Tutorial: Integración de Microsoft Entra con Zscaler Beta

En este tutorial, aprenderá a integrar Zscaler Beta con Microsoft Entra ID. Al integrar Zscaler Beta con Microsoft Entra ID, puede:

• Controlar en Microsoft Entra ID quién tiene acceso a Zscaler Beta.
• Permitir que sus usuarios inicien sesión automáticamente en Zscaler Beta con sus cuentas de Microsoft Entra. Este control de acceso se llama inicio de sesión único (SSO).
• Administrar las cuentas en una ubicación central mediante Azure Portal.

Requisitos previos

Para configurar la integración de Microsoft Entra con Zscaler Beta, necesita los siguientes elementos:

• Una suscripción de Microsoft Entra. Si no tiene un entorno de Microsoft Entra, puede obtener una cuenta gratuita.
• Una suscripción de Zscaler Beta que use el inicio de sesión único.

Descripción del escenario

En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• Zscaler Beta admite el inicio de sesión único iniciado por SP.
• Zscaler Beta admite el aprovisionamiento de usuarios Just-In-Time.
• Zscaler Beta admite el aprovisionamiento automatizado de usuarios.

Incorporación de Zscaler Beta desde la galería

Para configurar la integración de Zscaler Beta en Microsoft Entra ID, necesita agregar Zscaler Beta desde la galería a su lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba Zscaler Beta en el cuadro de búsqueda.
4. Seleccione Zscaler Beta en el panel de resultados y, luego, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configurar y probar Microsoft Entra SSO para Zscaler Beta

Configurar y probar Microsoft Entra SSO con Zscaler Beta utilizando un usuario de prueba llamado B.Simon. Para que SSO funcione, es necesario establecer una relación de enlace entre un usuario de Microsoft Entra y el usuario relacionado en Zscaler Beta.

Para configurar y probar Microsoft Entra SSO con Zscaler Beta, realice los siguientes pasos:

1. Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
   1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en Zscaler Beta : para configurar el inicio de sesión único en la aplicación.
   1. Cree un usuario de prueba de Zscaler tener un homólogo de B.Simon en Zscaler Beta que está vinculado a la representación de Microsoft Entra de usuario.
3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya a la página de integración de aplicaciones en Identidad>Aplicaciones>Aplicaciones empresariales>Zscaler Beta, busque la sección Administrar y seleccione Inicio de sesión único.

3. En la página Seleccione un método de inicio de sesión único, seleccione SAML.

4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

   

5. En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:

   En el cuadro de texto Dirección URL de inicio de sesión, escriba la dirección URL con la que los usuarios inician sesión en la aplicación Zscaler Beta.

   Nota:

   Este valor no es real. Actualice el valor con la dirección URL de inicio de sesión real. Póngase en contacto con el equipo de soporte técnico de Zscaler Beta para obtener este valor.

6. La aplicación Zscaler Beta espera las aserciones de SAML en un formato específico. Debe agregar asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de muestra la lista de atributos predeterminados. Seleccione Editar para abrir el cuadro de diálogo Atributos de usuario.

   

7. La aplicación Zscaler Beta espera que se usen algunos atributos más en la respuesta de SAML. En la sección Notificaciones del usuario del cuadro de diálogo Atributos de usuario, realice estos pasos para agregar el atributo del token de SAML como se muestra en la tabla siguiente.

   Nombre	Atributo de origen
   memberOf	user.assignedroles

   a. Seleccione Agregar nueva notificación para abrir el cuadro de diálogo Administrar las notificaciones del usuario.

   b. En el cuadro Nombre, escriba el nombre de atributo que se muestra para la fila.

   c. Deje el cuadro Espacio de nombres en blanco.

   d. En Origen, seleccione Atributo.

   e. En la lista Atributo de origen, escriba el valor de atributo que se muestra para esa fila.

   f. Seleccione Aceptar.

   g. Seleccione Guardar.

   Nota:

   Haga clic aquí para saber cómo configurar el rol en Microsoft Entra ID.

8. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el Certificado (base 64). Guárdelo en el equipo.

   

9. En la sección Configurar Zscaler Beta, copie las direcciones URL adecuadas según sus necesidades:

   

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
2. Vaya aIdentidad>Usuarios>Todos los usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
4. En las propiedades del usuario, siga estos pasos:
   1. En el campo Nombre para mostrar, escriba B.Simon.
   2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
   3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
   4. Seleccione Revisar + crear.
5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección va a permitir que B.Simon acceda a Zscaler Beta mediante el inicio de sesión único.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Zscaler Beta.
3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
4. Seleccione Agregar usuario. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
5. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
6. Si ha configurado los roles tal y como se explica en el apartado anterior, puede seleccionarlo en la lista desplegable Seleccionar un rol.
7. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración del inicio de sesión único en Zscaler Beta

1. Para automatizar la configuración de Zscaler Beta, instale la extensión del explorador de inicio de sesión seguro de Mis aplicaciones. Para ello, seleccione Instale la extensión.

   

2. Después de agregar la extensión al explorador, al seleccionar Configurar Zscaler Beta se abre la aplicación Zscaler Beta. Desde allí, proporcione las credenciales del administrador para iniciar sesión en Zscaler Beta. La extensión del explorador configurará automáticamente la aplicación y automatizará los pasos 3 a 6.

   

3. Para configurar Zscaler Beta manualmente, abra una nueva ventana del explorador web. Inicie sesión como administrador en el sitio de la empresa de Zscaler Beta y siga estos pasos.

4. Vaya a Administración>Autenticación>Configuración de autenticación y siga estos pasos.

   

   a. En Tipo de autenticación, seleccione SAML.

   b. Seleccione Configurar SAML.

5. En la ventana Edit SAML (Editar SAML), siga estos pasos: .

   a. En el cuadro Dirección URL del portal de SAML, pegue la Dirección URL de inicio de sesión que copió.

   b. En el cuadro de texto Atributo de nombre de inicio de sesión, escriba NameID.

   c. En el cuadro de texto Certificado SSL público, seleccione Cargar para cargar el certificado de firma de Azure SAML que descargó.

   d. Seleccione Habilitar aprovisionamiento automático de SAML.

   e. En el cuadro de texto Atributo de nombre para mostrar del usuario, escriba displayName si desea habilitar el aprovisionamiento automático de SAML para los atributos displayName.

   f. En el cuadro de texto Atributo de nombre del grupo, escriba memberOf si desea habilitar el aprovisionamiento automático de SAML para los atributos memberOf.

   g. En el cuadro de texto Atributo de nombre del departamento, escriba department si desea habilitar el aprovisionamiento automático de SAML para los atributos department.

   h. Seleccione Guardar.

6. En la página del cuadro de diálogo Configurar autenticación de usuario, siga estos pasos:

   

   a. Mantenga el puntero sobre el menú Activación situado en la parte inferior izquierda.

   b. Seleccione Activar.

Configuración de los valores de proxy

Para definir la configuración de proxy en Internet Explorer, siga estos pasos.

1. Inicie Internet Explorer.

2. Seleccione Opciones de Internet en el menú Herramientas para abrir el cuadro de diálogo Opciones de Internet.

   

3. Seleccione la pestaña Conexiones.

   

4. Seleccione Configuración de LAN para abrir el cuadro de diálogo Configuración de red de área local (LAN).

5. En la sección Servidor proxy, siga estos pasos:

   

   a. Seleccione la casilla de verificación Usar un servidor proxy para la LAN.

   b. En el cuadro de texto Dirección, escriba gateway.Zscaler Beta.net.

   c. En Puerto, escriba 80.

   d. Seleccione la casilla de verificación No usar servidor proxy para direcciones locales.

   e. Seleccione Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN).

6. Seleccione Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

Creación de un usuario de prueba de Zscaler Beta

En esta sección, se crea el usuario Britta Simon en Zscaler Beta. Zscaler Beta admite el aprovisionamiento de usuarios Just-In-Time, que está habilitado de forma predeterminada. No hay nada para hacer en esta sección. Si un usuario deja de existir en Zscaler Beta, se crea uno después de la autenticación.

Nota:

Para crear un usuario de forma manual, póngase en contacto con el equipo de soporte técnico de Zscaler Beta.

Nota:

Zscaler Beta también admite el aprovisionamiento automático de usuarios. Aquí puede encontrar más detalles sobre cómo configurar el aprovisionamiento automático de usuarios.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Haga clic en Probar esta aplicación, lo que le redirigirá a la dirección URL de inicio de sesión de Zscaler Beta, donde se puede poner en marcha el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de Zscaler Beta e inicie el flujo de inicio de sesión desde allí.

• Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Zscaler Beta en Aplicaciones, se le redirigirá a la dirección URL de inicio de sesión de dicha aplicación. Para más información, vea Aplicaciones en Microsoft Entra.

Pasos siguientes

Una vez configurado Zscaler Beta, puede aplicar el control de sesión, que protege a la organización en tiempo real frente a la filtración e infiltración de información confidencial. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.