Tutorial: Azure Ative Directory integração única (SSO) com Zscaler Three

Neste tutorial, você vai aprender a integrar Zscaler Três com Azure Ative Directory (Azure AD). Quando integrar o Zscaler 3 com Azure AD, pode:

  • O controlo em Azure AD que tem acesso ao Zscaler 3.
  • Insineça os seus utilizadores a serem automaticamente inscritos no Zscaler Three com as suas contas Azure AD.
  • Gerencie as suas contas numa localização central - a portal do Azure.

Pré-requisitos

Para começar, precisa dos seguintes itens:

  • Uma assinatura Azure AD. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Zscaler Três assinaturas únicas ativadas (SSO).

Descrição do cenário

Neste tutorial, configura e testa Azure AD SSO num ambiente de teste.

Nota

O identificador desta aplicação é um valor fixo de cadeia para que apenas uma instância possa ser configurada num único inquilino.

Para configurar a integração do Zscaler Three em Azure AD, é necessário adicionar o Zscaler 3 da galeria à sua lista de aplicações geridas pelo SaaS.

  1. Inscreva-se no portal do Azure usando uma conta de trabalho ou escola, ou uma conta pessoal da Microsoft.
  2. No painel de navegação à esquerda, selecione o serviço Azure Ative Directory .
  3. Navegue para Aplicações Empresariais e, em seguida, selecione Todas as Aplicações.
  4. Para adicionar nova aplicação, selecione Nova aplicação.
  5. Na secção Adicionar da secção da galeria , digite Zscaler 3 na caixa de pesquisa.
  6. Selecione Zscaler Três do painel de resultados e, em seguida, adicione a aplicação. Aguarde alguns segundos enquanto a aplicação é adicionada ao seu inquilino.

Em alternativa, também pode utilizar o Enterprise App Configuration Wizard. Neste assistente, pode adicionar uma aplicação ao seu inquilino, adicionar utilizadores/grupos à app, atribuir funções, bem como caminhar pela configuração SSO também. Saiba mais sobre os assistentes microsoft 365.

Configurar e testar Azure AD SSO para Zscaler Three

Configure e teste Azure AD SSO com Zscaler Three usando um utilizador de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de ligação entre um utilizador Azure AD e o utilizador relacionado em Zscaler Three.

Para configurar e testar Azure AD SSO com zscaler três, execute os seguintes passos:

  1. Configure Azure AD SSO - para permitir que os seus utilizadores utilizem esta funcionalidade.
    1. Crie um utilizador de teste Azure AD - para testar Azure AD único sinal com B.Simon.
    2. Atribua o utilizador de teste Azure AD - para permitir que a B.Simon utilize Azure AD único sinal.
  2. Configure Zscaler Three SSO - para configurar as definições de inscrição única no lado da aplicação.
    1. Create Zscaler Três test user - para ter uma contraparte de B.Simon em Zscaler Three que está ligada à representação Azure AD do utilizador.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o SSO do Azure AD

Siga estes passos para permitir Azure AD SSO na portal do Azure.

  1. Na portal do Azure, na página de integração da aplicação Zscaler Three, encontre a secção Gerir e selecione um único sinal.

  2. Na página de método de inscrição única, selecione SAML.

  3. No set up single sign-on com a página SAML , clique no ícone de lápis para Configuração BÁSICA SAML para editar as definições.

    Editar configuração básica de SAML

  4. Na secção Configuração Básica SAML , insira os valores para os seguintes campos:

    Na caixa de texto URL de entrada de inscrição , digite o URL: https://login.zscalerthree.net/sfc_sso

  5. A sua aplicação Zscaler Three espera as afirmações SAML num formato específico, o que requer que adicione mapeamentos de atributos personalizados à configuração de atributos de token SAML. A imagem que se segue mostra a lista de atributos predefinidos.

    A screenshot mostra atributos do utilizador com o ícone editar selecionado.

  6. Além de acima, a aplicação Zscaler Three espera que alguns mais atributos sejam repercutidos na resposta SAML que são mostrados abaixo. Estes atributos também são pré-povoados, mas pode revê-los de acordo com o seu requisito.

    Name Atributo de origem
    membroOf user.assignedroles

    Nota

    Clique aqui para saber como configurar o Papel na Azure AD.

  7. Na configuração de um único sessão de inscrição com a página SAML , na secção Certificado de Assinatura SAML , encontre o Certificado (Base64) e selecione Descarregamento para descarregar o certificado e guardá-lo no seu computador.

    O link de descarregamento de certificado

  8. Na secção Configurar Zscaler Três , copie os URL(s) apropriados com base no seu requisito.

    URLs de configuração de cópia

Criar um utilizador de teste Azure AD

Nesta secção, irá criar um utilizador de teste na portal do Azure chamada B.Simon.

  1. A partir do painel esquerdo no portal do Azure, selecione O Diretório Ativo Azure, selecione Utilizadores e, em seguida, selecione Todos os utilizadores.
  2. Selecione Novo utilizador na parte superior do ecrã.
  3. Nas propriedades do Utilizador , siga estes passos:
    1. No campo Nome, introduza B.Simon.
    2. No campo nome do utilizador , introduza o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Selecione a caixa de verificação de palavra-passe Show e, em seguida, anote o valor que é apresentado na caixa palavra-passe .
    4. Clique em Criar.

Atribuir o utilizador de teste Azure AD

Nesta secção, você permitirá que B.Simon use a Azure single sign-on, concedendo acesso a Zscaler 3.

