次の方法で共有


Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に Zscaler Private Access (ZPA) を構成する

この記事の目的は、Zscaler Private Access (ZPA) と Microsoft Entra ID で実行する手順を示して、ユーザーやグループを Zscaler Private Access (ZPA) に自動的にプロビジョニングおよびプロビジョニング解除するように Microsoft Entra ID を構成することです。

この記事では、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されたコネクタについて説明します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

Zscaler Private Access (ZPA) へのユーザーの割り当て

Microsoft Entra ID では、 割り当て と呼ばれる概念を使用して、選択したアプリへのアクセスを受け取るユーザーを決定します。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーやグループのみが同期されます。

自動ユーザー プロビジョニングを構成して有効にする前に、Zscaler Private Access (ZPA) へのアクセスが必要な Microsoft Entra ID のユーザーやグループを決定しておく必要があります。 決定したら、次の手順に従って、これらのユーザーまたはグループを Zscaler Private Access (ZPA) に割り当てることができます。

ユーザーを Zscaler Private Access (ZPA) に割り当てるための重要なヒント

  • 自動ユーザー プロビジョニング構成をテストするには、1 人の Microsoft Entra ユーザーを Zscaler Private Access (ZPA) に割り当てることをお勧めします。 後でユーザーやグループを追加で割り当てられます。

  • Zscaler Private Access (ZPA) にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外されます。

プロビジョニング用に Zscaler Private Access (ZPA) を設定する

  1. Zscaler Private Access (ZPA) 管理コンソールにサインインします。 [管理> IdP 構成] に移動します。

    Zscaler Private Access (ZPA) 管理コンソール

  2. シングル サインオン用の IdP が構成されていることを確認します。 IdP が設定されていない場合は、画面の右上隅にあるプラス アイコンを選択して追加します。

    Zscaler プライベート アクセス (ZPA) に SCIM を追加

  3. IdP 構成の追加ウィザードに従って、IdP を追加します。 [シングル サインオン] フィールドは [ユーザー] のままにします。 [名前] を指定し、ドロップダウン リストから [ドメイン] を選択します。 [次へ] を選択して、次のウィンドウに移動します。

    Zscaler Private Access (ZPA) IdP追加

  4. サービス プロバイダー証明書をダウンロードします。 [次へ] を選択して、次のウィンドウに移動します。

    Zscaler Private Access (ZPA) SP 証明書

  5. 次のウィンドウで、前にダウンロードした サービス プロバイダー証明書 をアップロードします。

    Zscaler Private Access (ZPA) アップロード証明書

  6. 下にスクロールして、 シングル サインオン URLIdP エンティティ ID を指定します。

    Zscaler Private Access (ZPA) IdP ID

  7. 下にスクロールして SCIM 同期を有効にします。[ 新しいトークンの生成 ] ボタンを選択します。 ベアラー トークンをコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブの [シークレット トークン] フィールドに入力されます。

    Zscaler Private Access (ZPA) のトークンの作成

  8. テナント URL を見つけるには、[管理> IdP 構成] に移動します。 ページに一覧表示されている新しく追加された IdP 構成の名前を選択します。

    Zscaler Private Access (ZPA) Idp Name

  9. 下にスクロールして、ページの最後にある SCIM サービス プロバイダー エンドポイント を表示します。 SCIM サービス プロバイダー エンドポイントをコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブの [テナント URL] フィールドに入力されます。

    Zscaler Private Access (ZPA) SCIM URL

Microsoft Entra ID での自動ユーザー プロビジョニング用に Zscaler Private Access (ZPA) を構成する前に、Zscaler Private Access (ZPA) を Microsoft Entra アプリケーション ギャラリーからマネージド SaaS アプリケーションの一覧に追加する必要があります。

Microsoft Entra アプリケーション ギャラリーから Zscaler Private Access (ZPA) を追加するには、次の手順に従います。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
  2. Entra ID>エンタープライズアプリ>新しいアプリケーションを参照します。
  3. [ギャラリーからの追加] セクションで、「Zscaler Private Access (ZPA)」と入力し、検索ボックスで Zscaler Private Access (ZPA) を選択します。
  4. 結果パネルから Zscaler Private Access (ZPA) を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。 結果一覧の Zscaler Private Access (ZPA)

Zscaler Private Access (ZPA) への自動ユーザー プロビジョニングの構成

このセクションでは、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて、Zscaler Private Access (ZPA) でユーザーが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

ヒント

Zscaler Private Access (ZPA) のシングル サインオンに関する記事に記載されている手順に従って、 Zscaler Private Access (ZPA) に対して SAML ベースのシングル サインオンを有効にすることもできます。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。

Zscaler Private Access の SCIM エンドポイントの詳細については、 こちらを参照してください。

Microsoft Entra ID で Zscaler Private Access (ZPA) の自動ユーザー プロビジョニングを構成するには:

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. Entra ID>Enterprise アプリ>Zscaler Private Access (ZPA) に移動します。

    アプリケーションの一覧の Zscaler Private Access (ZPA) リンク

  3. [プロビジョニング] タブ 選択します。

    [プロビジョニング] オプションが強調表示されている [管理] オプションのスクリーンショット。

  4. [プロビジョニング モード] を[自動] に設定します。

    [自動] オプションが強調表示されている [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  5. [ 管理者資格情報 ] セクションで、先ほど取得した SCIM サービス プロバイダー エンドポイント の値を テナント URL に入力します。 先ほど取得した ベアラー トークン 値を シークレット トークンに入力します。 [ テスト接続] を選択して、Microsoft Entra ID が Zscaler Private Access (ZPA) に接続できることを確認します。 接続に失敗する場合は、Zscaler Private Access (ZPA) アカウントに管理者アクセス許可があることを確認し、再試行します。

    テナント URL + トークン

  6. [ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラー発生時に電子メール通知を送信する] チェック ボックスをオンにします。

    通知メール

  7. [保存] を選択します

  8. [マッピング] セクション 、[ Microsoft Entra ユーザーを Zscaler Private Access (ZPA) に同期する] を選択します。

  9. [属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Zscaler Private Access (ZPA) のユーザー アカウントとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。

    属性 タイプ フィルター処理のサポート Zscaler Private Access で必須
    ユーザー名
    エクスターナルID
    活動中 ボーリアン
    emails[type eq "仕事"].value
    名前.名
    名前.姓
    表示名
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:部門
  10. [マッピング] セクション 、[ Microsoft Entra グループを Zscaler Private Access (ZPA) に同期する] を選択します。

  11. [属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるグループ 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Zscaler Private Access (ZPA) のグループとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。

    属性 タイプ フィルター処理のサポート Zscaler Private Access で必須
    表示名
    メンバー リファレンス
    エクスターナルID
  12. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 参照してください。

  13. Zscaler Private Access (ZPA) に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態がオンに切り替わります

  14. [設定] セクションの [スコープ] で目的の値を選択して、Zscaler Private Access (ZPA) にプロビジョニングするユーザーやグループを定義します。

    プロビジョニング スコープ

  15. プロビジョニングの準備ができたら、[ 保存] を選択します。

    プロビジョニング構成の保存

この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーまたはグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、Microsoft Entra プロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視し、リンクをクリックしてプロビジョニング アクティビティ レポートに移動できます。このレポートには、Zscaler Private Access (ZPA) に対して Microsoft Entra プロビジョニング サービスによって実行されたすべてのアクションが記載されています。

Microsoft Entra プロビジョニング ログを読み取る方法の詳細については、「 自動ユーザー アカウント プロビジョニングに関するレポート」を参照してください。

その他のリソース