Udostępnij za pośrednictwem

Integracja firmy Microsoft Entra z aplikacją Zscaler Internet Access ZSOne

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować aplikację Zscaler Internet Access ZSOne z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu rozwiązania Zscaler Internet Access ZSOne z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w Microsoft Entra ID, kto ma dostęp do usługi Zscaler Internet Access ZSOne.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Zscaler Internet Access ZSOne przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Zscaler Internet Access ZSOne z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Aplikacja Zscaler Internet Access ZSOne obsługuje inicjowane przez SP logowanie jednokrotne (SSO).

  • Aplikacja Zscaler Internet Access ZSOne obsługuje aprowizację użytkowników dokładnie na czas.

  • Rozwiązanie Zscaler Internet Access ZSOne obsługuje automatyczną aprowizację użytkowników.

Uwaga / Notatka

Identyfikator tej aplikacji ma stałą wartość tekstową, więc w jednym tenancie można skonfigurować tylko jedno wystąpienie.

Aby skonfigurować integrację aplikacji Zscaler Internet Access ZSOne z microsoft Entra ID, należy dodać aplikację Zscaler Internet Access ZSOne z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Zscaler Internet Access ZSOne w polu wyszukiwania.
  4. Wybierz pozycję Zscaler Internet Access ZSOne z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla aplikacji Zscaler Internet Access ZSOne

Skonfiguruj i przetestuj aplikację Microsoft Entra SSO z aplikacją Zscaler Internet Access ZSOne przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Zscaler Internet Access ZSOne.

Aby skonfigurować i przetestować Microsoft Entra SSO z aplikacją Zscaler Internet Access ZSOne, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby użytkownicy mogli korzystać z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z Brittą Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby Britta Simon mogła korzystać z jednokrotnego logowania Microsoft Entra.
  2. Skonfiguruj Zscaler Internet Access ZSOne SSO - aby skonfigurować ustawienia jednokrotnego logowania Sign-On po stronie aplikacji.
    1. Utwórz użytkownika testowego Zscaler Internet Access ZSOne — aby mieć odpowiednik użytkownika Britta Simon w Zscaler Internet Access ZSOne, który jest połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. test SSO - aby zweryfikować, czy konfiguracja działa.

Konfiguracja systemu Microsoft Entra SSO

Aby włączyć SSO Microsoft Entra, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Zscaler Internet Access ZSOne>Single sign-on.

  3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujący krok:

    a. W polu tekstowym Adres URL logowania wpisz adres URL używany przez użytkowników do logowania się do aplikacji Zscaler Internet Access ZSOne.

    Uwaga / Notatka

    Wartość należy zaktualizować przy użyciu rzeczywistego adresu URL Sign-On. Aby uzyskać wartość, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Zscaler Internet Access ZSOne . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML .

  6. Twoja aplikacja Zscaler Internet Access ZSOne oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Wybierz ikonę Edytuj , aby otworzyć okno dialogowe Atrybuty użytkownika .

    Zrzut ekranu przedstawiający atrybuty użytkownika z wybraną ikoną Edytuj.

  7. Oprócz powyższych, aplikacja Zscaler Internet Access ZSOne oczekuje, że w odpowiedzi SAML zostanie zwróconych kilka dodatkowych atrybutów. W sekcji Oświadczenia użytkownika w oknie dialogowym Atrybuty użytkownika wykonaj następujące czynności, aby dodać atrybut tokenu SAML, jak pokazano w poniższej tabeli:

    Nazwa Atrybut źródłowy
    członek_należy_do user.assignedroles

    a. Wybierz pozycję Dodaj nowe oświadczenie , aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników .

    b. W polu tekstowym Nazwa wpisz nazwę atrybutu pokazaną dla tego wiersza.

    c. Pozostaw przestrzeń nazw pustą.

    d. Dla opcji Źródło wybierz wartość Atrybut.

    e. Na liście Atrybut źródłowy wpisz wartość atrybutu pokazaną dla tego wiersza.

    f. Wybierz Zapisz.

    Uwaga / Notatka

    Wybierz tutaj , aby dowiedzieć się, jak skonfigurować rolę w Microsoft Entra ID.

  8. Na stronie Konfigurowanie pojedynczego logowania przy użyciu SAML, w sekcji Certyfikat podpisujący SAML, wybierz Pobierz, aby pobrać Certyfikat (Base64) z dostępnych opcji zgodnie z wymaganiami i zapisz go na komputerze.