  1. No portal do Azure, selecione Aplicações empresariais e, em seguida, selecione Todas as aplicações.
  2. Na lista de candidaturas, selecione Zscaler 3.
  3. Na página geral da aplicação, encontre a secção Gerir e selecione Utilizadores e grupos.
  4. Selecione Adicionar utilizador e, em seguida, selecione Utilizadores e grupos no diálogo 'Adicionar Atribuição'.
  5. No diálogo de Utilizadores e grupos , selecione B.Simon da lista de Utilizadores e, em seguida, clique no botão Select na parte inferior do ecrã.
  6. Se estiver à espera que uma função seja atribuída aos utilizadores, pode selecioná-la a partir do "Selecione uma redução de função ". Se não tiver sido configurada nenhuma função para esta aplicação, vê a função "Acesso Predefinido" selecionada.
  7. No diálogo 'Adicionar Atribuição ', clique no botão 'Atribuir '.

Configure Zscaler Três SSO

  1. Para automatizar a configuração dentro do Zscaler 3, é necessário instalar As Minhas Aplicações instalar a extensão do navegador Secure Sign-in clicando em instalar a extensão.

    Extensão de aplicativos

  2. Depois de adicionar extensão ao navegador, clique na Configuração Zscaler 3 irá direcioná-lo para a aplicação Zscaler Three. A partir daí, forneça as credenciais de administração para assinar no Zscaler 3. A extensão do navegador configurará automaticamente a aplicação para si e automatizará os passos 3-6.

    Configuração

  3. Se pretender configurar o Zscaler Três manualmente, abra uma nova janela do navegador web e inscreva-se no seu site da empresa Zscaler Three como administrador e execute os seguintes passos:

  4. Vá às > Definições de Autenticação de Autenticação de Autenticação > administrativa e execute os seguintes passos:

    A screenshot mostra o site Zscaler One com passos como descrito.

    a. Em Tipo de Autenticação, escolha SAML.

    b. Clique em Configurar SAML.

  5. Na janela Editar SAML , execute os seguintes passos: e clique em Guardar.

    Gerir utilizadores & Autenticação

    a. Na caixa de texto URL DO Portal SAML, cole o URL de login que copiou a partir de portal do Azure.

    b. Na caixa de texto atributo de nome de login , insira o NameID.

    c. Clique em Upload, para fazer o upload do certificado de assinatura Azure SAML que descarregou a partir de portal do Azure no Certificado SSL Público.

    d. Alternar o Enable SAML Auto-Provisioning.

    e. Na caixa de texto do nome do utilizador, introduzao nome do ecrãName se pretender ativar o fornecimento automático de SAML para os atributos do Nome de Visualização.

    f. Na caixa de texto do Atributo Nome de Grupo , insira o membroOf se pretender ativar o fornecimento automático da SAML para os atributos dos membros.

    exemplo, No departamentode Atributos de Nome do Departamento, se pretender ativar o fornecimento automático da SAML para atributos do departamento.

    h. Clique em Guardar.

  6. Na página de diálogo de autenticação do utilizador configurar , execute os seguintes passos:

    A screenshot mostra a caixa de diálogo de autenticação do utilizador configurar com ativação selecionada.

    a. No entanto, sobre o menu de ativação perto do canto inferior esquerdo.

    b. Clique em Ativar.

Definir configurações de proxy

Para configurar as definições de procuração no Internet Explorer

  1. Inicie o Internet Explorer.

  2. Selecione as opções de Internet do menu Ferramentas para abrir o diálogo Opções de Internet .

    Opções de

  3. Clique no separador 'Ligações '.

    Ligações

  4. Clique nas definições de LAN para abrir o diálogo de definições DE LAN .

  5. Na secção Proxy server, execute os seguintes passos:

    Servidor Proxy servidor

    a. Selecione Utilize um servidor proxy para o seu LAN.

    b. Na caixa de texto do Endereço, escreva gateway. Zscaler Three.net.

    c. Na caixa de texto do Porto, tipo 80.

    d. Selecione o servidor de procuração do bypass para endereços locais.

    e. Clique em OK para fechar o diálogo de definições da Rede local (LAN).

  6. Clique em OK para fechar o diálogo Opções de Internet .

Criar Zscaler Três utilizadores de teste

Nesta secção, um utilizador chamado B.Simon é criado em Zscaler Three. O Zscaler Three suporta o provisionamento just-in-time, que é ativado por padrão. Não há nenhum item de ação para si nesta secção. Se um utilizador já não existir no Zscaler Three, um novo é criado quando tenta aceder ao Zscaler Three.

Nota

Se precisar de criar um utilizador manualmente, contacte a equipa de suporte Zscaler Three.

Nota

O Zscaler Three também suporta o fornecimento automático do utilizador, podendo encontrar mais detalhes aqui sobre como configurar o fornecimento automático do utilizador.

Teste SSO

Nesta secção, testa a sua Azure AD configuração de início de sção única com as seguintes opções.

  • Clique em Testar esta aplicação em portal do Azure. Isto irá redirecionar para O URL de Inscrição de Zscaler Três, onde pode iniciar o fluxo de login.

  • Vá diretamente ao URL de inscrição de Zscaler Three e inicie o fluxo de login a partir daí.

  • Pode utilizar o Microsoft As Minhas Aplicações. Quando clicar no azulejo Zscaler Three no As Minhas Aplicações, este irá redirecionar para O URL de Inscrição Zscaler Three. Para mais informações sobre o As Minhas Aplicações, consulte Introdução ao As Minhas Aplicações.

Passos seguintes

Uma vez configurado Zscaler Três, pode impor o controlo da sessão, que protege a exfiltração e infiltração dos dados sensíveis da sua organização em tempo real. O controlo da sessão estende-se desde o Acesso Condicional. Aprenda a impor o controlo da sessão com Microsoft Defender for Cloud Apps.