Configurar Zscaler Internet Access ZSNet para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar Zscaler Internet Access ZSNet con Microsoft Entra ID. Al integrar Zscaler Internet Access ZSNet con microsoft Entra ID, puede hacer lo siguiente:

• Controlar en Microsoft Entra ID quién tiene acceso a Zscaler Internet Access ZSNet.
• Permitir que los usuarios inicien sesión automáticamente en Zscaler Internet Access ZSNet con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una suscripción habilitada para el inicio de sesión único (SSO) en Zscaler Internet Access ZSNet.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

• Zscaler Internet Access ZSNet admite el inicio de sesión único iniciado por SP.
• Zscaler Internet Access ZSNet admite el aprovisionamiento de usuarios Just-In-Time (justo a tiempo).
• Zscaler Internet Access ZSNet admite el aprovisionamiento automatizado de usuarios.

Añadir Zscaler Internet Access ZSNet desde la galería

Para configurar la integración de Zscaler Internet Access ZSNet en Microsoft Entra ID, debe agregar Zscaler Internet Access ZSNet desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
2. Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería , escriba Zscaler Internet Access ZSNet en el cuadro de búsqueda.
4. Seleccione Zscaler Internet Access ZSNet en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Zscaler Internet Access ZSNet

Configure y pruebe el SSO de Microsoft Entra con Zscaler Internet Access ZSNet mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Zscaler Internet Access ZSNet.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Zscaler Internet Access ZSNet, siga estos pasos:

1. Configurar Microsoft Entra SSO - para que los usuarios puedan usar esta función.
   1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configurar Zscaler Internet Access ZSNet SSO - para configurar los ajustes de configuración del Single Sign-On en la aplicación.
   1. Creación de un usuario de prueba de Zscaler Internet Access ZSNet: para tener un homólogo de B.Simon en Zscaler Internet Access ZSNet que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configurar el SSO de Microsoft Entra

Siga estos pasos para activar el SSO de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a la página de integración de aplicaciones de Entra ID>Enterprise apps>Zscaler Internet Access ZSNet, busque la sección Administrar y seleccione Inicio de sesión único.

3. En la página Seleccionar un método de inicio de sesión único , seleccione SAML.

4. En la página Set up Single Sign-On with SAML (Configurar una sola Sign-On con SAML ), seleccione el icono de lápiz de Configuración básica de SAML para editar la configuración.

   

5. En la sección Configuración básica de SAML , escriba los valores de los campos siguientes:

   En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<companyname>.zscaler.net

   Nota:

   Este valor no es real. Actualice el valor con la verdadera dirección URL de Sign-On. Póngase en contacto con el equipo de soporte técnico de Zscaler Internet Access ZSNet para obtener el valor. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML .

6. La aplicación Zscaler Internet Access ZSNet espera las aserciones de SAML en un formato específico, lo que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. En la captura de pantalla siguiente se muestra la lista de atributos predeterminados. Seleccione el icono Editar para abrir el cuadro de diálogo Atributos de usuario .

   

7. Además de lo anterior, la aplicación Zscaler Internet Access ZSNet espera que se devuelvan algunos atributos más en la respuesta de SAML. En la sección Notificaciones de usuario del cuadro de diálogo Atributos de usuario , realice los pasos siguientes para agregar el atributo de token SAML, como se muestra en la tabla siguiente:

   Nombre	Atributo de origen
   miembro de	user.assignedroles

   un. Seleccione Agregar nueva notificación para abrir el cuadro de diálogo Administrar notificaciones de usuario .

   b. En el cuadro de texto Nombre , escriba el nombre del atributo que se muestra para esa fila.

   c. Deje el espacio de nombres en blanco.

   d. Seleccione Origen como atributo .

   e. En la lista de atributos del origen , escriba el valor del atributo que se muestra para esa fila.

   f. Seleccione Guardar.

   Nota:

   Seleccione aquí para saber cómo configurar el rol en microsoft Entra ID.

8. En la página Configurar un solo Sign-On con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargar el certificado y guardarlo en el equipo.

