Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez apprendre à intégrer Zscaler Internet Access Administrator à Microsoft Entra ID. Lorsque vous intégrez Zscaler Internet Access Administrator à Microsoft Entra ID, vous pouvez :
- Contrôler les accès à Zscaler Internet Access Administrator depuis Microsoft Entra ID.
- Permettre à vos utilisateurs de se connecter automatiquement à Zscaler Internet Access Administrator avec leurs comptes Microsoft Entra.
- Gérez vos comptes dans un emplacement central.
Conditions préalables
Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :
- Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Un abonnement Zscaler Internet Access Administrator pour lequel l’authentification SSO (authentification unique) est activée.
Remarque
Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications cloud Microsoft Entra US Government et la configurer de la même façon que vous le faites à partir du cloud public.
Description du scénario
Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.
- Zscaler Internet Access Administrator prend en charge l’authentification SSO lancée par le fournisseur de services (IdP).
Ajouter Zscaler Internet Access Administrator à partir de la galerie
Pour configurer l’intégration de Zscaler Internet Access Administrator à Microsoft Entra ID, vous devez ajouter Zscaler Internet Access Administrator à votre liste d’applications SaaS managées à partir de la galerie.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, dans la zone de recherche, tapez Zscaler Internet Access Administrator.
- Sélectionnez Zscaler Internet Access Administrator dans le panneau Résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.
Configurer et tester l’authentification unique (SSO) Microsoft Entra pour Zscaler Internet Access Administrator
Configurez et testez l’authentification unique (SSO) Microsoft Entra avec Zscaler Internet Access Administrator à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique (SSO) fonctionne, vous devez établir une relation entre un utilisateur Microsoft Entra et l’utilisateur associé dans Zscaler Internet Access Administrator.
Pour configurer et tester l’authentification unique (SSO) avec Zscaler Internet Access Administrator, effectuez les étapes suivantes :
- Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
- Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec Britta Simon.
- Affectez l’utilisateur de test Microsoft Entra pour permettre à Britta Simon d’utiliser l’authentification unique Microsoft Entra.
- Configurer l’authentification unique (SSO) Zscaler Internet Access Administrator pour configurer les paramètres d’authentification unique côté application.
- Créez un utilisateur de test Zscaler Internet Access Administrator pour avoir un équivalent de Britta Simon dans Zscaler Internet Access Administrator lié à la représentation Microsoft Entra de l’utilisateur.
- Effectuer un test SSO pour vérifier si la configuration fonctionne.
Configurer l’authentification unique Microsoft Entra
Suivez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à la page d’intégration de l'application Zscaler Internet Access Administrator dans >>, recherchez la section Manage et sélectionnez Connexion unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.
Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :
a) Dans la zone de texte Identificateur, tapez l’une des URL suivantes selon vos besoins :
Identificateur https://admin.zscaler.nethttps://admin.zscalerone.nethttps://admin.zscalertwo.nethttps://admin.zscalerthree.nethttps://admin.zscloud.nethttps://admin.zscalerbeta.netb. Dans la zone de texte URL de réponse, tapez l’une des URL suivantes selon vos besoins :
URL de réponse https://admin.zscaler.net/adminsso.dohttps://admin.zscalerone.net/adminsso.dohttps://admin.zscalertwo.net/adminsso.dohttps://admin.zscalerthree.net/adminsso.dohttps://admin.zscloud.net/adminsso.dohttps://admin.zscalerbeta.net/adminsso.doL'application Zscaler Internet Access Administrator attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs utilisateur et revendications de la page d’intégration de l’application. Dans la page Configurer un Sign-On unique avec SAML, sélectionnez bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur et revendications .
Dans la section Revendications des utilisateurs de la boîte de dialogue Attributs utilisateur, configurez le jeton SAML comme sur l’image ci-dessus et procédez comme suit :
Nom Attribut source Rôle user.assignedroles a) Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications utilisateur .
b. Dans la liste Attribut de la source, sélectionnez la valeur de l’attribut.
c. Sélectionnez OK.
d. Cliquez sur Enregistrer.
Remarque
Sélectionnez ici pour savoir comment configurer le rôle dans l’ID Microsoft Entra.
Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez Télécharger pour télécharger le certificat (Base64) à partir des options spécifiées en fonction de vos besoins et enregistrez-le sur votre ordinateur.
Dans la section Configurer Zscaler Internet Access Administrator, copiez la ou les URL appropriées en fonction de vos besoins.
Créer et affecter un utilisateur de test Microsoft Entra
Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.
Configurer l’authentification SSO pour Zscaler Internet Access Administrator
Dans une autre fenêtre de navigateur web, connectez-vous à votre UI d’administrateur Zscaler Internet Access.
Accédez à Administration > Administrator Management et effectuez les étapes suivantes, puis sélectionnez Enregistrer :
a) Cliquez sur Enable SAML Authentication.
b. Sélectionnez Charger pour charger le certificat de signature SAML Azure que vous avez téléchargé à partir du portail Azure dans le certificat SSL public.
c. Si vous le souhaitez, pour renforcer la sécurité, ajoutez les détails de l’émetteur (dans le champ Issuer) afin de vérifier l’émetteur de la réponse SAML.
Dans l’UI de l’administrateur, effectuez les étapes suivantes :
a) Passez la souris sur le menu Activation en bas à gauche.
b. Sélectionnez Activer.
Créer un utilisateur de test Zscaler Internet Access Administrator
L'objectif de cette section est de créer un utilisateur appelé Britta Simon dans Zscaler Internet Access Administrator. Zscaler Internet Access ne prend pas en charge la mise en service "Just-In-Time" pour l’authentification unique de l’Administrateur. Vous devez créer manuellement un compte Administrateur. Pour savoir comment créer un compte d’administrateur, reportez-vous à la documentation de Zscaler :
https://help.zscaler.com/zia/adding-admins
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Sélectionnez Tester cette application et vous devez être connecté automatiquement à l’administrateur d’accès Internet Zscaler pour lequel vous avez configuré l’authentification unique
Vous pouvez utiliser Microsoft My Apps. Lorsque vous sélectionnez la vignette Administrateur d’accès Internet Zscaler dans Mes applications, vous devez être connecté automatiquement à l’administrateur d’accès Internet Zscaler pour lequel vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Contenu connexe
Une fois que vous avez configuré Zscaler Internet Access Administrator, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session s’étend de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.