Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O objetivo deste artigo é demonstrar as etapas a serem executadas no Zscaler e na ID do Microsoft Entra para configurar a ID do Microsoft Entra para provisionar e desprovisionar automaticamente usuários e/ou grupos no Zscaler.
Observação
Este artigo descreve um conector criado com base no serviço de provisionamento de usuários do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários em aplicativos SaaS com a ID do Microsoft Entra.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha o seguinte:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente. - Uma das seguintes funções: – Administrador de Aplicativos – Administrador de Aplicativos na Nuvem – Proprietário do Aplicativo ..
- Um locatário do Zscaler.
- Uma conta de usuário no Zscaler com permissões de administrador.
Observação
A integração de provisionamento do Microsoft Entra depende da API do SCIM do Zscaler, que está disponível para desenvolvedores do Zscaler que têm contas com o pacote Enterprise.
Adicionar o Zscaler da galeria
Antes de configurar o Zscaler para o provisionamento automático de usuário com o Microsoft Entra ID, é necessário adicioná-lo da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.
Para adicionar o Zscaler da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
Na caixa de pesquisa, digite Zscaler, selecione Zscaler no painel de resultados e, em seguida, selecione Adicionar botão para adicionar o aplicativo.
Como atribuir usuários ao Zscaler
A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.
Para configurar e habilitar o provisionamento automático de usuário, decida quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao Zscaler. Depois de decidir isso, você poderá atribuir esses usuários e/ou grupos ao Zscaler seguindo estas instruções:
Dicas importantes para atribuir usuários ao Zscaler
É recomendável que um único usuário do Microsoft Entra seja atribuído ao Zscaler para testar a configuração de provisionamento automático de usuário. Outros usuários e/ou grupos podem ser atribuídos mais tarde.
Ao atribuir um usuário ao Zscaler, você deverá selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. Os usuários com a função acesso padrão são excluídos do provisionamento.
Configuração do provisionamento automático de usuário no Zscaler
Essa seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Zscaler com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.
Observação
Abra um tíquete de suporte para criar um domínio no Zscaler.
Dica
Você também pode optar por habilitar o logon único baseado em SAML para o Zscaler, seguindo as instruções fornecidas no artigo de logon único do Zscaler. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora esses dois recursos sejam complementares.
Observação
Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações. Lembre-se de que a reinicialização pode levar tempo se você estiver sincronizando todos os usuários e grupos em seu locatário ou tiver atribuído grupos grandes com mais de 50 mil membros.
Para configurar o provisionamento automático de usuário para o Zscaler no Microsoft Entra ID:
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
Navegue até Entra ID>aplicativos corporativos>Zscaler.
Selecione a guia Provisionamento .
Defina o modo de provisionamento como Automático.
Na seção Credenciais de Administrador , insira a URL do Locatário e o Token Secreto da sua conta do Zscaler, conforme descrito na Etapa 6.
Para obter a URL do Locatário e o Token Secreto, navegue até Configurações de Autenticação na Administração > na interface de usuário do portal do Zscaler e selecione SAML em Tipo de Autenticação.
Selecione Configurar SAML para abrir as opções do SAML de Configuração.
Selecione Habilitar SCIM-Based Provisionamento para recuperar a URL base e o Token de Portador e salvar as configurações. Copie a URL Base para a URL do Inquilino e o Bearer Token para o Token Secreto.
Ao preencher os campos mostrados na Etapa 5, selecione Testar Conexão para garantir que a ID do Microsoft Entra possa se conectar ao Zscaler. Se a conexão falhar, verifique se a conta do Zscaler tem permissões de administrador e tente novamente.
No campo Email de Notificação , insira o endereço de email de uma pessoa ou grupo que deve receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.
Selecione Salvar.
Na seção Mapeamentos , selecione Sincronizar usuários do Microsoft Entra com o Zscaler.
Examine os atributos de usuário sincronizados da ID do Microsoft Entra para o Zscaler na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no Zscaler para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Com suporte para filtragem Exigido pelo Zscaler userName fio ✓ ✓ ID externo fio ✓ ativo Booliano ✓ nome.nomeDado fio nome.sobrenome fio nome de exibição fio ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department (usuário:departamento) fio ✓ Na seção Mapeamentos , selecione Sincronizar grupos do Microsoft Entra com o Zscaler.
Analise os atributos de grupo que são sincronizados do Microsoft Entra ID para o Zscaler na seção Mapeamento de Atributos. Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no Zscaler para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Com suporte para filtragem Exigido pelo Zscaler nome de exibição fio ✓ ✓ membros Referência ID externo fio ✓ Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo de filtro de escopo .
Para habilitar o serviço de provisionamento do Microsoft Entra para Zscaler, altere o Status de Provisionamento para Ativado na seção Configurações .
Defina os usuários e/ou grupos que você deseja provisionar no Zscaler escolhendo os valores desejados no Escopo na seção Configurações .
Quando estiver pronto para provisionar, selecione Salvar.
Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações . A sincronização inicial leva mais tempo para ser executada do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Você pode usar a seção Detalhes de Sincronização para monitorar o progresso e seguir links para o relatório de atividade de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler.
Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.
Recursos adicionais
- Gerenciando o provisionamento de conta de usuário para Aplicativos Empresariais
- O que é o acesso ao aplicativo e o logon único com a ID do Microsoft Entra?