Tutorial: Mengonfigurasi Zscaler Private Access (ZPA) untuk provisi pengguna otomatis

Tujuan dari tutorial ini adalah untuk menunjukkan langkah-langkah yang akan dilakukan di Zscaler Private Access (ZPA) dan ID Microsoft Entra untuk mengonfigurasi ID Microsoft Entra untuk secara otomatis memprovisikan dan mendeprovisi pengguna dan/atau grup ke Zscaler Private Access (ZPA).

Catatan

Tutorial ini menjelaskan konektor yang dibangun di atas layanan provisi pengguna Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Prasyarat

Skenario yang diuraikan dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Penyewa Microsoft Entra
• Penyewa Zscaler Private Access (ZPA)
• Akun pengguna di Zscaler Private Access (ZPA) dengan izin Admin.

Tetapkan pengguna ke Zscaler Private Access (ZPA)

MICROSOFT Entra ID menggunakan konsep yang disebut penugasan untuk menentukan pengguna mana yang harus menerima akses ke aplikasi yang dipilih. Dalam konteks provisi pengguna otomatis, hanya pengguna dan/atau grup yang telah ditetapkan ke aplikasi di ID Microsoft Entra yang disinkronkan.

Sebelum mengonfigurasi dan mengaktifkan provisi pengguna otomatis, Anda harus memutuskan pengguna dan/atau grup mana di ID Microsoft Entra yang memerlukan akses ke Zscaler Private Access (ZPA). Setelah memutuskan, Anda dapat menetapkan pengguna dan/atau grup ini ke Zscaler Private Access (ZPA) dengan mengikuti instruksi di sini:

• Menetapkan pengguna atau grup ke aplikasi perusahaan

Tips penting untuk menetapkan pengguna ke Zscaler Private Access (ZPA)

• Disarankan agar satu pengguna Microsoft Entra ditetapkan ke Zscaler Private Access (ZPA) untuk menguji konfigurasi provisi pengguna otomatis. Pengguna dan/atau grup tambahan dapat ditetapkan nanti.

• Saat menetapkan pengguna ke Zscaler Private Access (ZPA), Anda harus memilih peran spesifik aplikasi yang valid (jika tersedia) dalam dialog penugasan. Pengguna dengan peran Akses Default dikecualikan dari provisi.

Siapkan Zscaler Private Access (ZPA) untuk provisi

1. Masuk ke Konsol Admin Zscaler Private Access (ZPA) Anda. Navigasikan ke Administrasi > Konfigurasi IdP.

   

2. Verifikasi untuk memastikan bahwa IdP untuk Akses menyeluruh dikonfigurasi. Jika tidak ada IdP yang disiapkan, maka tambahkan satu dengan mengklik ikon plus di sudut kanan atas layar.

   

3. Ikuti panduan wizard Tambahkan Konfigurasi IdP untuk menambahkan IdP. Biarkan bidang akses menyeluruh diatur ke Pengguna. Berikan Nama dan pilih Domain dari daftar turun-bawah. Klik Berikutnya untuk menavigasikan ke jendela berikutnya.

   

4. Unduh Sertifikat Penyedia Layanan. Klik Berikutnya untuk menavigasikan ke jendela berikutnya.

   

5. Di jendela berikutnya, unggah Sertifikat Penyedia Layanan yang diunduh sebelumnya.

   

6. Gulir ke bawah untuk menyediakan URL akses menyeluruh dan ID Entitas IdP.

   

7. Gulir ke bawah untuk Mengaktifkan Sinkronisasi SCIM. Klik tombol Buat Token Baru. Salin Token Pembawa. Nilai ini akan dimasukkan di bidang Token Rahasia di tab Provisi aplikasi Zscaler Private Access (ZPA) Anda.

   

8. Untuk menemukan URL Penyewa, navigasikan ke Administrasi > Konfigurasi IdP. Klik nama konfigurasi IdP yang baru ditambahkan yang tercantum di halaman.

   

9. Gulir ke bawah untuk melihat Titik Akhir Penyedia Layanan SCIM di akhir halaman. Salin Titik Akhir Penyedia Layanan SCIM. Nilai ini akan dimasukkan di bidang URL Penyewa di tab Provisi aplikasi Zscaler Private Access (ZPA) Anda.

   

Menambahkan Zscaler Private Access (ZPA) dari galeri

Sebelum mengonfigurasi Zscaler Private Access (ZPA) untuk provisi pengguna otomatis dengan MICROSOFT Entra ID, Anda perlu menambahkan Zscaler Private Access (ZPA) dari galeri aplikasi Microsoft Entra ke daftar aplikasi SaaS terkelola Anda.

