Tutorial: Configurar o Zscaler para o provisionamento automático de usuário

O objetivo deste tutorial é demonstrar as etapas a serem executadas no Zscalere no Microsoft Entra ID para configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários e/ou grupos no Zscaler.

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já possui o seguinte:

• Um locatário do Microsoft Entra.
• Um locatário do Zscaler.
• Uma conta de usuário no Zscaler com permissões de administrador.

Observação

A integração de provisionamento do Microsoft Entra depende da API do SCIM do Zscaler, que está disponível para desenvolvedores do Zscaler que têm contas com o pacote Enterprise.

Adicionar o Zscaler da galeria

Antes de configurar o Zscaler para o provisionamento automático de usuário com o Microsoft Entra ID, é necessário adicioná-lo da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Para adicionar o Zscaler da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

3. Na caixa de pesquisa, digite Zscaler, selecione Zscaler no painel de resultados e, em seguida, clique no botão Adicionar para adicionar o aplicativo.

   

Como atribuir usuários ao Zscaler

A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Para configurar e habilitar o provisionamento automático de usuário, decida quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao Zscaler. Depois de decidir isso, você poderá atribuir esses usuários e/ou grupos ao Zscaler seguindo estas instruções:

• Atribuir um usuário ou um grupo a um aplicativo empresarial

Dicas importantes para atribuir usuários ao Zscaler

• Recomendamos que um só usuário do Microsoft Entra seja atribuído ao Zscaler para testar a configuração de provisionamento automático de usuário. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

• Ao atribuir um usuário ao Zscaler, você deverá selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configuração do provisionamento automático de usuário no Zscaler

Essa seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Zscaler com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.

Observação

Abra um tíquete de suporte para criar um domínio no Zscaler.

Dica

Você também pode optar por habilitar o logon único baseado em SAML para o Zscaler seguindo as instruções fornecidas no tutorial de logon único do Zscaler. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora esses dois recursos sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações. Saiba que a reinicialização poderá demorar se você estiver sincronizando todos os usuários e grupos do locatário ou tiver atribuído grupos grandes com mais de 50 mil membros.

Para configurar o provisionamento automático de usuário para o Zscaler no Microsoft Entra ID:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Zscaler.

3. Selecione a guia Provisionamento.

   

4. Defina o Modo de Provisionamento como Automático.

   

5. Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto da conta do Zscaler, conforme descrito na Etapa 6.

6. Para obter a URL do Locatário e o Token Secreto, navegue até Administração > Configurações de Autenticação na interface do usuário do portal do Zscaler e clique em SAML em Tipo de Autenticação.

   

7. Clique em Configurar o SAML para abrir as opções de Configuração do SAML.

   

8. Selecione Habilitar o Provisionamento Baseado em SCIM para recuperar a URL de Base e o Token de Portador, então salve as configurações. Copie a URL de Base na URL do Locatário e o Token do Portador no Token Secreto.

9. Ao preencher os campos mostrados na Etapa 5, clique em Testar Conexão para garantir que o Microsoft Entra ID possa se conectar ao Zscaler. Se a conexão falhar, verifique se a conta do Zscaler tem permissões de administrador e tente novamente.

   

10. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

    

11. Clique em Save (Salvar).

12. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler.

13. Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Zscaler na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Zscaler em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler
    userName	String	✓	✓
    externalId	String		✓
    ativo	Boolean		✓
    name.givenName	String
    name.familyName	String
    displayName	String		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String		✓

14. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler.

15. Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o Zscaler na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Zscaler em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler
    displayName	String	✓	✓
    membros	Referência
    externalId	String		✓

16. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

17. Para habilitar o serviço de provisionamento do Microsoft Entra para o Zscaler, altere o Status de Provisionamento para Ativado na seção Configurações.

    

18. Defina os usuários e/ou os grupos que você deseja provisionar no Zscaler escolhendo os valores desejados em Escopo, na seção Configurações.

    

19. Quando estiver pronto para provisionar, clique em Salvar.

    

Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações. A sincronização inicial leva mais tempo para ser executada do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para o relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento