Samouczek: konfigurowanie rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników
Celem tego samouczka jest zademonstrowanie kroków, które należy wykonać w usługach Zscaler i Microsoft Entra ID w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w usłudze Zscaler.
Uwaga
W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:
- Dzierżawa firmy Microsoft Entra.
- Dzierżawa rozwiązania Zscaler.
- Konto użytkownika w usłudze Zscaler z uprawnieniami administratora.
Uwaga
Integracja aprowizacji firmy Microsoft opiera się na interfejsie API SCIM rozwiązania Zscaler, który jest dostępny dla deweloperów rozwiązania Zscaler dla kont z pakietem Enterprise.
Dodawanie aplikacji Zscaler z galerii
Przed skonfigurowaniem rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.
Aby dodać aplikację Zscaler z galerii aplikacji Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
W polu wyszukiwania wpisz Zscaler, wybierz pozycję Zscaler z panelu wyników, a następnie kliknij przycisk Dodaj , aby dodać aplikację.
Przypisywanie użytkowników do rozwiązania Zscaler
Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy i/lub grupy, które zostały "przypisane" do aplikacji w identyfikatorze Entra firmy Microsoft.
Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do rozwiązania Zscaler. Po podjęciu decyzji możesz przypisać tych użytkowników i/lub grupy do usługi Zscaler, wykonując poniższe instrukcje:
Ważne porady dotyczące przypisywania użytkowników do rozwiązania Zscaler
Zaleca się przypisanie pojedynczego użytkownika firmy Microsoft Entra do rozwiązania Zscaler w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.
Podczas przypisywania użytkownika do usługi Zscaler należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.
Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Zscaler
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze Zscaler na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.
Uwaga
Otwórz bilet pomocy technicznej, aby utworzyć domenę w usłudze Zscaler.
Napiwek
Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla rozwiązania Zscaler, postępując zgodnie z instrukcjami podanymi w samouczku dotyczącym logowania jednokrotnego usługi Zscaler. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.
Uwaga
W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo. Pamiętaj, że ponowne uruchomienie może zająć trochę czasu, jeśli synchronizujesz wszystkich użytkowników i grupy w dzierżawie lub masz przypisane duże grupy z 50K+ członków.
Aby skonfigurować automatyczną aprowizację użytkowników dla rozwiązania Zscaler w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji tożsamości>dla>przedsiębiorstw>Zscaler.
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Poświadczenia administratora wprowadź adres URL dzierżawy i token tajny konta usługi Zscaler zgodnie z opisem w kroku 6.
Aby uzyskać adres URL dzierżawy i token tajny, przejdź do pozycji Ustawienia uwierzytelniania administracyjnego > w interfejsie użytkownika portalu Zscaler i kliknij pozycję SAML w obszarze Typ uwierzytelniania.
Kliknij pozycję Konfiguruj protokół SAML, aby otworzyć opcje SAML konfiguracji.
Wybierz pozycję Włącz aprowizację opartą na protokole SCIM, aby pobrać podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. Skopiuj podstawowy adres URL do adresu URL dzierżawy i token elementu nośnego do tokenu tajnego.
Po wypełnieniu pól wyświetlanych w kroku 5 kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Zscaler ma uprawnienia administratora i spróbuj ponownie.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.
Kliknij przycisk Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do rozwiązania Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę Zscaler userName String ✓ ✓ externalId String ✓ aktywne Wartość logiczna ✓ name.givenName String name.familyName String displayName String ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Zscaler.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do rozwiązania Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowania grup w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę Zscaler displayName String ✓ ✓ członkowie Odwołanie externalId String ✓ Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla rozwiązania Zscaler, zmień stan aprowizacji na Wł . w sekcji Ustawienia .
Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.
Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, w którym opisano wszystkie akcje wykonywane przez usługę aprowizacji Firmy Microsoft w usłudze Zscaler.
Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.
Dodatkowe zasoby
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?