次の方法で共有

チュートリアル:Zscaler ZSCloud を構成し、自動ユーザー プロビジョニングに対応させる

  • [アーティクル]

このチュートリアルでは、ユーザーやグループを Zscaler ZSCloud に自動的にプロビジョニングおよびプロビジョニング解除するように Microsoft Entra ID を構成する方法を説明します。

Note

このチュートリアルでは、Microsoft Entra ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスが実行する内容および動作方法についての重要な情報と、よく寄せられる質問への回答については、Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。

前提条件

このチュートリアルに記載された手順を実行するには、次のものが必要になります。

  • Microsoft Entra テナント。
  • Zscaler ZSCloud テナント。
  • Admin アクセス許可がある Zscaler ZSCloud のユーザー アカウント。

Note

Microsoft Entra プロビジョニング統合は、エンタープライズ アカウントで利用できる Zscaler ZSCloud SCIM API に依存しています。

Microsoft Entra ID で自動ユーザー プロビジョニング向けに Zscaler ZSCloud を構成する前に、Zscaler ZSCloud を Microsoft Entra アプリケーション ギャラリーからマネージド SaaS アプリケーションの一覧に追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。

    Enterprise applications

  3. 検索ボックスに、「Zscaler ZSCloud」と入力します。

  4. 結果から [Zscaler ZSCloud] を選択して [追加] を選択します。

Results list

Zscaler ZSCloud にユーザーを割り当てる

Microsoft Entra ユーザーが特定のアプリを使用するには、アプリへのアクセス権が割り当てられている必要があります。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーまたはグループのみが同期されます。

自動ユーザー プロビジョニングを構成して有効にする前に、Zscaler ZSCloud へのアクセスが必要な Microsoft Entra ID のユーザーやグループを決定しておく必要があります。 それが決まれば、エンタープライズ アプリへのユーザーまたはグループの割り当てに関するページの手順に従って、これらのユーザーとグループを Zscaler ZSCloud に割り当てることができます。

ユーザーを Zscaler ZSCloud に割り当てる際の重要なヒント

  • まず、単一の Microsoft Entra ユーザーを Zscaler ZSCloud に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で、他のユーザーとグループを割り当てることができます。

  • Zscaler ZSCloud にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。

自動ユーザー プロビジョニングをセットアップする

このセクションでは、Microsoft Entra ID でのユーザーとグループの割り当てに基づいて、Zscaler ZSCloud でユーザーとグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

ヒント

Zscaler ZSCloud では、SAML ベースのシングル サインオンを有効にすることもできます。 その場合は、Zscaler ZSCloud のシングル サインオンに関するチュートリアルの手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

注意

ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Zscaler ZSCloud] の順に移動します。

  3. [プロビジョニング] タブを選択します。

    Zscaler ZSCloud Provisioning

  4. [プロビジョニング モード][自動] に設定します。

    Set the Provisioning Mode

  5. [管理者資格情報] セクションで、次の手順で説明する Zscaler ZSCloud アカウントの [テナント URL][シークレット トークン] を入力します。

  6. [テナント URL][シークレット トークン] を取得するには、Zscaler ZSCloud ポータルで [Administration](管理)>[Authentication Settings](認証設定) の順に移動し、 [Authentication Type](認証タイプ)[SAML] を選択します。

    Zscaler ZSCloud Authentication Settings

    [Configure SAML](SAML の構成) を選択して [Configure SAML](SAML の構成) ウィンドウを開きます。

    Configure SAML window

    [Enable SCIM-Based Provisioning](SCIM ベースのプロビジョニングを有効にする) を選択して、ベース URLベアラー トークンをコピーし、設定を保存します。 Azure portal で、ベース URL[テナント URL] ボックスに、ベアラー トークン[シークレット トークン] ボックスに貼り付けます。

  7. [テナントの URL][シークレット トークン] のボックスに値を入力したら、[接続のテスト] を選択して Microsoft Entra ID が Zscaler ZSCloud に接続できることを確認します。 接続できない場合は、使用中の Zscaler ZSCloud アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    Test the connection

  8. プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] を選択します。

    Set up notification email

  9. [保存] を選択します。

  10. [マッピング] セクションで、[Synchronize Microsoft Entra users to ZscalerZSCloud] (Microsoft Entra ユーザーを Zscaler ZSCloud に同期する) を選択します。

    Synchronize Microsoft Entra users

  11. [属性マッピング] セクションで、Microsoft Entra ID から Zscaler ZSCloud に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler ZSCloud のユーザー アカウントとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。

    Screenshot of the Attribute Mappings section with seven mappings displayed.

  12. [マッピング] セクションで、[Synchronize Microsoft Entra groups to ZscalerZSCloud] (Microsoft Entra グループを Zscaler ZSCloud に同期する) を選択します。

    Synchronize Microsoft Entra groups

  13. [属性マッピング] セクションで、Microsoft Entra ID から Zscaler ZSCloud に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler ZSCloud のグループとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。

    Screenshot of the Attribute Mappings section with three mappings displayed.

  14. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの手順を参照してください。

  15. Zscaler ZSCloud に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    Provisioning Status

  16. [設定] セクションの [スコープ] で目的の値を選択して、Zscaler ZSCloud にプロビジョニングするユーザーやグループを定義します。

    Scope values

  17. プロビジョニングの準備ができたら、 [保存] を選択します。

    Select Save

これにより、 [設定] セクションの [スコープ] で定義したユーザーやグループの初回の同期が開始されます。 初回の同期は後続の同期よりも実行に時間がかかります。後続の同期は、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 進行状況は、 [同期の詳細] セクションで監視できます。 リンクをたどってプロビジョニング アクティビティ レポートを取得することもできます。このレポートには、Microsoft Entra プロビジョニング サービスによって Zscaler ZSCloud に対して実行されたすべてのアクションが記載されています。

Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。

その他のリソース

次のステップ