA) im Suchfeld aus.
4. Wählen Sie im Ergebnisbereich Zscaler Private Access (ZPA) aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Konfigurieren der automatischen Benutzerbereitstellung in Zscaler Private Access (ZPA)

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern*innen bzw. Gruppen in SpaceIQ auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.

Tipp

Sie können auch SAML-basiertes Einmaliges Anmelden für Zscaler Private Access (ZPA) aktivieren, indem Sie die Anweisungen im Artikel zum Einmaligen Anmelden (ZPA) von Zscaler befolgen. Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.

Hinweis

Beim Bereitstellen oder Aufheben der Bereitstellung von Benutzern und Gruppen wird empfohlen, die Bereitstellung in regelmäßigen Abständen neu zu starten, um sicherzustellen, dass die Gruppenmitgliedschaften ordnungsgemäß aktualisiert werden. Durch einen Neustart wird der Dienst gezwungen, alle Gruppen neu auszuwerten und die Mitgliedschaften zu aktualisieren.

Hinweis

Weitere Informationen zum SCIM-Endpunkt von Zscaler Private Access finden Sie hier.

So konfigurieren Sie die automatische Benutzerbereitstellung für Zscaler Private Access (ZPA) in Azure AD:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Private Access (ZPA).

   

3. Wählen Sie die Registerkarte Bereitstellung.

   

4. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

   

5. Geben Sie im Abschnitt Administratoranmeldeinformationen den Wert für SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt) ein, den Sie zuvor in Mandanten-URL abgerufen haben. Geben Sie den Wert für Bearertoken ein, den Sie zuvor unter Geheimes Token abgerufen haben. Wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Zscaler Private Access (ZPA) herstellen kann. Falls beim Verbindungsaufbau ein Fehler auftritt, stellen Sie sicher, dass Ihr Zscaler Private Access (ZPA)-Konto über Administratorberechtigungen verfügt, und versuchen Sie es noch einmal.

   

6. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

   

7. Wählen Sie Speichern aus.

8. Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Benutzer mit Zscaler One synchronisieren aus.

9. Überprüfen Sie im Abschnitt Attributzuordnung die Benutzerattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Zscaler Private Access (ZPA) für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

   Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Private Access
   Nutzername	Schnur	✓	✓
   externalId	Schnur
   aktiv	Boolescher Typ (Boolean)
   E-Mails[Typ eq "Arbeit"].Wert	Schnur
   Name.Vorname	Schnur
   Name.Familienname	Schnur
   Anzeigename	Schnur
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:Abteilung	Schnur

10. Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Gruppen mit Zscaler One synchronisieren aus.

11. Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Zscaler Private Access (ZPA) für Updatevorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Private Access
    Anzeigename	Schnur	✓	✓
    Mitglieder	Verweis
    externalId	Schnur

12. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.

13. Ändern Sie im Bereich Einstellungen den Bereitstellungsstatus in Ein, um den Azure AD-Bereitstellungsdienst für Zscaler Private Access (ZPA) zu aktivieren.

    

14. Legen Sie die Benutzer und/oder Gruppen fest, die in Zscaler Private Access (ZPA) bereitgestellt werden sollen. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.

    

15. Wenn Sie zur Bereitstellung bereit sind, wählen Sie „Speichern“ aus.

    

Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird. Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Berichten zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Azure AD-Bereitstellungsdienst in Zscaler Private Access (ZPA) ausgeführt werden.

Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen