Tutoriel : Configurer Zscaler Two pour le provisionnement automatique d’utilisateurs
Ce tutoriel vous montre comment configurer Microsoft Entra ID pour approvisionner et déprovisionner automatiquement des utilisateurs et/ou des groupes dans Zscaler Two.
Remarque
Ce tutoriel décrit un connecteur construit sur le service de provisionnement des utilisateurs Microsoft Entra. Pour obtenir des informations importantes sur l’utilisation et le fonctionnement de ce service, ainsi que des réponses aux questions fréquentes, consultez Automatiser l’attribution et la suppression des privilèges d’accès d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.
Prérequis
Pour effectuer les étapes décrites dans ce tutoriel, vous avez besoin des éléments suivants :
- Un locataire Microsoft Entra.
- Un locataire Zscaler Two.
- Un compte d’utilisateur Zscaler Two ayant des autorisations d’administrateur.
Remarque
L’intégration du provisionnement de Microsoft Entra repose sur l’API SCIM Zscaler Two, qui est disponible pour les comptes Entreprise.
Ajouter Zscaler Two à partir de la galerie
Avant de configurer Zscaler Two pour le provisionnement automatique d’utilisateurs avec Microsoft Entra ID, vous devez ajouter Zscaler Two à partir de la galerie d’applications Microsoft Entra à votre liste d’applications SaaS managées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez Zscaler Two dans la zone de recherche.
- Sélectionnez Zscaler Two dans le volet des résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Attribuer des utilisateurs à Zscaler Two
Les utilisateurs Microsoft Entra doivent être autorisés à accéder aux applications sélectionnées pour pouvoir les utiliser. Dans le cadre du provisionnement automatique d’utilisateurs, seuls les utilisateurs ou les groupes attribués à une application dans Microsoft Entra ID sont synchronisés.
Avant de configurer et d’activer le provisionnement automatique d’utilisateurs, vous devez déterminer quels utilisateurs et/ou groupes dans Microsoft Entra ID ont besoin d’accéder à Zscaler Two. Après cela, vous pouvez attribuer ces utilisateurs et groupes à l’application Zscaler Two en suivant les instructions fournies dans Attribuer un utilisateur ou un groupe à une application d’entreprise.
Conseils importants pour l’attribution d’utilisateurs à Zscaler Two
Nous vous recommandons d’attribuer tout d’abord un seul utilisateur Microsoft Entra à Zscaler Two, afin de tester la configuration du provisionnement automatique d’utilisateurs. Vous pourrez attribuer des utilisateurs et groupes supplémentaires ultérieurement.
Quand vous attribuez un utilisateur à Zscaler Two, vous devez sélectionner un rôle d’application valide (si disponible) dans la boîte de dialogue d’attribution. Les utilisateurs dont le rôle est Accès par défaut sont exclus de l’approvisionnement.
Configurer le provisionnement d’utilisateurs automatique
Cette section vous guide à travers les étapes de configuration du service de provisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et des groupes dans Zscaler Two en fonction de leurs affectations dans Microsoft Entra ID.
Conseil
Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Zscaler Two. Le cas échéant, suivez les instructions fournies dans le tutoriel sur la l’authentification unique pour Zscaler Two. L’authentification unique peut être configurée indépendamment du provisionnement automatique d’utilisateurs, mais ces deux fonctionnalités sont complémentaires.
Notes
Quand des utilisateurs et des groupes sont provisionnés ou déprovisionnés, nous vous recommandons de relancer régulièrement le provisionnement pour vous assurer que les appartenances aux groupes sont correctement mises à jour. Ce redémarrage va forcer notre service à réévaluer tous les groupes et à mettre à jour les appartenances.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Zscaler Two.
Sélectionnez l’onglet Provisioning (Provisionnement) :
Définissez Provisioning Mode (Mode de provisionnement) sur Automatic (Automatique) :
Dans la section Admin Credentials (Informations d’identification d’administrateur), entrez les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret) de votre compte Zscaler Two, comme cela est décrit dans l’étape suivante.
Pour obtenir les valeurs Tenant URL (URL de locataire) et Secret Token (Jeton secret), accédez à Administration>Authentication Settings (Paramètres d’authentification) dans le portail Zscaler Two, puis sélectionnez SAML sous Authentication Type (Type d’authentification) :
Sélectionnez Configure SAML (Configurer SAML) pour ouvrir la fenêtre Configure SAML :
Sélectionnez Enable SCIM-Based Provisioning (Activer le provisionnement SCIM), copiez les valeurs Base URL (URL de base) et Bearer Token (Jeton du porteur), puis enregistrez les paramètres. Dans le portail Azure, collez les valeurs URL de base dans le champ URL de locataire et la valeur Jeton du porteur dans le champ Jeton secret.
Après avoir entré les valeurs dans les champs URL de locataire et Jeton secret, sélectionnez Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter à Zscaler Two. Si la connexion échoue, vérifiez que votre compte Zscaler Two a les autorisations d’administrateur et réessayez.
Dans le champ E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement. Sélectionnez Envoyer une notification par e-mail en cas de défaillance :
Cliquez sur Enregistrer.
Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Zscaler Two.
Vérifiez les attributs utilisateur synchronisés de Microsoft Entra ID vers Zscaler Two dans la section Mappages d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondre des comptes d’utilisateur dans Zscaler Two dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.
Attribut Type Pris en charge pour le filtrage Requis par Zscaler Two userName String ✓ ✓ externalId String ✓ active Boolean ✓ name.givenName String name.familyName String displayName String ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ Sous la section Mappages, sélectionnez Synchroniser des groupes Microsoft Entra avec Zscaler Two.
Vérifiez les attributs de groupe synchronisés de Microsoft Entra ID vers Zscaler Two dans la section Mappages d'attributs. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondre des groupes dans Zscaler Two dans le cadre des opérations de mise à jour. Sélectionnez Enregistrer pour valider les modifications.
Attribut Type Pris en charge pour le filtrage Requis par Zscaler Two displayName String ✓ ✓ membres Informations de référence externalId String ✓ Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans le tutoriel sur les filtres d’étendue.
Pour activer le service de provisionnement Microsoft Entra pour Zscaler Two, modifiez l'état de provisionnement sur Activé dans la section Paramètres :
Définissez quels utilisateurs et/ou groupes vous voulez provisionner dans Zscaler Two en choisissant les valeurs appropriées sous Étendue dans la section Paramètres :
Quand vous êtes prêt à effectuer le provisionnement, sélectionnez Enregistrer :
Cette opération démarre la synchronisation initiale de tous les utilisateurs et groupes définis sous Étendue dans la section Paramètres. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui ont lieu toutes les 40 minutes environ tant que le service de provisionnement Microsoft Entra est en cours d’exécution. Vous pouvez surveiller la progression dans la section Détails de la synchronisation. Vous pouvez également suivre les liens fournis pour accéder à un rapport d’activité de provisionnement. Ce rapport décrit toutes les actions effectuées par le service de provisionnement Microsoft Entra dans Zscaler Two.
Pour plus d’informations sur la lecture des journaux de provisionnement Microsoft Entra, consultez Création de rapports sur le provisionnement automatique des comptes d’utilisateur.
Ressources supplémentaires
- Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
- Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?