Tutorial: Configurar o Zscaler One para o provisionamento automático de usuário

Este tutorial demonstra as etapas a serem executadas no Zscaler One e no Microsoft Entra ID a fim de configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários ou grupos no Zscaler One.

Observação

Este tutorial descreve um conector criado com base no serviço de provisionamento de usuário do Microsoft Entra. Para obter informações sobre o que o serviço faz, como ele funciona e as perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuário para aplicativos SaaS (software como serviço) com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você possui:

• Um locatário do Microsoft Entra.
• Um locatário do Zscaler One.
• Uma conta de usuário no Zscaler One com permissões de administrador.

Observação

A integração de provisionamento do Microsoft Entra depende da API do SCIM no Zscaler One. Essa API está disponível para os desenvolvedores do Zscaler One nas contas com o pacote Enterprise.

Adicionar o Zscaler One por meio do Azure Marketplace

Antes de configurar o Zscaler One para o provisionamento automático de usuário com o Microsoft Entra ID, adicione o Zscaler One por meio do Azure Marketplace à lista de aplicativos SaaS gerenciados.

Para adicionar o Zscaler One por meio do Azure Marketplace, siga estas etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

3. Na seção Adicionar da galeria, digite Zscaler One e selecione Zscaler One do painel de resultado. Para adicionar o aplicativo, selecione Adicionar.

   

Atribuir usuários ao Zscaler One

O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários ou grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o provisionamento automático de usuário, decida quais usuários ou grupos da ID do Microsoft Entra precisam ter acesso ao Zscaler One. Para atribuir esses usuários ou grupos ao Zscaler One, siga as instruções descritas em Atribuir um usuário ou um grupo a um aplicativo empresarial.

Dicas importantes para atribuir usuários ao Zscaler One

• Recomendamos que você atribua um só usuário do Microsoft Entra ao Zscaler One para testar a configuração de provisionamento automático de usuário. Você pode atribuir usuários ou grupos adicionais mais tarde.

• Ao atribuir um usuário ao Zscaler One, selecione qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo da atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o provisionamento automático de usuário no Zscaler One

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra. Use-o para criar, atualizar e desabilitar usuários ou grupos no Zscaler One com base em atribuições de usuário ou de grupo no Microsoft Entra ID.

Dica

Habilite também o logon único baseado em SAML para o Zscaler One. Siga as instruções descritas no tutorial de logon único do Zscaler One. O logon único pode ser configurado de modo independente do provisionamento automático de usuário, embora os dois sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.

Configurar o provisionamento automático de usuário para o Zscaler One no Microsoft Entra ID

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Zscaler One.

   

3. Na lista de aplicativos, selecione Zscaler One.

   

4. Selecione a guia Provisionamento.

   

5. Defina o Modo de Provisionamento como Automático.

   

6. Na seção Credenciais de Administrador, preencha as caixas URL do Locatário e Token Secreto com as configurações da sua conta do Zscaler One, conforme descrito na Etapa 6.

7. Para obter a URL do locatário e o token secreto, acesse Administração>Configurações de Autenticação na interface do usuário do portal do Zscaler One. Em Tipo de Autenticação, selecione SAML.

   

   a. Selecione Configurar o SAML para abrir as opções Configurar o SAML.

   

   b. Selecione Habilitar o Provisionamento Baseado no SCIM para obter as configurações de URL Base e Token de Portador. Depois, salve as configurações. Copie a configuração da URL base para a URL de locatário. Copie a configuração do Token de portador para o Token secreto.

8. Depois de preencher as caixas mostradas na Etapa 5, selecione Testar Conectividade para verificar se o Microsoft Entra consegue se conectar ao Zscaler One. Se a conexão falhar, verifique se a sua conta do Zscaler One tem permissões de administrador e tente novamente.

   

9. Na caixa Email de Notificação, insira o endereço de email da pessoa ou grupo que deve receber as notificações do erro de provisionamento. Marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

   

10. Selecione Salvar.

11. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler One.

    

12. Revise os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Zscaler One na seção Mapeamentos de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Zscaler One em operações de atualização. Selecione Salvar para salvar as alterações.

    

13. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler One.

    

14. Revise os atributos de grupo que serão sincronizados do Microsoft Entra ID com o Zscaler One na seção Mapeamentos de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Zscaler One em operações de atualização. Selecione Salvar para salvar as alterações.

    

15. Para configurar filtros de escopo, siga as instruções fornecidas no tutorial sobre filtros de escopo.

16. Para habilitar o serviço de provisionamento do Microsoft Entra para o Zscaler, altere a seção Configurações, altere o Status de Provisionamento para Ativado.

    

17. Defina os usuários ou os grupos que deseja provisionar no Zscaler One. Na seção Configurações, selecione os valores desejados em Escopo.

    

18. Quando estiver pronto para fazer o provisionamento, selecione Salvar.

    

Essa operação inicia a sincronização inicial de todos os usuários ou grupos definidos em Escopo, na seção Configurações. A sincronização inicial demora mais para ser executada do que as sincronizações posteriores. As sincronizações ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.

É possível usar a seção Detalhes de Sincronização para monitorar o andamento e seguir os links para o relatório de atividade de provisionamento. O relatório descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler One.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Alterar logs

• 16/05/2022 – O recurso Descoberta de Esquema está habilitado neste aplicativo.

Recursos adicionais

• Gerenciar provisionamento de conta de usuário para aplicativos empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento