Udostępnij za pośrednictwem

Konfigurowanie rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego artykułu jest zademonstrowanie kroków, które należy wykonać w usługach Zscaler i Microsoft Entra ID w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w usłudze Zscaler.

Uwaga

W tym artykule opisano łącznik zbudowany na bazie usługi aprowizacji użytkowników Microsoft Entra. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

W scenariuszu opisanym w tym artykule zakłada się, że masz już następujące elementy:

— Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto. — Jedną z następujących ról: — Administrator aplikacji - Administrator aplikacji w chmurze - właściciel aplikacji..

  • Dzierżawa rozwiązania Zscaler.
  • Konto użytkownika w usłudze Zscaler z uprawnieniami administratora.

Uwaga

Integracja aprowizacji Microsoft Entra opiera się na interfejsie API SCIM Zscaler, który jest dostępny dla deweloperów Zscaler dla kont z pakietem Enterprise.

Przed skonfigurowaniem rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.

Aby dodać aplikację Zscaler z galerii aplikacji Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.

  3. W polu wyszukiwania wpisz Zscaler, wybierz pozycję Zscaler z panelu wyników, a następnie kliknij przycisk Dodaj , aby dodać aplikację.

    Aplikacja Zscaler na liście wyników

Przypisywanie użytkowników do rozwiązania Zscaler

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy i/lub grupy, które zostały "przypisane" do aplikacji w identyfikatorze Entra firmy Microsoft.

Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do rozwiązania Zscaler. Po podjęciu decyzji możesz przypisać tych użytkowników i/lub grupy do usługi Zscaler, wykonując poniższe instrukcje:

Ważne porady dotyczące przypisywania użytkowników do rozwiązania Zscaler

  • Zaleca się przypisanie pojedynczego użytkownika Microsoft Entra do Zscaler w celu przetestowania automatycznej konfiguracji provisioningu użytkowników. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do usługi Zscaler należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.

Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Zscaler

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze Zscaler na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Uwaga

Otwórz zgłoszenie pomocnicze, aby utworzyć domenę w usłudze Zscaler.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla rozwiązania Zscaler, postępując zgodnie z instrukcjami podanymi w artykule dotyczącym logowania jednokrotnego Zscaler. Jednokrotne logowanie można skonfigurować niezależnie od automatycznego prowizjonowania użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.

Uwaga

W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo. Pamiętaj, że ponowne uruchomienie może zająć trochę czasu, jeśli synchronizujesz wszystkich użytkowników i grupy w dzierżawie lub masz przypisane duże grupy z 50K+ członków.

Aby skonfigurować automatyczne ustanowienie użytkowników dla Zscaler w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Aplikacje tożsamości>Aplikacje dla przedsiębiorstw>Zscaler.

  3. Wybierz kartę Aprowizacja.

    Zrzut ekranu przedstawiający pasek boczny aplikacji korporacyjnej Zscaler z wyróżnioną opcją Aprowizowanie.

  4. Ustaw Tryb aprowizacji na Automatyczny.

    Zrzut ekranu przedstawiający kartę Aprowizowanie automatyczne.

  5. W sekcji Poświadczenia administracyjne wprowadź adres URL dzierżawy i tajny token konta usługi Zscaler zgodnie z opisem w kroku 6.

  6. Aby uzyskać Adres URL dzierżawy i Tajny token, przejdź do pozycji Administracja > Ustawienia uwierzytelniania w interfejsie użytkownika portalu Zscaler i kliknij SAML w sekcji Typ uwierzytelniania.

    Zrzut ekranu przedstawiający stronę Ustawienia uwierzytelniania.

  7. Kliknij pozycję Konfiguruj protokół SAML, aby otworzyć opcje SAML konfiguracji.

    Zrzut ekranu przedstawiający okno dialogowe Konfigurowanie protokołu SAML z polami tekstowymi Podstawowy adres URL i token elementu nośnego.

  8. Wybierz pozycję Włącz aprowizację opartą na protokole SCIM, aby pobrać podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. Skopiuj podstawowy adres URL do adresu URL dzierżawy i token nośnika do tajnego tokenu.

  9. Po wypełnieniu pól wyświetlanych w kroku 5 kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Zscaler ma uprawnienia administratora i spróbuj ponownie.

    Zrzut ekranu przedstawiający token.

  10. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.

    Zrzut ekranu przedstawiający pole tekstowe Powiadomienie e-mail.

  11. Kliknij przycisk Zapisz.

  12. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler.

  13. Przejrzyj atrybuty użytkownika synchronizowane z Microsoft Entra ID do Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługa filtrowania Wymagane przez usługę Zscaler
    userName String
    externalId String
    aktywne Wartość logiczna
    name.imię String
    nazwa.nazwisko String
    nazwa wyświetlana String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dział String

  14. W sekcji Mapowania wybierz Synchronizuj grupy Microsoft Entra z Zscaler.

  15. Przejrzyj atrybuty grup, które są synchronizowane z Microsoft Entra ID do Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowania grup w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane funkcje filtrowania Wymagane przez usługę Zscaler
    nazwa wyświetlana String
    członkowie Referencja
    externalId String

  16. Aby skonfigurować filtry określania zakresu, zapoznaj się z poniższymi instrukcjami podanymi w artykule Filtrowanie zakresu.

  17. Aby włączyć usługę aprowizacji firmy Microsoft dla rozwiązania Zscaler, zmień Stan aprowizacji na w sekcji Ustawienia.

    Zrzut ekranu przedstawiający opcję Stan aprowizacji ustawioną na Wł.

  18. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.

    Zrzut ekranu przedstawiający ustawienie Zakres z wyróżnioną opcją Synchronizacja tylko dla przypisanych użytkowników i grup.

  19. Gdy będziesz gotowy do aprowizacji, kliknij Zapisz.

    Zrzut ekranu pokazujący zapisywanie konfiguracji prowizjonowania.

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane mniej więcej co 40 minut, pod warunkiem, że usługa udostępniania firmy Microsoft jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu z działań aprowizacji, w którym opisano wszystkie akcje wykonywane przez usługę aprowizacji Microsoft Entra na platformie Zscaler.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji Microsoft Entra, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Dodatkowe zasoby

Powiązana zawartość