Tutoriel : Configurer Zscaler ZSCloud pour le provisionnement automatique d’utilisateurs

  • Article

Ce tutoriel montre comment configurer Microsoft Entra ID pour attribuer et supprimer les privilèges d’accès automatiquement des comptes d’utilisateurs dans Zscaler ZSCloud.

Remarque

Ce tutoriel décrit un connecteur construit sur le service de provisionnement des utilisateurs Microsoft Entra. Pour obtenir des informations importantes sur l’utilisation et le fonctionnement de ce service, ainsi que des réponses aux questions fréquentes, consultez Automatiser l’attribution et la suppression des privilèges d’accès d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Prérequis

Pour effectuer les étapes décrites dans ce tutoriel, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra.
  • Un locataire Zscaler ZSCloud.
  • Un compte d’utilisateur Zscaler ZSCloud ayant des autorisations d’administrateur.

Remarque

L’intégration de l’attribution de Microsoft Entra repose sur l’API SCIM Zscaler ZSCloud, qui est disponible pour les comptes Entreprise.

Avant de configurer Zscaler ZSCloud pour l’attribution automatique d’utilisateurs avec Microsoft Entra ID, vous devez ajouter Zscaler ZSCloud à votre liste d’applications SaaS managées à partir de la galerie d’applications Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

    Enterprise applications

  3. Dans la zone de recherche, entrez Zscaler ZSCloud.

  4. Sélectionnez Zscaler ZSCloud dans les résultats, puis sélectionnez Ajouter.

Results list

Attribuer des utilisateurs à Zscaler ZSCloud

Les utilisateurs Microsoft Entra doivent être autorisés à accéder aux applications sélectionnées pour pouvoir les utiliser. Dans le cadre de l’attribution automatique d’utilisateurs, seuls les utilisateurs ou groupes attribués à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d’activer l’attribution automatique d’utilisateurs, vous devez déterminer quels utilisateurs et/ou groupes dans Microsoft Entra ID ont besoin d’accéder à Zscaler ZSCloud. Après cela, vous pouvez attribuer ces utilisateurs et groupes à l’application Zscaler ZSCloud en suivant les instructions fournies dans Attribuer un utilisateur ou un groupe à une application d’entreprise.

Conseils importants pour l’attribution d’utilisateurs à Zscaler ZSCloud

  • Nous recommandons d’attribuer au début un seul utilisateur Microsoft Entra à Zscaler ZSCloud afin de tester la configuration de l’attribution automatique d’utilisateurs. Vous pourrez attribuer des utilisateurs et groupes supplémentaires ultérieurement.

  • Quand vous attribuez un utilisateur à Zscaler ZSCloud, vous devez sélectionner un rôle d’application valide (si disponible) dans la boîte de dialogue d’attribution. Les utilisateurs dont le rôle est Accès par défaut sont exclus de l’approvisionnement.

Configurer le provisionnement d’utilisateurs automatique

Cette section vous guide à travers les étapes de configuration du service d’attribution Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et des groupes dans Zscaler ZSCloud en fonction des attributions d’utilisateurs et de groupes dans Microsoft Entra ID.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Zscaler ZSCloud. Le cas échéant, suivez les instructions fournies dans le tutoriel sur l’authentification unique pour Zscaler ZSCloud. L’authentification unique peut être configurée indépendamment du provisionnement automatique d’utilisateurs, mais ces deux fonctionnalités sont complémentaires.

Notes

Quand des utilisateurs et des groupes sont provisionnés ou déprovisionnés, nous vous recommandons de relancer régulièrement le provisionnement pour vous assurer que les appartenances aux groupes sont correctement mises à jour. Ce redémarrage va forcer notre service à réévaluer tous les groupes et à mettre à jour les appartenances.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Zscaler ZSCloud.

  3. Sélectionnez l’onglet Provisioning (Provisionnement) :

    Zscaler ZSCloud Provisioning

  4. Définissez Provisioning Mode (Mode de provisionnement) sur Automatic (Automatique) :

    Set the Provisioning Mode

  5. Dans la section Admin Credentials (Informations d’identification d’administrateur), entrez les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret) de votre compte Zscaler ZSCloud, comme cela est décrit dans l’étape suivante.

  6. Pour obtenir les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret), accédez à Administration>Authentication Settings (Paramètres d’authentification) dans le portail Zscaler ZSCloud, puis sélectionnez SAML sous Authentication Type (Type d’authentification) :

    Zscaler ZSCloud Authentication Settings

    Sélectionnez Configure SAML (Configurer SAML) pour ouvrir la fenêtre Configure SAML :

    Configure SAML window

    Sélectionnez Enable SCIM-Based Provisioning (Activer le provisionnement SCIM), copiez les valeurs Base URL (URL de base) et Bearer Token (Jeton du porteur), puis enregistrez les paramètres. Dans le portail Azure, collez les valeurs URL de base dans le champ URL de locataire et la valeur Jeton du porteur dans le champ Jeton secret.

  7. Après avoir saisi les valeurs dans les champs URL de locataire et Jeton secret, sélectionnez Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter à Zscaler ZSCloud. Si la connexion échoue, vérifiez que votre compte Zscaler ZSCloud a les autorisations d’administrateur et réessayez.

    Test the connection

  8. Dans le champ E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement. Sélectionnez Envoyer une notification par e-mail en cas de défaillance :

    Set up notification email

  9. Cliquez sur Enregistrer.

  10. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec ZscalerZSCloud :

    Synchronize Microsoft Entra users

  11. Examinez les attributs utilisateur qui sont synchronisés entre Microsoft Entra ID et Zscaler ZSCloud dans la section Mappages d’attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondance des comptes d’utilisateur dans Zscaler ZSCloud dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.

    Screenshot of the Attribute Mappings section with seven mappings displayed.

  12. Dans la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec ZscalerZSCloud :

    Synchronize Microsoft Entra groups

  13. Examinez les attributs de groupe synchronisés entre Microsoft Entra ID et Zscaler ZSCloud dans la section Mappages d’attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondance des groupes dans Zscaler ZSCloud dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.

    Screenshot of the Attribute Mappings section with three mappings displayed.

  14. Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans le tutoriel sur les filtres d’étendue.

  15. Pour activer le service d’attribution Microsoft Entra pour Zscaler ZSCloud, passez l’état d’attribution sur Activé dans la section Paramètres :

    Provisioning Status

  16. Définissez quels utilisateurs et/ou groupes vous voulez provisionner dans Zscaler ZSCloud en choisissant les valeurs appropriées sous Étendue dans la section Paramètres :

    Scope values

  17. Quand vous êtes prêt à effectuer le provisionnement, sélectionnez Enregistrer :

    Select Save

Cette opération démarre la synchronisation initiale de tous les utilisateurs et groupes définis sous Étendue dans la section Paramètres. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui ont lieu toutes les 40 minutes environ tant que le service de provisionnement Microsoft Entra est en cours d’exécution. Vous pouvez surveiller la progression dans la section Détails de la synchronisation. Vous pouvez également suivre les liens pour accéder à un rapport d’activité d’attribution. Ce rapport décrit toutes les actions effectuées par le service d’attribution Microsoft Entra dans Zscaler ZSCloud.

Pour plus d’informations sur la façon de lire les journaux d’attribution Microsoft Entra, consultez Rapports sur l’attribution automatique des comptes d’utilisateurs.

Ressources supplémentaires

Étapes suivantes