Untuk menambahkan Zscaler Private Access (ZPA) dari galeri aplikasi Microsoft Entra, lakukan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
3. Di bagian Tambahkan dari galeri , ketik Zscaler Private Access (ZPA), pilih Zscaler Private Access (ZPA) di kotak pencarian.
4. Pilih Zscaler Private Access (ZPA) dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Mengonfigurasi provisi pengguna otomatis ke Zscaler Private Access (ZPA)

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan/atau grup di Zscaler Private Access (ZPA) berdasarkan penetapan pengguna dan/atau grup di ID Microsoft Entra.

Tip

Anda juga dapat memilih untuk mengaktifkan masuk tunggal berbasis SAML untuk Zscaler Private Access (ZPA) dengan mengikuti instruksi yang diberikan dalam tutorial akses menyeluruh Zscaler Private Access (ZPA). Single sign-on dapat dikonfigurasi secara independen dari provisi pengguna otomatis, meskipun kedua fitur ini saling melengkapi.

Catatan

Ketika pengguna dan grup diprovisi atau dideprovisi, kami menyarankan untuk memulai ulang provisi secara berkala untuk memastikan bahwa keanggotaan grup diperbarui dengan benar. Menghidupkan ulang akan memaksa layanan kami untuk mengevaluasi kembali semua grup dan memperbarui keanggotaan.

Catatan

Untuk mempelajari selengkapnya tentang titik akhir SCIM Zscaler Private Access, lihat ini.

Untuk mengonfigurasi provisi pengguna otomatis untuk Zscaler Private Access (ZPA) di ID Microsoft Entra:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi >Identity>Applications>Enterprise Zscaler Private Access (ZPA).

   

3. Pilih Provisi tab.

   

4. Atur Mode Provisi ke Otomatis.

   

5. Di bawah bagian Info masuk Admin, masukkan nilai Penyedia Layanan Titik Akhir SCIM yang diambil sebelumnya di URL Penyewa. Masukkan nilai Token Pembawa yang diambil sebelumnya di Token Rahasia. Klik Uji Koneksi ion untuk memastikan ID Microsoft Entra dapat tersambung ke Zscaler Private Access (ZPA). Jika sambungan gagal, pastikan akun Zscaler Private Access (ZPA) Anda memiliki izin Admin, lalu coba lagi.

   

6. Di bidang Email Pemberitahuan, masukkan alamat email seseorang atau grup yang akan menerima pemberitahuan kesalahan provisi dan centang kotak centang - Kirim pemberitahuan email saat kegagalan terjadi.

   

7. Klik Simpan.

8. Di bawah bagian Pemetaan , pilih Sinkronkan pengguna Microsoft Entra ke Zscaler Private Access (ZPA).

   

9. Tinjau atribut pengguna yang disinkronkan dari ID Microsoft Entra ke Zscaler Private Access (ZPA) di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan akun pengguna di Azure ke Zscaler Private Access (ZPA) untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

   

10. Di bawah bagian Pemetaan , pilih Sinkronkan grup Microsoft Entra ke Zscaler Private Access (ZPA).

    

11. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Zscaler Private Access (ZPA) di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan grup di Zscaler Private Access (ZPA) untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    

12. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam Tutorial filter cakupan.

13. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Zscaler Private Access (ZPA), ubah Status Provisi menjadi Aktif di bagian Pengaturan.

    

14. Tentukan pengguna dan/atau grup yang ingin Anda provisikan ke Zscaler Private Access (ZPA) dengan memilih nilai yang diinginkan pada Cakupan di bagian Pengaturan.

    

15. Saat Anda siap untuk melakukan provisi, klik Simpan.

    

Operasi ini memulai sinkronisasi awal semua pengguna dan/atau grup yang ditentukan dalam Cakupan di bagian Pengaturan. Sinkronisasi awal membutuhkan waktu lebih lama untuk dilakukan daripada sinkronisasi berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan. Anda dapat menggunakan bagian Detail Sinkronisasi untuk memantau kemajuan dan mengikuti tautan ke laporan aktivitas provisi, yang menjelaskan semua tindakan yang dilakukan oleh layanan provisi Microsoft Entra di Zscaler Private Access (ZPA).

Untuk informasi selengkapnya tentang cara membaca log provisi Microsoft Entra, lihat Melaporkan provisi akun pengguna otomatis.

Sumber Daya Tambahan:

• Mengelola provisi akun pengguna untuk Aplikasi Perusahaan
• Apa itu akses aplikasi dan akses menyeluruh dengan MICROSOFT Entra ID?

Langkah berikutnya

• Mempelajari cara mengulas log dan mendapatkan laporan tentang aktivitas provisi