Tutorial: Configurar o Zscaler ZSCloud para o provisionamento automático de usuário

Neste tutorial, você aprenderá a configurar o Microsoft Entra ID para provisionar e desprovisionar usuários e/ou grupos automaticamente no Zscaler ZSCloud.

Observação

Este tutorial descreve um conector criado com base no serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz e como ele funciona, além de respostas a perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuário em aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

Para concluir as etapas deste tutorial, você precisará do seguinte:

• Um locatário do Microsoft Entra.
• Um locatário do Zscaler ZSCloud.
• Uma conta de usuário no Zscaler ZSCloud com permissões de administrador.

Observação

A integração de provisionamento do Microsoft Entra depende da API do SCIM do Zscaler ZSCloud, que está disponível para contas Enterprise.

Adicionar o Zscaler ZSCloud por meio da galeria

Para configurar o Zscaler ZSCloud para o provisionamento automático de usuário com o Microsoft Entra ID, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria de aplicativos do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

   

3. Na caixa de pesquisa, insira Zscaler ZSCloud.

4. Selecione Zscaler ZSCloud nos resultados e, em seguida, selecione Adicionar.

Atribuir usuários ao Zscaler ZSCloud

Os usuários do Microsoft Entra precisam receber acesso aos aplicativos selecionados para usá-los. No contexto do provisionamento automático de usuário, somente os usuários ou os grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o provisionamento automático de usuário, você deverá decidir quais usuários e/ou grupos do Microsoft Entra ID precisam acessar o Zscaler ZSCloud. Depois de decidir isso, você poderá atribuir esses usuários e grupos ao Zscaler ZSCloud seguindo as instruções descritas em Atribuir um usuário ou um grupo a um aplicativo empresarial.

Dicas importantes para atribuir usuários ao Zscaler ZSCloud

• Recomendamos que você primeiro atribua um só usuário do Microsoft Entra ao Zscaler ZSCloud para testar a configuração de provisionamento automático de usuário. Você poderá atribuir mais usuários e grupos posteriormente.

• Ao atribuir um usuário ao Zscaler ZSCloud, você precisará selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo da atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o provisionamento automático de usuário

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no Zscaler ZSCloud com base em atribuições de usuário e de grupo do Microsoft Entra ID.

Dica

Talvez você também deseje habilitar o logon único baseado no SAML para o Zscaler ZSCloud. Se você fizer isso, siga as instruções descritas no tutorial de logon único do Zscaler ZSCloud. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora os dois recursos sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Zscaler ZSCloud.

3. Selecione a guia Provisionamento:

   

4. Defina o Modo de Provisionamento como Automático:

   

5. Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto da conta do Zscaler ZSCloud, conforme descrito na próxima etapa.

6. Para obter a URL do Locatário e o Token Secreto, acesse Administração>Configurações de Autenticação no portal do Zscaler ZSCloud e selecione SAML em Tipo de Autenticação:

   

7. Selecione Configurar o SAML para abrir a janela Configurar o SAML:

   

8. Selecione Habilitar o Provisionamento Baseado no SCIM, copie a URL Base e o Token de Portador e, em seguida, salve as configurações. No portal do Azure, cole a URL Base na caixa URL do Locatário e o Token de Portador na caixa Token Secreto.

9. Depois de inserir os valores nas caixas URL do Locatário e Token Secreto, selecione Testar Conectividade para verificar se o Microsoft Entra ID pode se conectar ao Zscaler ZSCloud. Se a conexão falhar, verifique se a sua conta do Zscaler ZSCloud tem permissões de administrador e tente novamente.

   

10. Na caixa Email de Notificação, insira o endereço de email de uma pessoa ou um grupo que deve receber as notificações do erro de provisionamento. Selecione Enviar uma notificação por email quando ocorrer uma falha:

    

11. Selecione Salvar.

12. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler ZSCloud.

13. Revise os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Zscaler ZSCloud na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Zscaler ZSCloud em operações de atualização. Para confirmar eventuais alterações, selecione Salvar.

    Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler ZSCloud
    userName	String	✓	✓
    externalId	String		✓
    ativo	Boolean		✓
    name.givenName	String
    name.familyName	String
    displayName	String		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String		✓

14. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler ZSCloud.

15. Revise os atributos de grupo que serão sincronizados do Microsoft Entra com o Zscaler ZSCloud na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Zscaler ZSCloud em operações de atualização. Para confirmar eventuais alterações, selecione Salvar.

    Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler ZSCloud
    displayName	String	✓	✓
    membros	Referência
    externalId	String		✓)

16. Para configurar filtros de escopo, veja as instruções fornecidas no tutorial sobre filtros de escopo.

17. Para habilitar o serviço de provisionamento do Microsoft Entra no Zscaler ZSCloud, altere o Status de Provisionamento para Ativado na seção Configurações:

    

18. Defina os usuários e/ou os grupos que deseja provisionar para o Zscaler ZSCloud escolhendo os valores desejados em Escopo na seção Configurações:

    

19. Quando estiver pronto para fazer o provisionamento, selecione Salvar:

    

Essa operação inicia a sincronização inicial de todos os usuários e grupos definidos em Escopo na seção Configurações. A sincronização inicial leva mais tempo do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Monitore o progresso na seção Detalhes de Sincronização. Você também pode seguir os links para um relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler ZSCloud.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para aplicativos empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento