Samouczek: konfigurowanie rozwiązania Zscaler Trzy na potrzeby automatycznej aprowizacji użytkowników
Z tego samouczka dowiesz się, jak skonfigurować identyfikator entra firmy Microsoft, aby automatycznie aprowizować i co najmniej deprowizować użytkowników i/lub grupy w usłudze Zscaler Three.
Uwaga
W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi i sposobu jej działania oraz odpowiedzi na często zadawane pytania, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Microsoft Entra ID.
Wymagania wstępne
Aby wykonać kroki opisane w tym samouczku, potrzebne są następujące elementy:
- Dzierżawa firmy Microsoft Entra.
- Dzierżawa Zscaler Three.
- Konto użytkownika w usłudze Zscaler Three z uprawnieniami administratora.
Uwaga
Integracja aprowizacji firmy Microsoft opiera się na interfejsie API Zscaler ZSCloud SCIM, który jest dostępny dla kont Enterprise.
Dodawanie aplikacji Zscaler Three z galerii
Przed skonfigurowaniem rozwiązania Zscaler Three na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler Three z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity>Applications Enterprise Applications>>Zscaler Three.
- Wybierz pozycję Zscaler Three w wynikach, a następnie wybierz pozycję Dodaj.
Przypisywanie użytkowników do rozwiązania Zscaler Three
Użytkownicy firmy Microsoft Entra muszą mieć przypisany dostęp do wybranych aplikacji, zanim będą mogli z nich korzystać. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy lub grupy przypisane do aplikacji w usłudze Microsoft Entra ID.
Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do rozwiązania Zscaler Three. Po podjęciu decyzji możesz przypisać tych użytkowników i grupy do usługi Zscaler Three, postępując zgodnie z instrukcjami w temacie Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw.
Ważne porady dotyczące przypisywania użytkowników do rozwiązania Zscaler Three
Zalecamy najpierw przypisanie pojedynczego użytkownika firmy Microsoft Entra do rozwiązania Zscaler Three w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Więcej użytkowników i grup można przypisać później.
Po przypisaniu użytkownika do usługi Zscaler Three należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.
Konfigurowanie automatycznej aprowizacji użytkowników
W tej sekcji przedstawiono procedurę konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Zscaler Three na podstawie przypisań użytkowników i grup w usłudze Microsoft Entra ID.
Napiwek
Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla aplikacji Zscaler Three. Jeśli to zrobisz, postępuj zgodnie z instrukcjami w samouczku dotyczącym logowania jednokrotnego aplikacji Zscaler Three. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, ale te dwie funkcje uzupełniają się wzajemnie.
Uwaga
W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>>Zscaler Three.
Na liście aplikacji wybierz pozycję Zscaler Three:
Wybierz kartę Aprowizacja :
Ustaw tryb aprowizacji na automatyczny:
W sekcji Poświadczenia administratora wprowadź adres URL dzierżawy i token tajny konta Zscaler Three zgodnie z opisem w następnym kroku.
Aby uzyskać adres URL dzierżawy i token tajny, przejdź do pozycji Ustawienia uwierzytelniania administracyjnego>w portalu Zscaler Three i wybierz pozycję SAML w obszarze Typ uwierzytelniania:
Wybierz pozycję Konfiguruj protokół SAML , aby otworzyć okno Konfigurowanie protokołu SAML :
Wybierz pozycję Włącz aprowizację opartą na protokole SCIM i skopiuj podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. W witrynie Azure Portal wklej podstawowy adres URL w polu Adres URL dzierżawy i token elementu nośnego w polu Token tajny.
Po wprowadzeniu wartości w polach Adres URL dzierżawy i Token tajny wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler Three. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto Zscaler Three ma uprawnienia administratora i spróbuj ponownie.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Wybierz pozycję Wyślij powiadomienie e-mail, gdy wystąpi błąd:
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler Three.
Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Zscaler Trzy w sekcji Mapowania atrybutów . Atrybuty wybrane jako pasujące właściwości są używane do dopasowania kont użytkowników w programie Zscaler Trzy na potrzeby operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez Zscaler Trzy userName String ✓ ✓ externalId String ✓ aktywne Wartość logiczna ✓ name.givenName String name.familyName String displayName String ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Zscaler Three.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Zscaler Trzy w sekcji Mapowania atrybutów . Atrybuty wybrane jako pasujące właściwości są używane do dopasowania grup w rozwiązaniu Zscaler Three na potrzeby operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez Zscaler Trzy displayName String ✓ ✓ członkowie Odwołanie externalId String ✓ Aby skonfigurować filtry określania zakresu, zapoznaj się z instrukcjami w samouczku Filtrowanie zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla rozwiązania Zscaler Three, zmień stan aprowizacji na Wł . w sekcji Ustawienia :
Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler Trzy, wybierając wartości w obszarze Zakres w sekcji Ustawienia :
Gdy wszystko będzie gotowe do aprowizacji, wybierz pozycję Zapisz:
Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia . Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Postęp można monitorować w sekcji Szczegóły synchronizacji. Możesz również skorzystać z linków do raportu aktywności aprowizacji, który opisuje wszystkie akcje wykonywane przez usługę aprowizacji Firmy Microsoft w usłudze Zscaler Three.
Aby uzyskać informacje na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.
Dodatkowe zasoby
- Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?