Partager via


Tutoriel : Configurer Zscaler One pour l'approvisionnement automatique d’utilisateurs

Ce didacticiel montre les étapes à effectuer dans Zscaler One et Microsoft Entra ID pour configurer Microsoft Entra ID afin de provisionner et de déprovisionner automatiquement les utilisateurs et les groupes sur Zscaler One.

Remarque

Ce didacticiel décrit un connecteur basé sur le service de provisionnement des utilisateurs Microsoft Entra. Pour plus d'informations sur ce que fait ce service, son fonctionnement et les questions fréquemment posées, voir Automatiser le provisionnement et le déprovisionnement des utilisateurs vers des applications SaaS (Software-as-a-Service) avec Microsoft Entra ID.

Prérequis

Le scénario décrit dans ce didacticiel part du principe que vous disposez des éléments suivants :

  • Un locataire Microsoft Entra.
  • Locataire Zscaler One.
  • Un compte d’utilisateur Zscaler One ayant des autorisations d’administrateur.

Remarque

L'intégration du provisionnement Microsoft Entra repose sur l'API Zscaler One SCIM. Cette API est disponible pour les développeurs Zscaler One disposant de comptes avec le package Entreprise.

Ajouter Zscaler One à partir de la Place de marché Azure

Avant de configurer Zscaler One pour le provisionnement automatique des utilisateurs avec Microsoft Entra ID, ajoutez Zscaler One depuis Azure Marketplace à votre liste d'applications SaaS gérées.

Pour ajouter Zscaler One à partir de la Place de marché, procédez comme suit.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

  3. Dans la section Ajouter à partir de la galerie, tapez Zscaler One et sélectionnez Zscaler One dans le volet des résultats. Pour ajouter l’application, sélectionnez Ajouter.

    Capture d’écran de Zscaler One dans la liste des résultats.

Attribuer des utilisateurs à Zscaler One

Microsoft Entra ID utilise un concept appelé affectations pour déterminer les utilisateurs devant recevoir l’accès aux applications sélectionnées. Dans le contexte du provisionnement automatique des utilisateurs, seuls les utilisateurs ou groupes affectés à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d'activer le provisionnement automatique des utilisateurs, décidez quels utilisateurs ou groupes dans Microsoft Entra ID doivent accéder à Zscaler One. Pour affecter ces utilisateurs ou groupes à Zscaler One, suivez les instructions dans Affecter un utilisateur ou un groupe à une application d’entreprise.

Conseils importants pour l’attribution d’utilisateurs à Zscaler One

  • Nous vous recommandons d'attribuer un seul utilisateur Microsoft Entra à Zscaler One pour tester la configuration du provisionnement automatique des utilisateurs. Vous pouvez affecter des groupes ou des utilisateurs supplémentaires ultérieurement.

  • Quand vous attribuez un utilisateur à Zscaler One, vous devez sélectionner un rôle d’application valide, si disponible, dans la boîte de dialogue d’attribution. Les utilisateurs dont le rôle est Accès par défaut sont exclus de l’approvisionnement.

Configurer l'approvisionnement automatique d’utilisateurs sur Zscaler One

Cette section vous guide à travers les étapes de configuration du service de provisionnement Microsoft Entra. Utilisez-le pour créer, mettre à jour et désactiver des utilisateurs ou des groupes dans Zscaler One en fonction des affectations d'utilisateurs ou de groupes dans Microsoft Entra ID.

Conseil

Vous pouvez également activer l’authentification unique SAML pour Zscaler One. Suivez les instructions fournies dans le tutoriel sur la l’authentification unique pour Zscaler One. La configuration de l’authentification unique est indépendante de celle de l’approvisionnement automatique d’utilisateurs, même si ces deux fonctionnalités se complètent.

Notes

Quand des utilisateurs et des groupes sont provisionnés ou déprovisionnés, nous vous recommandons de relancer régulièrement le provisionnement pour vous assurer que les appartenances aux groupes sont correctement mises à jour. Ce redémarrage va forcer notre service à réévaluer tous les groupes et à mettre à jour les appartenances.

Configurer le provisionnement automatique des utilisateurs pour Zscaler One dans Microsoft Entra ID

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Zscaler One.

    Capture d’écran du volet Applications d’entreprise.