   

9. En la sección Set up Zscaler Internet Access ZSNet (Configurar Zscaler Internet Access ZSNet ), copie las direcciones URL adecuadas según sus necesidades.

   

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único de Zscaler Internet Access ZSNet

1. En otra ventana del explorador web, inicie sesión en el sitio de la compañía Zscaler Internet Access ZSNet como administrador.

2. Vaya a Administración > Autenticación > Configuración de autenticación y realice los pasos siguientes:

   

   un. En Tipo de autenticación, elija SAML.

   b. Seleccione Configurar SAML.

3. En la ventana Editar SAML , realice los pasos siguientes: y seleccione Guardar.

   

   un. En el cuadro de texto SAML Portal URL, pegue la dirección URL de inicio de sesión.

   b. En el cuadro de texto Atributo de nombre de inicio de sesión, escriba NameID.

   c. Seleccione Cargar para cargar el certificado de firma de SAML de Azure que ha descargado de Azure Portal en el certificado SSL público.

   d. Cambie la opción Habilitar aprovisionamiento automático de SAML.

   e. En el cuadro de texto Atributo de Nombre a Mostrar del Usuario, escriba displayName si desea habilitar el aprovisionamiento automático de SAML para los atributos displayName.

   f. En el cuadro de texto Atributo de nombre de grupo, escriba memberOf si desea habilitar el aprovisionamiento automático de SAML para los atributos memberOf.

   g. En el atributo Nombre del Departamento ingrese departamento si desea habilitar el aprovisionamiento automático de SAML para los atributos de departamento.

   h. Seleccione Guardar.

4. En la página de diálogo Configurar autenticación de usuario , realice los pasos siguientes:

   

   un. Mantenga el puntero sobre el menú Activación cerca de la parte inferior izquierda.

   b. Seleccione Activar.

Configuración de los valores de proxy

Para definir la configuración de proxy en Internet Explorer

1. Inicie Internet Explorer.

2. Seleccione Opciones de Internet en el menú Herramientas para abrir el cuadro de diálogo Opciones de Internet .

   

3. Seleccione la pestaña Conexiones .

   

4. Seleccione Configuración de LAN para abrir el cuadro de diálogo Configuración de LAN .

5. En la sección del servidor proxy, lleve a cabo estos pasos:

   

   un. Seleccione Usar un servidor proxy para la LAN.

   b. En el cuadro de texto Dirección, escriba gateway.zscaler.net.

   c. En el cuadro de texto puerto, escriba 80.

   d. Seleccione Omitir servidor proxy para las direcciones locales.

   e. Seleccione Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN).

6. Seleccione Aceptar para cerrar el cuadro de diálogo Opciones de Internet .

Creación de un usuario de prueba de Zscaler Internet Access ZSNet

En esta sección, se crea un usuario llamado Britta Simon en Zscaler Internet Access ZSNet. Zscaler Internet Access ZSNet admite el aprovisionamiento de usuarios justo a tiempo, que está habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si un usuario aún no existe en Zscaler Internet Access ZSNet, se crea uno después de la autenticación.

Nota:

Si necesita crear manualmente un usuario, póngase en contacto con el equipo de soporte técnico de Zscaler Internet Access ZSNet.

Prueba de SSO

En esta sección vas a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Seleccione Probar esta aplicación; esta opción redirige a la dirección URL de inicio de sesión de Zscaler Internet Access ZSNet, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de Zscaler Internet Access ZSNet e inicie el flujo de inicio de sesión desde allí.

• Puede usar Mis aplicaciones de Microsoft. Al seleccionar el icono de Zscaler Internet Access ZSNet en Aplicaciones, esta opción redirige a la dirección URL de inicio de sesión de Zscaler Internet Access ZSNet. Para obtener más información sobre Mis aplicaciones, vea Introducción a mis aplicaciones.

Contenido relacionado

Una vez configurado Zscaler Internet Access ZSNet, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Obtenga información sobre cómo aplicar el control de sesión con Microsoft Defender for Cloud Apps.