Konfigurieren von Zscaler Private Access (ZPA) für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Zscaler Private Access (ZPA) mit Microsoft Entra ID integrieren. Die Integration von Zscaler Private Access (ZPA) in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf Zscaler Private Access (ZPA) hat.
• Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Zscaler Private Access (ZPA) anzumelden (einmaliges Anmelden; Single Sign-On, SSO).
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Abonnement für Zscaler Private Access (ZPA), für das einmaliges Anmelden aktiviert ist

Hinweis

Diese Integration ist auch für die Verwendung aus der Microsoft Entra US Government Cloud-Umgebung verfügbar. Sie finden diese Anwendung im Microsoft Entra US Government Cloud Application Gallery und konfigurieren sie auf die gleiche Weise wie in der öffentlichen Cloud.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• Zscaler Private Access (ZPA) unterstützt SP-initiiertes einmaliges Anmelden.
• Zscaler Private Access (ZPA) unterstützt die automatisierte Bereitstellung von Benutzern.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, sodass nur eine Instanz in einem Mandanten konfiguriert werden kann.

Hinzufügen von Zscaler Private Access (ZPA) über den Katalog

Zum Konfigurieren der Integration von Zscaler Private Access (ZPA) in Microsoft Entra ID müssen Sie Zscaler Private Access (ZPA) aus dem Katalog zur Liste mit den verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Zscaler Private Access (ZPA) in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich Zscaler Private Access (ZPA) aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für Zscaler Private Access (ZPA)

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit Zscaler Private Access (ZPA) mithilfe eines Testbenutzers namens B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Zscaler Private Access (ZPA) eingerichtet werden.

Führen Sie die folgenden Schritte aus, und testen Sie das einmalige Anmelden von Microsoft Entra bei Zscaler Private Access (ZPA). Führen Sie dazu die folgenden Schritte durch:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren des einmaligen Anmeldens (SSO) für Zscaler Private Access (ZPA) , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
   1. Erstellen Sie Zscaler Private Access (ZPA)-Testbenutzer , um ein Gegenstück von B.Simon in Zscaler Private Access (ZPA) zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Private Access (ZPA) Anwendungsintegrationsseite, suchen Sie den Abschnitt Verwalten und wählen Sie Einmaliges Anmelden aus.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie auf der Seite "Grundlegende SAML-Konfiguration " die folgenden Schritte aus:

   1. Geben Sie im Textfeld Bezeichner (Entitäts-ID) die URL ein: https://samlsp.private.zscaler.com/auth/metadata

   2. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://samlsp.private.zscaler.com/auth/login?domain=<DOMAIN_NAME>.

   Hinweis

   Der Wert der Anmelde-URL ist nicht real. Aktualisieren Sie den Wert mit der tatsächlichen Anmelde-URL. Wenden Sie sich an das Supportteam für den Zscaler Private Access (ZPA)-Client, um den Wert zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

6. Suchen Sie auf der Seite "Single Sign-On mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" den Verbundmetadaten-XML und wählen Sie "Herunterladen" aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

   

7. Kopieren Sie im Abschnitt Zscaler Private Access (ZPA) einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren von SSO für Zscaler Private Access (ZPA)

1. Melden Sie sich in einem anderen Webbrowserfenster als Administrator bei der Unternehmenswebsite für Zscaler Private Access (ZPA) an.

2. Wählen Sie auf der linken Seite des Menüs "Verwaltung" aus, und navigieren Sie zum Abschnitt "AUTHENTIFIZIERUNG " und wählen Sie "IdP-Konfiguration" aus.

   

3. Wählen Sie in der oberen rechten Ecke "IdP-Konfiguration hinzufügen" aus.

   

4. Führen Sie auf der Seite Add IdP Configuration (IdP-Konfiguration hinzufügen) die folgenden Schritte aus:

   

   a) Wählen Sie "Datei auswählen " aus, um die heruntergeladene Metadatendatei aus der Microsoft Entra-ID im Feld "IdP-Metadatendatei hochladen" hochzuladen .

   b. Die IdP-Metadaten werden in Microsoft Entra ID gelesen, und alle Felder werden aufgefüllt, wie hier gezeigt:

   

   Abschnitt c. Wählen Sie im Feld Domains (Domänen) Ihre Domäne aus.

   d. Wählen Sie Speichern aus.

Erstellen eines Testbenutzers in Zscaler Private Access (ZPA)

In diesem Abschnitt erstellen Sie in Zscaler Private Access (ZPA) einen Benutzer namens Britta Simon. Arbeiten Sie mit dem Supportteam von Zscaler Private Access (ZPA) zusammen, um die Benutzer auf der Plattform Zscaler Private Access (ZPA) hinzuzufügen.

Außerdem unterstützt Zscaler Private Access (ZPA) die automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

• Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Zscaler Private Access (ZPA)-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

• Rufen Sie direkt die Anmelde-URL für Zscaler Private Access (ZPA) auf, und initiieren Sie den Anmeldeflow.

• Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel Zscaler Private Access (ZPA) in den "Meine Apps" auswählen, leitet diese Option zur Zscaler Private Access (ZPA)-Anmelde-URL um. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Nach dem Konfigurieren von Zscaler Private Access können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.