  3. Dans la liste des applications, sélectionnez Zscaler One.

    Capture d’écran du lien Zscaler One dans la liste des applications.

  4. Sélectionnez l’onglet Approvisionnement.

    Capture d’écran de l’approvisionnement Zscaler One.

  5. Définissez le Mode d’approvisionnement sur Automatique.

    Capture d’écran du mode d’approvisionnement Zscaler One.

  6. Dans la section Informations d’identification d’administrateur, complétez les zones URL de locataire et Jeton secret avec les paramètres de votre compte Zscaler One, comme à l’étape 6.

  7. Pour obtenir l'URL de locataire et le jeton secret, accédez à Administration>Paramètres d'authentification dans l'interface utilisateur du portail Zscaler One. Sous Authentication Type (Type d’authentification), sélectionnez SAML.

    Capture d’écran des paramètres d’authentification de Zscaler One

  8. Sélectionnez Configurer SAML pour accéder aux options Configurer SAML.

    Capture d’écran de la configuration SAML Zscaler One.

  9. Sélectionnez Activer l'approvisionnement SCIM pour obtenir les paramètres dans URL de base et Jeton du porteur. Enregistrez ensuite les paramètres. Copiez le paramètre URL de base vers URL de locataire. Copiez le paramètre Jeton du porteur vers Jeton secret.

  10. Après avoir rempli les cases affichées à l'étape 5, sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à Zscaler One. Si la connexion échoue, vérifiez que votre compte Zscaler One dispose des autorisations d’administrateur et réessayez.

    Capture d’écran du test de connexion Zscaler One.

  11. Dans la zone E-mail de notification, entrez l’adresse e-mail de la personne ou du groupe devant recevoir les notifications d’erreur d’approvisionnement. Cochez la case Envoyer une notification par e-mail en cas de défaillance.

    Capture d’écran de l’e-mail de notification Zscaler One.

  12. Cliquez sur Enregistrer.

  13. Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Zscaler One.

  14. Passez en revue les attributs utilisateur synchronisés de Microsoft Entra ID vers Zscaler One dans la section Mappages d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondre des comptes d’utilisateur dans Zscaler One dans le cadre des opérations de mise à jour. Pour enregistrer les modifications, sélectionnez Enregistrer.

    Attribut Type Pris en charge pour le filtrage Requis par Zscaler One
    userName String
    active Boolean
    displayName String
    externalId String
    name.givenName String
    name.familyName String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
  15. Sous la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec Zscaler One.

  16. Passez en revue les attributs de groupe synchronisés de Microsoft Entra ID vers Zscaler One dans la section Mappages d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondre des groupes dans Zscaler One dans le cadre des opérations de mise à jour. Pour enregistrer les modifications, sélectionnez Enregistrer.

    Attribut Type Pris en charge pour le filtrage Requis par Zscaler One
    displayName String
    externalId String
    membres Référence
  17. Pour configurer des filtres d’étendue, suivez les instructions fournies dans le didacticiel sur les filtres d’étendue.

  18. Pour activer le service de provisionnement Microsoft Entra pour Zscaler One, dans la section Paramètres, modifiez Provisioning Status sur On.

    Capture d’écran de l’état d’approvisionnement Zscaler One.

  19. Définissez les utilisateurs ou groupes que vous souhaitez approvisionner dans Zscaler One. Dans la section Paramètres, sélectionnez les valeurs souhaitées sous Étendue.

    Capture d’écran de l’étendue Zscaler One.

  20. Quand vous êtes prêt à effectuer l’approvisionnement, sélectionnez Enregistrer.

    Capture d’écran de Enregistrement de la configuration du provisionnement.

Cette opération démarre la synchronisation initiale de tous les utilisateurs ou groupes définis sous Étendue dans la section Paramètres. La synchronisation initiale prend plus de temps que les synchronisations ultérieures. Ils se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est exécuté.

Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers le rapport d’activité d’approvisionnement. Le rapport décrit toutes les actions effectuées par le service de provisionnement Microsoft Entra sur Zscaler One.

Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.

Journaux des modifications

  • 16/05/2022 - La fonctionnalité Découverte de schéma est activée sur cette application.

Ressources supplémentaires

Étapes suivantes