Udostępnij za pośrednictwem

Samouczek: konfigurowanie rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego samouczka jest zademonstrowanie kroków, które należy wykonać w usługach Zscaler i Microsoft Entra ID w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w usłudze Zscaler.

Uwaga

W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:

  • Dzierżawa firmy Microsoft Entra.
  • Dzierżawa rozwiązania Zscaler.
  • Konto użytkownika w usłudze Zscaler z uprawnieniami Administracja.

Uwaga

Integracja aprowizacji firmy Microsoft opiera się na interfejsie API SCIM rozwiązania Zscaler, który jest dostępny dla deweloperów rozwiązania Zscaler dla kont z pakietem Enterprise.

Przed skonfigurowaniem rozwiązania Zscaler na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.

Aby dodać aplikację Zscaler z galerii aplikacji Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. W polu wyszukiwania wpisz Zscaler, wybierz pozycję Zscaler z panelu wyników, a następnie kliknij przycisk Dodaj , aby dodać aplikację.

    Zscaler in the results list

Przypisywanie użytkowników do rozwiązania Zscaler

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy i/lub grupy, które zostały "przypisane" do aplikacji w identyfikatorze Entra firmy Microsoft.

Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do rozwiązania Zscaler. Po podjęciu decyzji możesz przypisać tych użytkowników i/lub grupy do usługi Zscaler, wykonując poniższe instrukcje:

Ważne porady dotyczące przypisywania użytkowników do rozwiązania Zscaler

  • Zaleca się przypisanie pojedynczego użytkownika firmy Microsoft Entra do rozwiązania Zscaler w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do usługi Zscaler należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.

Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Zscaler

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze Zscaler na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Uwaga

Otwórz bilet pomocy technicznej, aby utworzyć domenę w usłudze Zscaler.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla rozwiązania Zscaler, postępując zgodnie z instrukcjami podanymi w samouczku dotyczącym logowania jednokrotnego usługi Zscaler. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.

Uwaga

W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo. Pamiętaj, że ponowne uruchomienie może zająć trochę czasu, jeśli synchronizujesz wszystkich użytkowników i grupy w dzierżawie lub masz przypisane duże grupy z 50K+ członków.

Aby skonfigurować automatyczną aprowizację użytkowników dla rozwiązania Zscaler w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji tożsamości>dla>przedsiębiorstw>Zscaler.

  3. Wybierz kartę Aprowizacja.

    Screenshot of the Zscaler - Provisioning Enterprise Application sidebar with the Provisioning option highlighted.

  4. Ustaw Tryb aprowizacji na Automatyczny.

    Screenshot of the Provisioning page with the provisioning Mode set to Automatic.

  5. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy i token tajny konta usługi Zscaler zgodnie z opisem w kroku 6.

  6. Aby uzyskać adres URL dzierżawy i token tajny, przejdź do Administracja istration > Authentication Ustawienia w interfejsie użytkownika portalu Zscaler i kliknij pozycję SAML w obszarze Typ uwierzytelniania.

    Screenshot of the Authentication Settings page.

    Kliknij pozycję Konfiguruj protokół SAML, aby otworzyć opcje SAML konfiguracji.

    Screenshot of the Configure S A M L dialog box with the Base U R L and Bearer Token text boxes called out.

    Wybierz pozycję Włącz aprowizację opartą na protokole SCIM, aby pobrać podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. Skopiuj podstawowy adres URL do adresu URL dzierżawy i token elementu nośnego do tokenu tajnego.

  7. Po wypełnieniu pól przedstawionych w kroku 5 kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Zscaler ma Administracja uprawnienia i spróbuj ponownie.

    Screenshot of the Admin Credentials section with the Test Connection option called out.

  8. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.

    Screenshot of the Notification Email text box.

  9. Kliknij przycisk Zapisz.

  10. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler.

    Screenshot of the Mappings section with the Synchronize Microsoft Entra users to Zscaler option highlighted.

  11. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do rozwiązania Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Screenshot of the Attribute Mappings section with seven mappings displayed.

  12. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Zscaler.

    Screenshot of the Mappings section with the Synchronize Microsoft Entra groups to Zscaler option highlighted.

  13. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do rozwiązania Zscaler w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowania grup w narzędziu Zscaler do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Screenshot of the Attribute Mappings section with three mappings displayed.

  14. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

  15. Aby włączyć usługę aprowizacji firmy Microsoft dla rozwiązania Zscaler, zmień stan aprowizacji na . w sekcji Ustawienia.

    Screenshot of the Provisioning Status option set to On.

  16. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    Screenshot of the Scope setting with the Sync only assigned users and groups option highlighted.

  17. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    Screenshot of the Zscaler - Provisioning Enterprise Application sidebar with the Save option called out.

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup zdefiniowanych w sekcji Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, w którym opisano wszystkie akcje wykonywane przez usługę aprowizacji Firmy Microsoft w usłudze Zscaler.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Dodatkowe zasoby

Następne kroki