Configurar o Administrador de Acesso à Internet do Zscaler para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Administrador de Acesso à Internet do Zscaler à ID do Microsoft Entra. Ao integrar o Administrador do Zscaler Internet Access à ID do Microsoft Entra, você poderá:

• Gerencie no Microsoft Entra ID quem tem acesso ao Administrador do Zscaler Internet Access.
• Permitir que os usuários sejam conectados automaticamente ao Administrador do Zscaler Internet Access com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos de Nuvem
  • Proprietário do aplicativo.

• Assinatura habilitada para SSO (logon único) do Administrador do Zscaler Internet Access.

Nota

Essa integração também está disponível para uso no ambiente de nuvem do Microsoft Entra US Government. Você pode encontrar esse aplicativo na Galeria de Aplicativos de Nuvem do Microsoft Entra US Government e configurá-lo da mesma maneira que você faz na nuvem pública.

Descrição do cenário

Neste artigo, você configurará e testará o logon único do Microsoft Entra em um ambiente de teste.

• O Administrador de Acesso à Internet do Zscaler dá suporte IDP SSO iniciado.

Adicionar o Administrador de Acesso à Internet do Zscaler por meio da galeria

Para configurar a integração do Administrador do Zscaler Internet Access ao Microsoft Entra ID, você precisa adicionar o Administrador de Acesso à Internet do Zscaler por meio da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no Centro de Administração do Microsoft Entra com pelo menos a função de Administrador de Aplicativos de Nuvem .
2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar da galeria, digite Zscaler Internet Access Administrador na caixa de pesquisa.
4. Selecione do Administrador de Acesso à Internet do Zscaler no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Administrador de Acesso à Internet do Zscaler

Configure e teste o SSO do Microsoft Entra com o Administrador do Zscaler Internet Access usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Administrador do Zscaler Internet Access.

Para configurar e testar o SSO do Microsoft Entra com o Administrador do Zscaler Internet Access, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra para permitir que seus usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra para testar o login único do Microsoft Entra com Britta Simon.
   2. Atribua o usuário de teste do Microsoft Entra para permitir que Britta Simon use a autenticação única do Microsoft Entra.
2. Configurar o SSO do Administrador de Acesso à Internet do Zscaler – para definir as configurações de Sign-On único no lado do aplicativo.
   1. Crie um usuário de teste do Administrador do Zscaler Internet Access para ter um equivalente de Britta Simon no Administrador do Zscaler Internet Access que esteja vinculado à representação do usuário do Microsoft Entra.
3. Teste de SSO para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de Administração do Microsoft Entra com pelo menos a função de Administrador de Aplicativos de Nuvem .

2. Navegue até a página de integração de Entra ID>aplicativos empresariais>Zscaler Internet Access Administrator, encontre a seção Gerenciar e selecione Logon único.

3. Na página Selecionar um método de logon único, selecione SAML.

4. Na página Configuração Única Sign-On com SAML, selecione o ícone de lápis da Configuração Básica do SAML para editar as configurações.

   

5. Na seção de Configuração Básica do SAML, insira os valores dos seguintes campos:

   um. Na caixa de texto do identificador , digite uma das seguintes URLs conforme sua necessidade:

   Identificador
   https://admin.zscaler.net
   https://admin.zscalerone.net
   https://admin.zscalertwo.net
   https://admin.zscalerthree.net
   https://admin.zscloud.net
   https://admin.zscalerbeta.net

   b. Na caixa de texto URL de Resposta, digite uma das seguintes URLs de acordo com a sua necessidade:

   URL de resposta
   https://admin.zscaler.net/adminsso.do
   https://admin.zscalerone.net/adminsso.do
   https://admin.zscalertwo.net/adminsso.do
   https://admin.zscalerthree.net/adminsso.do
   https://admin.zscloud.net/adminsso.do
   https://admin.zscalerbeta.net/adminsso.do

6. O aplicativo Administrador de Acesso à Internet do Zscaler espera as declarações SAML em um formato específico. Configure as declarações a seguir para este aplicativo. Você pode gerenciar os valores desses atributos na seção Atributos de Usuário & Declarações na página de integração de aplicativos. Na página Configuração Única Sign-On com SAML, selecione o botão Editar para abrir uma caixa de diálogo Atributos e Declarações do Usuário.

   

7. Na seção de declarações de usuário , na caixa de diálogo de atributos de usuário , configure o atributo de token SAML conforme mostrado na imagem acima e realize as seguintes etapas:

   Nome	Atributo de origem
   Papel	user.assignedroles

   um. Selecione Adicionar nova declaração para abrir a caixa de diálogo Gerenciar declarações do usuário .

   b. Na lista de atributos da origem , selecione o valor do atributo.

   c. Selecione OK.

   d. Clique em Salvar.

   Nota

   Selecione aqui para saber como configurar a função na Microsoft Entra ID.

8. Na página Configurar Single Sign-On com SAML, na seção Certificado de Assinatura SAML, selecione Baixar para baixar o Certificado (Base64) das opções disponíveis conforme sua necessidade e salve-o em seu computador.

   

9. Na seção Configurar o Administrador de Acesso à Internet do Zscaler, copie as URLs apropriadas de acordo com suas necessidades.

   

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criação e atribuição de uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do Administrador de Acesso à Internet do Zscaler

1. Em outra janela do navegador da Web, faça login na interface de administração do Zscaler Internet Access.

2. Acesse Administração > Gerenciamento de Administradores e execute as seguintes etapas e selecione Salvar.

   

   um. Verifique Habilitar Autenticação SAML.

   b. Selecione Carregar, para carregar o certificado de autenticação SAML do Azure que você baixou do portal do Azure no Certificado SSL Público.

   c. Opcionalmente, para segurança adicional, adicione os detalhes do emissor para verificar o emissor da resposta SAML.

3. Na interface do usuário do administrador, execute as seguintes etapas:

   

   um. Passe o mouse sobre o menu de Ativação próximo à parte inferior esquerda.

   b. Selecione Ativar.

Criar um usuário de teste do Administrador do Zscaler Internet Access

O objetivo desta seção é criar um usuário chamado Britta Simon no Zscaler Internet Access Administrator. O Zscaler Internet Access não dá suporte ao provisionamento Just-In-Time para o SSO do Administrador. Você precisa criar manualmente uma conta de Administrador. Para obter etapas sobre como criar uma conta de Administrador, consulte a documentação do Zscaler:

https://help.zscaler.com/zia/adding-admins

Testar o SSO

Nesta seção, você testará sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione Testar este aplicativo e você deverá ser conectado automaticamente ao Administrador de Acesso à Internet do Zscaler para o qual configurou o SSO

• Você pode usar o Microsoft My Apps. Ao selecionar o bloco do Administrador de Acesso à Internet do Zscaler em Meus Aplicativos, você deverá ser conectado automaticamente ao Administrador de Acesso à Internet do Zscaler, para o qual configurou o SSO. Para mais informações sobre o Meus Aplicativos, consulte Introdução ao Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Administrador de Acesso à Internet do Zscaler, você poderá impor o controle de sessão, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.