Samouczek: konfigurowanie usługi Zscaler ZSCloud na potrzeby automatycznej aprowizacji użytkowników

Z tego samouczka dowiesz się, jak skonfigurować identyfikator entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w usłudze Zscaler ZSCloud.

Uwaga

W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi i sposobu jej działania oraz odpowiedzi na często zadawane pytania, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Microsoft Entra ID.

Wymagania wstępne

Aby wykonać kroki opisane w tym samouczku, potrzebne są następujące elementy:

• Dzierżawa firmy Microsoft Entra.
• Dzierżawa usługi Zscaler ZSCloud.
• Konto użytkownika w usłudze Zscaler ZSCloud z uprawnieniami administratora.

Uwaga

Integracja aprowizacji firmy Microsoft opiera się na interfejsie API Zscaler ZSCloud SCIM, który jest dostępny dla kont Enterprise.

Dodawanie aplikacji Zscaler ZSCloud z galerii

Przed skonfigurowaniem aplikacji Zscaler ZSCloud na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler ZSCloud z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

   

3. W polu wyszukiwania wprowadź Zscaler ZSCloud.

4. Wybierz pozycję Zscaler ZSCloud w wynikach, a następnie wybierz pozycję Dodaj.

Przypisywanie użytkowników do usługi Zscaler ZSCloud

Użytkownicy firmy Microsoft Entra muszą mieć przypisany dostęp do wybranych aplikacji, zanim będą mogli z nich korzystać. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy lub grupy przypisane do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do aplikacji Zscaler ZSCloud. Po podjęciu decyzji możesz przypisać tych użytkowników i grupy do usługi Zscaler ZSCloud, postępując zgodnie z instrukcjami w temacie Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw.

Ważne porady dotyczące przypisywania użytkowników do usługi Zscaler ZSCloud

• Zalecamy najpierw przypisanie pojedynczego użytkownika firmy Microsoft Entra do usługi Zscaler ZSCloud w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Więcej użytkowników i grup można przypisać później.

• Po przypisaniu użytkownika do usługi Zscaler ZSCloud należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.

Konfigurowanie automatycznej aprowizacji użytkowników

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Zscaler ZSCloud na podstawie przypisań użytkowników i grup w usłudze Microsoft Entra ID.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla rozwiązania Zscaler ZSCloud. Jeśli to zrobisz, postępuj zgodnie z instrukcjami w samouczku dotyczącym logowania jednokrotnego usługi Zscaler ZSCloud. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, ale te dwie funkcje uzupełniają się wzajemnie.

Uwaga

W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji Identity>Applications Enterprise Applications>>Zscaler ZSCloud.

3. Wybierz kartę Aprowizacja :

   

4. Ustaw tryb aprowizacji na automatyczny:

   

5. W sekcji Poświadczenia administratora wprowadź adres URL dzierżawy i token tajny konta usługi Zscaler ZSCloud zgodnie z opisem w następnym kroku.

6. Aby uzyskać adres URL dzierżawy i token tajny, przejdź do pozycji Ustawienia uwierzytelniania administracyjnego>w portalu Zscaler ZSCloud i wybierz pozycję SAML w obszarze Typ uwierzytelniania:

   

7. Wybierz pozycję Konfiguruj protokół SAML , aby otworzyć okno Konfigurowanie protokołu SAML :

   

8. Wybierz pozycję Włącz aprowizację opartą na protokole SCIM i skopiuj podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. W witrynie Azure Portal wklej podstawowy adres URL w polu Adres URL dzierżawy i token elementu nośnego w polu Token tajny.

9. Po wprowadzeniu wartości w polach Adres URL dzierżawy i Token tajny wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler ZSCloud. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Zscaler ZSCloud ma uprawnienia administratora i spróbuj ponownie.

   

10. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Wybierz pozycję Wyślij powiadomienie e-mail, gdy wystąpi błąd:

    

11. Wybierz pozycję Zapisz.

12. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler ZSCloud.

13. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora entra firmy Microsoft do usługi Zscaler ZSCloud w sekcji Mapowania atrybutów . Atrybuty wybrane jako pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Zscaler ZSCloud na potrzeby operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez usługę Zscaler ZSCloud
    userName	String	✓	✓
    externalId	String		✓
    aktywne	Wartość logiczna		✓
    name.givenName	String
    name.familyName	String
    displayName	String		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String		✓

14. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Zscaler ZSCloud.

15. Przejrzyj atrybuty grupy synchronizowane z identyfikatora Entra firmy Microsoft do usługi Zscaler ZSCloud w sekcji Mapowania atrybutów . Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze Zscaler ZSCloud do operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez usługę Zscaler ZSCloud
    displayName	String	✓	✓
    członkowie	Odwołanie
    externalId	String		✓)

16. Aby skonfigurować filtry określania zakresu, zapoznaj się z instrukcjami w samouczku Filtrowanie zakresu.

17. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Zscaler ZSCloud, zmień stan aprowizacji na Wł . w sekcji Ustawienia :

    

18. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler ZSCloud, wybierając wartości w obszarze Zakres w sekcji Ustawienia :

    

19. Gdy wszystko będzie gotowe do aprowizacji, wybierz pozycję Zapisz:

    

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia . Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Postęp można monitorować w sekcji Szczegóły synchronizacji. Możesz również skorzystać z linków do raportu aktywności aprowizacji, który opisuje wszystkie akcje wykonywane przez usługę aprowizacji firmy Microsoft w usłudze Zscaler ZSCloud.

Aby uzyskać informacje na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Dodatkowe zasoby

• Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji