Delen via


Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met Zscaler Internet Access ZSNet

In deze zelfstudie leert u hoe u Zscaler Internet Access ZSNet integreert met Microsoft Entra ID. Wanneer u Zscaler Internet Access ZSNet integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID beheren wie toegang heeft tot Zscaler Internet Access ZSNet.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Zscaler Internet Access ZSNet.
  • Beheer uw accounts op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

  • Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
  • Een Zscaler Internet Access ZSNet-abonnement waarvoor eenmalige aanmelding is ingeschakeld.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

  • Zscaler Internet Access ZSNet ondersteunt door SP geïnitieerde eenmalige aanmelding.
  • Zscaler Internet Access ZSNet biedt ondersteuning voor Just-In-Time-inrichting van gebruikers.
  • Zscaler Internet Access ZSNet biedt ondersteuning voor geautomatiseerde inrichting van gebruikers.

Als u de integratie van Zscaler Internet Access ZSNet in Microsoft Entra ID wilt configureren, moet u Zscaler Internet Access ZSNet vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. Typ in de sectie Toevoegen uit de galerie Zscaler Internet Access ZSNet in het zoekvak.
  4. Selecteer Zscaler Internet Access ZSNet in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra voor Zscaler Internet Access ZSNet configureren en testen

Configureer en test eenmalige aanmelding van Microsoft Entra met Zscaler Internet Access ZSNet met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Zscaler Internet Access ZSNet.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met Zscaler Internet Access ZSNet te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
  2. Eenmalige aanmelding voor Zscaler Internet Access ZSNet configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Testgebruiker voor Zscaler Internet Access ZSNet maken: als u een tegenhanger van B.Simon in Zscaler Internet Access ZSNet wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar de integratiepagina van Zscaler Internet Access ZSNet-toepassingen> voor Identity>Applications>Enterprise, zoek de sectie Beheren en selecteer Eenmalige aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Standaard SAML-configuratie bewerken

  5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

    In het tekstvak Aanmeldings-URL typt u een URL met het volgende patroon: https://<companyname>.zscaler.net

    Notitie

    De waarde is niet echt. Werk de waarde bij met de werkelijke aanmeldings-URL. Neem contact op met het klantondersteuningsteam van Zscaler Internet Access ZSNet om de waarde te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .

  6. In de Zscaler Internet Access ZSNet-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven. Klik op het pictogram Bewerken om het dialoogvenster Gebruikerskenmerken te openen.

    Schermopname die Gebruikerskenmerken toont met het pictogram Bewerken geselecteerd.

  7. Bovendien verwacht de Zscaler Internet Access ZSNet-toepassing nog enkele kenmerken die als SAML-antwoord moeten worden doorgestuurd. In de sectie Gebruikersclaims in het dialoogvenster Gebruikerskenmerken voert u de volgende stappen uit om het kenmerk van het SAML-token toe te voegen zoals wordt weergegeven in de onderstaande tabel:

    Naam Bronkenmerk
    memberOf user.assignedroles

    a. Klik op Nieuwe claim toevoegen om het dialoogvenster Gebruikersclaims beheren te openen.

    b. In het tekstvak Naam typt u de naam van het kenmerk die voor die rij wordt weergegeven.

    c. Laat Naamruimte leeg.

    d. Selecteer Bron bij Kenmerk.

    e. Typ de kenmerkwaarde voor die rij in de lijst met bronkenmerken.

    f. Klik op Opslaan.

    Notitie

    Klik hier om te weten hoe u de rol configureert in Microsoft Entra ID.

  8. Op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat gaat u naar Certificaat (Base64) en selecteert u Downloaden om het certificaat te downloaden en op te slaan op uw computer.

    De link om het certificaat te downloaden

  9. In de sectie Zscaler Internet Access ZSNet instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Configuratie-URL's kopiëren

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Controleren + maken.
  5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot Zscaler Internet Access ZSNet.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Identity>Applications Enterprise-toepassingen>>Zscaler Internet Access ZSNet.
  3. Zoek op de overzichtspagina van de app de sectie Beheren en selecteer Gebruikers en groepen.
  4. Selecteer Gebruiker toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
  5. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
  6. Als u de rollen hebt ingesteld zoals hierboven beschreven, kunt u deze selecteren in de vervolgkeuzelijst Selecteer een rol.
  7. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor Zscaler Internet Access ZSNet configureren

  1. Meld u in een ander browservenster als beheerder aan bij uw Zscaler Internet Access ZSNet-bedrijfssite

  2. Ga naar Beheer > Verificatie > Verificatie-instellingen en voer de volgende stappen uit:

    Schermopname van de Zscaler One-site met stappen als beschreven.

    a. Kies onder Verificatietype de optie SAML.

    b. Klik op SAML configureren.

  3. Voer in het venster SAML bewerken de volgende stappen uit en klik op Opslaan.

    Gebruikers en verificatie beheren

    a. Plak de aanmeldings-URL in het tekstvak VAN de SAML-portal-URL.

    b. Voer in het tekstvak Login Name AttributeNameID in.

    c. Klik op Uploaden om het Azure SAML-ondertekeningscertificaat te uploaden dat u vanuit Azure Portal in het openbare SSL-certificaat hebt gedownload.

    d. Schakel Enable SAML Auto-Provisioning in.

    e. Voer in het tekstvak User Display Name AttributedisplayName in als u automatische inrichting van SAML wilt inschakelen voor displayName-kenmerken.

    f. Voer in het tekstvak Group Name AttributememberOf in als u automatische inrichting van SAML wilt inschakelen voor memberOf-kenmerken.

    g. Voer in het tekstvak Department Name Attributedepartment in als u automatische inrichting van SAML wilt inschakelen voor department-kenmerken.

    h. Klik op Opslaan.

  4. Voer in het dialoogvenster Configure User Authentication de volgende stappen uit:

    Schermopname van het dialoogvenster Configure User Authentication, waarin Activate is geselecteerd.

    a. Beweeg de muisaanwijzer boven het menu Activering linksonder.

    b. Klik op Activeren.

Proxyinstellingen configureren

De proxyinstellingen configureren in Internet Explorer

  1. Start Internet Explorer.

  2. Selecteer Internetopties in het menu Extra om het dialoogvenster Internetopties te openen.

    Internetopties

  3. Klik op het tabblad Verbindingen.

    Connecties

  4. Klik op LAN-instellingen om het dialoogvenster LAN-instellingen te openen.

  5. In het gedeelte Proxyserver voert u de volgende stappen uit:

    Proxyserver

    a. Selecteer Een proxyserver voor uw LAN-netwerk gebruiken.

    b. Typ gateway.zscaler.net in het tekstvak Adres.

    c. Typ 80 in het tekstvak Poort.

    d. Selecteer Proxyserver niet voor lokale adressen gebruiken.

    e. Klik op OK om het dialoogvenster LAN-instellingen te sluiten.

  6. Klik op OK om het dialoogvenster Internetopties te sluiten.

Zscaler Internet Access ZSNet-testgebruiker maken

In deze sectie wordt een gebruiker met de naam Britta Simon gemaakt in Zscaler Internet Access ZSNet. Zscaler Internet Access ZSNet biedt ondersteuning voor Just-In-Time-inrichting van gebruikers. Deze functie is standaard ingeschakeld. Er is geen actie-item voor u in deze sectie. Als er nog geen gebruiker in Zscaler Internet Access ZSNet bestaat, wordt er een nieuwe gemaakt na verificatie.

Notitie

Als u handmatig een gebruiker moet maken, neemt u contact op met het ondersteuningsteam van Zscaler Internet Access ZSNet.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van Zscaler Internet Access ZSNet, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Zscaler Internet Access ZSNet en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel Zscaler Internet Access ZSNet klikt, wordt u omgeleid naar de aanmeldings-URL van Zscaler Internet Access ZSNet. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u Zscaler Internet Access ZSNet hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.