Tutorial: Integração do Microsoft Entra single sign-on (SSO) com o Zscaler Internet Access ZSThree

  • Artigo

Neste tutorial, você aprenderá como integrar o Zscaler Internet Access ZSThree com o Microsoft Entra ID. Quando integra o Zscaler Internet Access ZSThree com o Microsoft Entra ID, pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Zscaler Internet Access ZSThree.
  • Permita que os seus utilizadores tenham sessão iniciada automaticamente no Zscaler Internet Access ZSThree com as suas contas Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Zscaler Internet Access ZSThree single sign-on (SSO) enabled subscription.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • Zscaler Internet Access ZSThree suporta SSO iniciado por SP .

  • O Zscaler Internet Access ZSThree suporta o provisionamento de utilizadores Just In Time .

  • Zscaler Internet Access ZSThree suporta provisionamento automatizado de usuários.

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Para configurar a integração do Zscaler Internet Access ZSThree no Microsoft Entra ID, tem de adicionar o Zscaler Internet Access ZSThree da galeria à sua lista de aplicações SaaS geridas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na secção Adicionar da galeria, escreva Zscaler Internet Access ZSThree na caixa de pesquisa.
  4. Selecione Zscaler Internet Access ZSThree no painel de resultados e, em seguida, adicione a aplicação. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Zscaler Internet Access ZSThree

Configure e teste o Microsoft Entra SSO com o Zscaler Internet Access ZSThree usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de ligação entre um utilizador do Microsoft Entra e o utilizador relacionado no Zscaler Internet Access ZSThree.

Para configurar e testar o Microsoft Entra SSO com o Zscaler Internet Access ZSThree, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure Zscaler Internet Access ZSThree SSO - para configurar as definições de início de sessão único no lado da aplicação.
    1. Create Zscaler Internet Access ZSThree test user - para ter um homólogo de B.Simon no Zscaler Internet Access ZSThree que esteja ligado à representação de utilizador do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Zscaler Internet Access ZSThree>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    Na caixa de texto URL de início de sessão, escreva o URL:https://login.zscalerthree.net/sfc_sso

  6. A sua aplicação Zscaler Internet Access ZSThree espera as asserções SAML num formato específico, o que requer que adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    A captura de tela mostra os atributos do usuário com o ícone Editar selecionado.

  7. Além disso, a aplicação Zscaler Internet Access ZSThree espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com sua necessidade.

    Nome Atributo de origem
    membroOf user.assignedroles

    Nota

    Clique aqui para saber como configurar a Função no Microsoft Entra ID.

  8. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.

    O link de download do certificado

  9. Na secção Configurar o Zscaler Internet Access ZSThree , copie o(s) URL(s) apropriado(s) com base no seu requisito.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta secção, irá permitir que B.Simon utilize o início de sessão único concedendo acesso ao Zscaler Internet Access ZSThree.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Zscaler Internet Access ZSThree.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o Zscaler Internet Access ZSThree SSO

  1. Numa janela diferente do browser, inicie sessão no site da sua empresa Zscaler Internet Access ZSThree como administrador

  2. Vá para > Configurações de Autenticação de Administração > e execute as seguintes etapas:

    A captura de ecrã mostra o site Zscaler One com os passos descritos.

    a. Em Tipo de autenticação, escolha SAML.

    b. Clique em Configurar SAML.

  3. Na janela Editar SAML, execute as seguintes etapas: e clique em Salvar.

    Gerenciar usuários e autenticação

    a. Na caixa de texto URL do Portal SAML, cole o URL de login..

    b. Na caixa de texto Atributo de Nome de Logon , digite NameID.

    c. Clique em Carregar para carregar o certificado de assinatura SAML do Azure que você baixou do portal do Azure no Certificado SSL Público.

    d. Alterne a opção Habilitar provisionamento automático SAML.

    e. Na caixa de texto User Display Name Attribute , digite displayName se quiser habilitar o provisionamento automático SAML para atributos displayName.

    f. Na caixa de texto Atributo de Nome do Grupo , digite memberOf se quiser habilitar o provisionamento automático SAML para atributos memberOf.

    g. No atributo Nome do departamento, insira o departamento se quiser habilitar o provisionamento automático SAML para atributos de departamento.

    h. Clique em Guardar.

  4. Na página de diálogo Configurar Autenticação do Usuário , execute as seguintes etapas:

    A captura de tela mostra a caixa de diálogo Configurar Autenticação do Usuário com a opção Ativar selecionada.

    a. No entanto, sobre o menu Ativação perto do canto inferior esquerdo.

    b. Clique em Ativar.

Definindo configurações de proxy

Para definir as configurações de proxy no Internet Explorer

  1. Inicie o Internet Explorer.

  2. Selecione Opções da Internet no menu Ferramentas para abrir a caixa de diálogo Opções da Internet.

    Opções da Internet

  3. Clique na guia Conexões.

    Ligações

  4. Clique em Configurações da LAN para abrir a caixa de diálogo Configurações da LAN.

  5. Na seção Servidor proxy, execute as seguintes etapas:

    Servidor proxy

    a. Selecione Usar um servidor proxy para sua LAN.

    b. Na caixa de texto Endereço, digite gateway. Zscaler Three.net.

    c. Na caixa de texto Porta, digite 80.

    d. Selecione Ignorar servidor proxy para endereços locais.

    e. Clique em OK para fechar a caixa de diálogo Configurações da rede local (LAN).

  6. Clique em OK para fechar a caixa de diálogo Opções da Internet.

Criar utilizador de teste Zscaler Internet Access ZSThree

Nesta secção, é criado um utilizador chamado B.Simon no Zscaler Internet Access ZSThree. Zscaler Internet Access ZSThree suporta provisionamento just-in-time, que é ativado por padrão. Não há nenhum item de ação para você nesta seção. Se ainda não existir um utilizador no Zscaler Internet Access ZSThree, é criado um novo quando tenta aceder ao Zscaler Internet Access ZSThree.

Nota

Se precisar de criar um utilizador manualmente, contacte a equipa de suporte Zscaler Internet Access ZSThree.

Nota

Zscaler Internet Access ZSThree também suporta provisionamento automático de usuários, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Clique em Testar esta aplicação, isto irá redirecionar para Zscaler Internet Access ZSThree Sign-on URL onde você pode iniciar o fluxo de login.

  • Aceda diretamente ao URL de início de sessão ZSThree Zscaler Internet Access e inicie o fluxo de início de sessão a partir daí.

  • Você pode usar o Microsoft My Apps. Quando clica no mosaico Zscaler Internet Access ZSThree nas Minhas Aplicações, este será redirecionado para o URL de Início de Sessão ZSThree do Zscaler Internet Access. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o Zscaler Internet Access ZSThree, pode impor o controlo de sessão, que protege a exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.