Compartilhar via


Tutorial: Configurar o Zscaler ZSCloud para o provisionamento automático de usuário

Neste tutorial, você aprenderá a configurar o Microsoft Entra ID para provisionar e desprovisionar usuários e/ou grupos automaticamente no Zscaler ZSCloud.

Observação

Este tutorial descreve um conector criado com base no serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz e como ele funciona, além de respostas a perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuário em aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

Para concluir as etapas deste tutorial, você precisará do seguinte:

  • Um locatário do Microsoft Entra.
  • Um locatário do Zscaler ZSCloud.
  • Uma conta de usuário no Zscaler ZSCloud com permissões de administrador.

Observação

A integração de provisionamento do Microsoft Entra depende da API do SCIM do Zscaler ZSCloud, que está disponível para contas Enterprise.

Para configurar o Zscaler ZSCloud para o provisionamento automático de usuário com o Microsoft Entra ID, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria de aplicativos do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

    Aplicativos empresariais

  3. Na caixa de pesquisa, insira Zscaler ZSCloud.

  4. Selecione Zscaler ZSCloud nos resultados e, em seguida, selecione Adicionar.

Lista de resultados

Atribuir usuários ao Zscaler ZSCloud

Os usuários do Microsoft Entra precisam receber acesso aos aplicativos selecionados para usá-los. No contexto do provisionamento automático de usuário, somente os usuários ou os grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o provisionamento automático de usuário, você deverá decidir quais usuários e/ou grupos do Microsoft Entra ID precisam acessar o Zscaler ZSCloud. Depois de decidir isso, você poderá atribuir esses usuários e grupos ao Zscaler ZSCloud seguindo as instruções descritas em Atribuir um usuário ou um grupo a um aplicativo empresarial.

Dicas importantes para atribuir usuários ao Zscaler ZSCloud

  • Recomendamos que você primeiro atribua um só usuário do Microsoft Entra ao Zscaler ZSCloud para testar a configuração de provisionamento automático de usuário. Você poderá atribuir mais usuários e grupos posteriormente.

  • Ao atribuir um usuário ao Zscaler ZSCloud, você precisará selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo da atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o provisionamento automático de usuário

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no Zscaler ZSCloud com base em atribuições de usuário e de grupo do Microsoft Entra ID.

Dica

Talvez você também deseje habilitar o logon único baseado no SAML para o Zscaler ZSCloud. Se você fizer isso, siga as instruções descritas no tutorial de logon único do Zscaler ZSCloud. O logon único pode ser configurado independentemente do provisionamento automático de usuário, embora os dois recursos sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Zscaler ZSCloud.

  3. Selecione a guia Provisionamento:

    Provisionamento do Zscaler ZSCloud

  4. Defina o Modo de Provisionamento como Automático:

    Captura de tela da guia automática Provisionamento.

  5. Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto da conta do Zscaler ZSCloud, conforme descrito na próxima etapa.

  6. Para obter a URL do Locatário e o Token Secreto, acesse Administração>Configurações de Autenticação no portal do Zscaler ZSCloud e selecione SAML em Tipo de Autenticação:

    Configurações de autenticação do Zscaler ZSCloud

  7. Selecione Configurar o SAML para abrir a janela Configurar o SAML:

    Configurar a janela do SAML

  8. Selecione Habilitar o Provisionamento Baseado no SCIM, copie a URL Base e o Token de Portador e, em seguida, salve as configurações. No portal do Azure, cole a URL Base na caixa URL do Locatário e o Token de Portador na caixa Token Secreto.

  9. Depois de inserir os valores nas caixas URL do Locatário e Token Secreto, selecione Testar Conectividade para verificar se o Microsoft Entra ID pode se conectar ao Zscaler ZSCloud. Se a conexão falhar, verifique se a sua conta do Zscaler ZSCloud tem permissões de administrador e tente novamente.

    Captura de tela do token.

  10. Na caixa Email de Notificação, insira o endereço de email de uma pessoa ou um grupo que deve receber as notificações do erro de provisionamento. Selecione Enviar uma notificação por email quando ocorrer uma falha:

    Configurar o email de notificação

  11. Selecione Salvar.

  12. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler ZSCloud.

  13. Revise os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Zscaler ZSCloud na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Zscaler ZSCloud em operações de atualização. Para confirmar eventuais alterações, selecione Salvar.

    Atributo Type Com suporte para filtragem Exigido pelo Zscaler ZSCloud
    userName String
    externalId String
    ativo Boolean
    name.givenName String
    name.familyName String
    displayName String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
  14. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler ZSCloud.

  15. Revise os atributos de grupo que serão sincronizados do Microsoft Entra com o Zscaler ZSCloud na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Zscaler ZSCloud em operações de atualização. Para confirmar eventuais alterações, selecione Salvar.

    Atributo Type Com suporte para filtragem Exigido pelo Zscaler ZSCloud
    displayName String
    membros Referência
    externalId String ✓)
  16. Para configurar filtros de escopo, veja as instruções fornecidas no tutorial sobre filtros de escopo.

  17. Para habilitar o serviço de provisionamento do Microsoft Entra no Zscaler ZSCloud, altere o Status de Provisionamento para Ativado na seção Configurações:

    Status de provisionamento

  18. Defina os usuários e/ou os grupos que deseja provisionar para o Zscaler ZSCloud escolhendo os valores desejados em Escopo na seção Configurações:

    Valores de escopo

  19. Quando estiver pronto para fazer o provisionamento, selecione Salvar:

    Captura de tela da configuração de provisionamento salva.

Essa operação inicia a sincronização inicial de todos os usuários e grupos definidos em Escopo na seção Configurações. A sincronização inicial leva mais tempo do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Monitore o progresso na seção Detalhes de Sincronização. Você também pode seguir os links para um relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Zscaler ZSCloud.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais

Próximas etapas