Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Z tego artykułu dowiesz się, jak skonfigurować Microsoft Entra ID w celu automatycznego prowizjonowania i deprowizjonowania użytkowników i/lub grup do usługi Zscaler ZSCloud.
Uwaga
W tym artykule opisano łącznik zbudowany na usłudze aprowizacji użytkowników Microsoft Entra. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi i sposobu jej działania oraz odpowiedzi na często zadawane pytania, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Microsoft Entra ID.
Wymagania wstępne
Aby wykonać kroki opisane w tym artykule, potrzebne są następujące elementy:
— Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto. — Jedną z następujących ról: — Administrator aplikacji - Administrator aplikacji w chmurze - właściciel aplikacji..
- Klient Zscaler ZSCloud.
- Konto użytkownika w usłudze Zscaler ZSCloud z uprawnieniami administratora.
Uwaga
Integracja aprowizacji Microsoft Entra opiera się na interfejsie API SCIM Zscaler ZSCloud, który jest dostępny dla kont Enterprise.
Dodawanie aplikacji Zscaler ZSCloud z galerii
Przed skonfigurowaniem aplikacji Zscaler ZSCloud na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler ZSCloud z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
W polu wyszukiwania wprowadź Zscaler ZSCloud.
Wybierz pozycję Zscaler ZSCloud w wynikach, a następnie wybierz pozycję Dodaj.
Przypisywanie użytkowników do usługi Zscaler ZSCloud
Użytkownicy firmy Microsoft Entra muszą mieć przypisany dostęp do wybranych aplikacji, zanim będą mogli z nich korzystać. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy lub grupy przypisane do aplikacji w usłudze Microsoft Entra ID.
Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do aplikacji Zscaler ZSCloud. Po podjęciu decyzji możesz przypisać tych użytkowników i grupy do usługi Zscaler ZSCloud, postępując zgodnie z instrukcjami w temacie Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw.
Ważne porady dotyczące przypisywania użytkowników do usługi Zscaler ZSCloud
Zalecamy najpierw przypisanie pojedynczego użytkownika firmy Microsoft Entra do usługi Zscaler ZSCloud w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Więcej użytkowników i grup można przypisać później.
Po przypisaniu użytkownika do usługi Zscaler ZSCloud należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.
Ustaw automatyczne dostarczanie użytkowników
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze Zscaler ZSCloud na podstawie przypisań użytkowników i grup w usłudze Microsoft Entra ID.
Napiwek
Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla rozwiązania Zscaler ZSCloud. Jeśli to zrobisz, postępuj zgodnie z instrukcjami w artykule Zscaler ZSCloud single sign-on (Logowanie jednokrotne usługi Zscaler ZSCloud). Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, jednakże obie funkcje doskonale się uzupełniają.
Uwaga
W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do obszaru Entra ID>aplikacje dla przedsiębiorstw>Zscaler ZSCloud.
Wybierz kartę Aprowizacja :
Ustaw tryb aprowizacji na automatyczny:
W sekcji Poświadczenia Administratora wprowadź Adres URL dzierżawy i Token tajny konta usługi Zscaler ZSCloud zgodnie z opisem w następnym kroku.
Aby uzyskać adres URL dzierżawy i tajny token, przejdź do Administracja>Ustawienia uwierzytelniania w portalu Zscaler ZSCloud i wybierz pozycję SAML w obszarze Typ uwierzytelniania:
Wybierz pozycję Konfiguruj protokół SAML , aby otworzyć okno Konfigurowanie protokołu SAML :
Wybierz pozycję Włącz aprowizację opartą na protokole SCIM i skopiuj podstawowy adres URL i token elementu nośnego, a następnie zapisz ustawienia. W portalu Azure wklej Podstawowy adres URL w polu Adres URL dzierżawy i Token typu Bearer w polu Token tajny.
Po wprowadzeniu wartości w polach Adres URL dzierżawy i Tajny token, wybierz pozycję Testuj połączenie, aby upewnić się, że Microsoft Entra ID może nawiązać połączenie z usługą Zscaler ZSCloud. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Zscaler ZSCloud ma uprawnienia administratora i spróbuj ponownie.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Wybierz pozycję Wyślij powiadomienie e-mail, gdy wystąpi błąd:
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler ZSCloud.
Przejrzyj atrybuty użytkownika, które są synchronizowane z Microsoft Entra ID do Zscaler ZSCloud w sekcji Mapowania atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Zscaler ZSCloud na potrzeby operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługa filtrowania Wymagane przez usługę Zscaler ZSCloud userName Sznurek ✓ ✓ Identyfikator zewnętrzny Sznurek ✓ aktywny Wartość logiczna ✓ imię.pierwszeImię Sznurek nazwa.nazwisko Sznurek nazwa wyświetlana Sznurek ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:Użytkownik:dział Sznurek ✓ W sekcji Mapowaniach wybierz pozycję Synchronizuj grupy Microsoft Entra z usługą Zscaler ZSCloud.
Przejrzyj atrybuty grupy, które są synchronizowane z Microsoft Entra ID do Zscaler ZSCloud w sekcji Mapowania atrybutów. Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze Zscaler ZSCloud do operacji aktualizacji. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługa filtrowania Wymagane przez usługę Zscaler ZSCloud nazwa wyświetlana Sznurek ✓ ✓ członkowie Referencja Identyfikator zewnętrzny Sznurek ✓) Aby skonfigurować filtry określania zakresu, zapoznaj się z instrukcjami w artykule Filtrowanie zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft Entra dla usługi Zscaler ZSCloud, w sekcji Ustawienia zmień Status aprowizacji na Włączony.
Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler ZSCloud, wybierając wartości w obszarze Zakres w sekcji Ustawienia :
Kiedy będziesz gotowy do skonfigurowania, wybierz pozycję Zapisz:
Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia . Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Postęp można monitorować w sekcji Szczegóły synchronizacji. Możesz również śledzić linki do raportu z działalności aprowizacji, który opisuje wszystkie działania wykonywane przez usługę aprowizacji Microsoft Entra na platformie Zscaler ZSCloud.
Aby uzyskać informacje na temat sposobu odczytywania dzienników aprowizacji Microsoft Entra, zobacz Raportowanie automatycznego aprowizowania kont użytkownika.
Dodatkowe zasoby
- Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?