    Link do pobierania certyfikatu

  9. W sekcji Konfigurowanie aplikacji Zscaler Internet Access ZSOne skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator użytkowników.
  2. Przejdź do pozycji Entra ID>Użytkownicy.
  3. Wybierz pozycję Nowy użytkownik> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź B.Simon.
    2. W polu Nazwa główna użytkownika wprowadź wartość username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
    4. Wybierz opcję Recenzja i utwórz.
  5. Wybierz Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Zscaler Internet Access ZSOne.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
  2. Przejdź do obszaru Entra ID>Enterprise apps>Zscaler Internet Access ZSOne.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie wybierz przycisk Wybierz w dolnej części ekranu.
  6. Jeśli masz skonfigurowane role zgodnie z opisem w powyższym artykule, możesz wybrać ją z listy rozwijanej Wybierz rolę .
  7. W oknie dialogowym Dodawanie przypisania wybierz przycisk Przypisz .

Konfigurowanie aplikacji Zscaler Internet Access ZSOne SSO

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny aplikacji Zscaler Internet Access ZSOne jako administrator

  2. Przejdź do Administracja > Uwierzytelnianie > Ustawienia uwierzytelniania i wykonaj następujące kroki:

    Zrzut ekranu przedstawia witrynę Zscaler One z krokami zgodnie z opisem.

    a. W obszarze Typ uwierzytelniania wybierz pozycję SAML.

    b. Wybierz Skonfiguruj SAML.

  3. W oknie Edytowanie protokołu SAML wykonaj następujące kroki: i wybierz pozycję Zapisz.

    Zarządzanie użytkownikami i uwierzytelnianiem

    a. W polu tekstowym adresu URL portalu SAML wklej adres URL logowania .

    b. W polu tekstowym Login Name Attribute (Atrybut nazwy logowania ) wprowadź NameID.

    c. Wybierz pozycję Przekaż, aby przekazać certyfikat podpisywania SAML platformy Azure pobrany z witryny Azure Portal w publicznym certyfikacie SSL.

    d. Przełącz opcję Włącz automatyczną aprowizację SAML.

    e. W polu tekstowym Atrybut nazwy wyświetlanej użytkownika wprowadź displayName, jeśli chcesz włączyć automatyczne konfigurowanie protokołu SAML dla atrybutów displayName.

    f. W polu tekstowym Atrybut nazwy grupy wpisz memberOf, jeśli chcesz włączyć automatyczne udostępnianie SAML dla atrybutów memberOf.

    g. W atrybucie Nazwa działu wprowadź dział, jeśli chcesz włączyć automatyczne udostępnianie SAML dla atrybutów działu.

    h. Wybierz Zapisz.

  4. Na stronie dialogowej Konfigurowanie uwierzytelniania użytkownika wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Konfigurowanie uwierzytelniania użytkownika z wybraną opcję Aktywuj.

    a. Jednak w menu aktywacji , blisko lewego dolnego rogu,.

    b. Wybierz Aktywuj.

Konfigurowanie ustawień serwera proxy

Aby skonfigurować ustawienia serwera proxy w programie Internet Explorer

  1. Uruchom program Internet Explorer.

  2. Wybierz pozycję Opcje internetowe z menu Narzędzia , aby otworzyć okno dialogowe Opcje internetowe .

    Opcje internetowe

  3. Wybierz zakładkę Połączenia.

    Połączenia

  4. Wybierz pozycję Ustawienia sieci LAN , aby otworzyć okno dialogowe Ustawienia sieci LAN .

  5. W sekcji Serwer proxy wykonaj następujące kroki:

    serwer proxy

    a. Wybierz pozycję Użyj serwera proxy dla sieci LAN.

    b. W polu tekstowym Adres wpisz gateway.Zscaler One.net.

    c. W polu tekstowym Port wpisz 80.

    d. Wybierz pozycję Pomiń serwer proxy dla adresów lokalnych.

    e. Wybierz przycisk OK, aby zamknąć okno dialogowe Ustawienia sieci lokalnej (LAN).

  6. Wybierz przycisk OK , aby zamknąć okno dialogowe Opcje internetowe .

Tworzenie użytkownika testowego aplikacji Zscaler Internet Access ZSOne

W tej sekcji w aplikacji Zscaler Internet Access ZSOne jest tworzony użytkownik o nazwie Britta Simon. Aplikacja Zscaler Internet Access ZSOne obsługuje aprowizację użytkowników just in time, która jest domyślnie włączona. Nie masz żadnych zadań do wykonania w tej sekcji. Jeśli użytkownik jeszcze nie istnieje w aplikacji Zscaler Internet Access ZSOne, zostanie utworzony po uwierzytelnieniu.

Uwaga / Notatka

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej aplikacji Zscaler Internet Access ZSOne.

Uwaga / Notatka

Rozwiązanie Zscaler Internet Access ZSOne obsługuje również automatyczną aprowizację użytkowników. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra, korzystając z następujących opcji.

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania Zscaler Internet Access ZSOne, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania Zscaler Internet Access ZSOne i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft My Apps. Po wybraniu kafelka Zscaler Internet Access ZSOne w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania Zscaler Internet Access ZSOne. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Treści powiązane

Po skonfigurowaniu usługi Zscaler Internet Access ZSOne możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę nad sesjami za pomocą Microsoft Defender for Cloud Apps.