Tutorial: Configurar o Zscaler Beta para o provisionamento automático de usuário

  • Artigo

O objetivo deste tutorial é demonstrar as etapas a serem executadas no Zscaler Beta e no Microsoft Entra ID para configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários e/ou grupos no Zscaler Beta.

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já possui o seguinte:

  • Um locatário do Microsoft Entra
  • Um locatário do Zscaler Beta
  • Uma conta de usuário no Zscaler Beta com permissões de Administrador

Observação

A integração de provisionamento do Microsoft Entra depende da API do SCIM do Zscaler Beta, que está disponível para desenvolvedores do Zscaler Beta que têm contas com o pacote Enterprise.

Antes de configurar o Zscaler Beta para o provisionamento automático de usuário com o Microsoft Entra ID, é necessário adicioná-lo da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Para adicionar o Zscaler Beta da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

  3. Na caixa de pesquisa, digite Zscaler Beta, selecione Zscaler Beta no painel de resultados e, em seguida, clique no botão Adicionar para adicionar o aplicativo.

    Zscaler Beta in the results list

Como atribuir usuários ao Zscaler Beta

A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Para configurar e habilitar o provisionamento automático de usuário, decida quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao Zscaler Beta. Depois de decidir isso, você poderá atribuir esses usuários e/ou grupos ao Zscaler Beta seguindo estas instruções:

Dicas importantes para atribuir usuários ao Zscaler Beta

  • Recomendamos que somente um usuário do Microsoft Entra seja atribuído ao Zscaler Beta para testar a configuração de provisionamento automático de usuário. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

  • Ao atribuir um usuário ao Zscaler Beta, você deverá selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configuração do provisionamento automático de usuário no Zscaler Beta

Essa seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Zscaler Beta com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.

Dica

Você também pode optar por habilitar o logon único baseado em SAML para o Zscaler Beta seguindo as instruções fornecidas no tutorial de logon único do Zscaler Beta. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora esses dois recursos sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.

Para configurar o provisionamento automático de usuário para o Zscaler Beta no Microsoft Entra ID:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Zscaler Beta.

    Enterprise applications blade

  3. Na lista de aplicativos, selecione Zscaler Beta.

    The Zscaler Beta link in the Applications list

  4. Selecione a guia Provisionamento.

    There is a list of tabs arranged into categories, and titled ZScaler Beta - Provisioning / Enterprise Application. The Provision tab of the Manage category is selected.

  5. Defina o Modo de Provisionamento como Automático.

    The Automatic mode has been selected from the Provisioning Mode drop-down list. There are fields for Admin Credentials, used to connect to the Zscaler Beta API, and there is a Test Connection button.

  6. Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto da conta do Zscaler Beta, conforme descrito na Etapa 6.

  7. Para obter a URL do locatário e o Token secreto, acesse Administração > Configurações de autenticação na interface do usuário do portal do Zscaler Beta e clique em SAML em Tipo de autenticação.

    On Authentication Settings, in the Authentication Profile, the selected Directory Type is Hosted DB, and the selected Authentication Type is SAML.

    Clique em Configurar o SAML para abrir as opções de Configuração do SAML.

    On Configure SAML, the Enable SAML Auto-Provisioning and the Enable SCIM-Based Provisioning options are selected. The Base URL and Bearer Token text boxes are highlighted.

    Selecione Habilitar o Provisionamento Baseado em SCIM para recuperar a URL de Base e o Token de Portador, então salve as configurações. Copie a URL de Base na URL do Locatário e o Token do Portador no Token Secreto.

  8. Ao preencher os campos mostrados na Etapa 5, clique em Testar Conexão para garantir que o Microsoft Entra ID possa se conectar ao Zscaler Beta. Se a conexão falhar, verifique se a conta do Zscaler Beta tem permissões de administrador e tente novamente.

    On Admin Credentials, the Tenant URL and Secret Token fields have values, and the Test Connection button is highlighted.

  9. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

    The Notification Email text box is empty, and the Send an email notification when a failure occurs checkbox is cleared.

  10. Clique em Save (Salvar).

  11. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler Beta.

    The Synchronize Microsoft Entra users to ZScalerBeta is selected and enabled.

  12. Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Zscaler Beta na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Zscaler Beta para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    In the Attribute Mappings section for user attributes, the Active Directory attributes are shown next to the Zscalar Beta attributes they are synchronized with. One pair of attributes is shown as Matching.

  13. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler Beta.

    The Synchronize Microsoft Entra groups to ZScalerBeta is selected and enabled.

  14. Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o Zscaler Beta na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Zscaler Beta para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    In the Attribute Mappings section for group attributes, the Active Directory attributes are shown next to the Zscalar Beta attributes they are synchronized with. One pair of attributes is shown as Matching.

  15. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

  16. Para habilitar o serviço de provisionamento do Microsoft Entra para o Zscaler Beta, altere o Status de provisionamento para Ativado na seção Configurações.

    The Provisioning Status is shown and set to On.

  17. Defina os usuários e/ou os grupos que você deseja provisionar no Zscaler Beta escolhendo os valores desejados em Escopo, na seção Configurações.

    The Scope drop-down list is shown, and Sync only assigned users and groups is selected. The other available value is Sync all users and groups.

  18. Quando estiver pronto para provisionar, clique em Salvar.

    The Save button at the top of Zscaler Beta - Provisioning is highlighted. There is also a Discard button.

Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações. Observe que a sincronização inicial levará mais tempo do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Use a seção Detalhes da sincronização para monitorar o progresso e siga os links para o relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler Beta.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais

Próximas etapas