Partager via


Tutoriel : Configurer Zscaler Three pour le provisionnement automatique d’utilisateurs

Ce tutoriel montre comment configurer Microsoft Entra ID pour provisionner et déprovisionner automatiquement des utilisateurs et/ou des groupes dans Zscaler Three.

Remarque

Ce tutoriel décrit un connecteur construit sur le service de provisionnement des utilisateurs Microsoft Entra. Pour obtenir des informations importantes sur l’utilisation et le fonctionnement de ce service, ainsi que des réponses aux questions fréquentes, consultez Automatiser l’attribution et la suppression des privilèges d’accès d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Prérequis

Pour effectuer les étapes décrites dans ce tutoriel, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra.
  • Un locataire Zscaler Three.
  • Un compte d’utilisateur Zscaler Three ayant des autorisations d’administrateur.

Remarque

L’intégration de l’attribution de Microsoft Entra repose sur l’API SCIM Zscaler ZSCloud, qui est disponible pour les comptes Entreprise.

Avant de configurer Zscaler Three pour le provisionnement automatique d’utilisateurs avec Microsoft Entra ID, vous devez ajouter Zscaler Three à partir de la galerie d’applications Microsoft Entra à votre liste d’applications SaaS managées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Zscaler Three.
  3. Sélectionnez Zscaler Three dans les résultats, puis sélectionnez Ajouter.

Liste des résultats

Attribuer des utilisateurs à Zscaler Three

Les utilisateurs Microsoft Entra doivent être autorisés à accéder aux applications sélectionnées pour pouvoir les utiliser. Dans le cadre du provisionnement automatique des utilisateurs, seuls les utilisateurs ou groupes affectés à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d’activer le provisionnement automatique d’utilisateurs, vous devez déterminer quels utilisateurs et/ou groupes dans Microsoft Entra ID ont besoin d’accéder à Zscaler Three. Après cela, vous pouvez attribuer ces utilisateurs et groupes à l’application Zscaler Three en suivant les instructions fournies dans Attribuer un utilisateur ou un groupe à une application d’entreprise.

Conseils importants pour l’attribution d’utilisateurs à Zscaler Three

  • Nous avons recommandé d’attribuer au début un seul utilisateur Microsoft Entra à Zscaler Three afin de tester la configuration du provisionnement automatique d’utilisateurs. Vous pourrez attribuer des utilisateurs et groupes supplémentaires ultérieurement.

  • Quand vous attribuez un utilisateur à Zscaler Three, vous devez sélectionner un rôle d’application valide (si disponible) dans la boîte de dialogue d’attribution. Les utilisateurs dont le rôle est Accès par défaut sont exclus de l’approvisionnement.

Configurer le provisionnement d’utilisateurs automatique

Cette section vous guide à travers les étapes de configuration du service de provisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et des groupes dans Zscaler Three en fonction des affectations d'utilisateurs et de groupes dans Microsoft Entra ID.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Zscaler Three. Le cas échéant, suivez les instructions fournies dans le tutoriel sur la l’authentification unique pour Zscaler Three. L’authentification unique peut être configurée indépendamment du provisionnement automatique d’utilisateurs, mais ces deux fonctionnalités sont complémentaires.

Notes

Quand des utilisateurs et des groupes sont provisionnés ou déprovisionnés, nous vous recommandons de relancer régulièrement le provisionnement pour vous assurer que les appartenances aux groupes sont correctement mises à jour. Ce redémarrage va forcer notre service à réévaluer tous les groupes et à mettre à jour les appartenances.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Zscaler Three.

    Applications d’entreprise

  3. Dans la liste des applications, sélectionnez Zscaler Three :

    Liste des applications

  4. Sélectionnez l’onglet Provisioning (Provisionnement) :

    Configuration de Zscaler Three

  5. Définissez Provisioning Mode (Mode de provisionnement) sur Automatic (Automatique) :

    Capture d’écran de l’onglet Approvisionnement automatique.

  6. Dans la section Admin Credentials (Informations d’identification d’administrateur), entrez les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret) de votre compte Zscaler Three, comme cela est décrit dans l’étape suivante.

  7. Pour obtenir les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret), accédez à Administration>Authentication Settings (Paramètres d’authentification) dans le portail Zscaler Three, puis sélectionnez SAML sous Authentication Type (Type d’authentification) :

    Paramètres d’authentification de Zscaler Three

  8. Sélectionnez Configure SAML (Configurer SAML) pour ouvrir la fenêtre Configure SAML :

    Capture d’écran de la fenêtre de configuration SAML

  9. Sélectionnez Enable SCIM-Based Provisioning (Activer le provisionnement SCIM), copiez les valeurs Base URL (URL de base) et Bearer Token (Jeton du porteur), puis enregistrez les paramètres. Dans le portail Azure, collez les valeurs URL de base dans le champ URL de locataire et la valeur Jeton du porteur dans le champ Jeton secret.

  10. Après avoir entré les valeurs dans les champs URL de locataire et Jeton secret, sélectionnez Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter à Zscaler Three. Si la connexion échoue, vérifiez que votre compte Zscaler Three a les autorisations d’administrateur et réessayez.

    Capture d’écran de jeton.

  11. Dans le champ E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement. Sélectionnez Envoyer une notification par e-mail en cas de défaillance :

    Configurer l’e-mail de notification

  12. Cliquez sur Enregistrer.

  13. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Zscaler Three.

  14. Examinez les attributs de l'utilisateur qui sont synchronisés de Microsoft Entra ID à Zscaler Three dans la section Mappage d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondance des comptes d’utilisateur dans Zscaler Three dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.

    Attribut Type Pris en charge pour le filtrage Requis par Zscaler Three
    userName String
    externalId String
    active Boolean
    name.givenName String
    name.familyName String
    displayName String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
  15. Dans la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec Zscaler Three.

  16. Passez en revue les attributs de groupe synchronisés de Microsoft Entra ID vers Zscaler Three dans la section Mappage d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondance des groupes dans Zscaler Three dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.

    Attribut Type Pris en charge pour le filtrage Requis par Zscaler Three
    displayName String
    membres Informations de référence
    externalId String
  17. Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans le tutoriel sur les filtres d’étendue.

  18. Pour activer le service de provisionnement Microsoft Entra pour Zscaler Three, modifiez l'état de provisionnement sur Activé dans la section Paramètres :

    État de l’approvisionnement

  19. Définissez quels utilisateurs et/ou groupes vous voulez provisionner dans Zscaler Three en choisissant les valeurs appropriées sous Étendue dans la section Paramètres :

    Valeurs d’étendue

  20. Quand vous êtes prêt à effectuer le provisionnement, sélectionnez Enregistrer :

    Capture d’écran de Enregistrement de la configuration du provisionnement.

Cette opération démarre la synchronisation initiale de tous les utilisateurs et groupes définis sous Étendue dans la section Paramètres. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui ont lieu toutes les 40 minutes environ tant que le service de provisionnement Microsoft Entra est en cours d’exécution. Vous pouvez surveiller la progression dans la section Détails de la synchronisation. Vous pouvez également suivre les liens fournis pour accéder à un rapport d’activité de provisionnement. Ce rapport décrit toutes les actions effectuées par le service de provisionnement Microsoft Entra dans Zscaler Three.

Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.

Ressources supplémentaires

Étapes suivantes