Tutorial: Configurar o Zscaler One para aprovisionamento automático de utilizadores
Este tutorial demonstra as etapas a serem executadas no Zscaler One e no Microsoft Entra ID para configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários e grupos para o Zscaler One.
Nota
Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter informações sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS (software como serviço) com o Microsoft Entra ID.
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você tenha:
- Um locatário do Microsoft Entra.
- Um inquilino Zscaler One.
- Uma conta de utilizador no Zscaler One com permissões de administrador.
Nota
A integração de provisionamento do Microsoft Entra depende da API SCIM do Zscaler One. Esta API está disponível para programadores Zscaler One para contas com o pacote Enterprise.
Adicionar Zscaler One a partir do Azure Marketplace
Antes de configurar o Zscaler One para provisionamento automático de utilizadores com o Microsoft Entra ID, adicione o Zscaler One do Azure Marketplace à sua lista de aplicações SaaS geridas.
Para adicionar o Zscaler One a partir do Marketplace, siga estes passos.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
Na seção Adicionar da galeria, digite Zscaler One e selecione Zscaler One no painel de resultados. Para adicionar o aplicativo, selecione Adicionar.
Atribuir utilizadores ao Zscaler One
O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuários, somente os usuários ou grupos atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.
Antes de configurar e habilitar o provisionamento automático de usuários, decida quais usuários ou grupos no Microsoft Entra ID precisam de acesso ao Zscaler One. Para atribuir estes utilizadores ou grupos ao Zscaler One, siga as instruções em Atribuir um utilizador ou grupo a uma aplicação empresarial.
Sugestões importantes para atribuir utilizadores ao Zscaler One
Recomendamos que atribua um único utilizador do Microsoft Entra ao Zscaler One para testar a configuração de aprovisionamento automático de utilizadores. Você pode atribuir usuários ou grupos adicionais mais tarde.
Quando atribuir um utilizador ao Zscaler One, selecione qualquer função válida específica da aplicação, se disponível, na caixa de diálogo de atribuição. Os usuários com a função Acesso Padrão são excluídos do provisionamento.
Configurar o provisionamento automático de utilizadores para o Zscaler One
Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra. Utilize-o para criar, atualizar e desativar utilizadores ou grupos no Zscaler One com base em atribuições de utilizador ou grupo no Microsoft Entra ID.
Gorjeta
Também pode ativar o início de sessão único baseado em SAML para o Zscaler One. Siga as instruções no tutorial de início de sessão único do Zscaler One. O logon único pode ser configurado independentemente do provisionamento automático do usuário, embora esses dois recursos se complementem.
Nota
Quando usuários e grupos são provisionados ou desprovisionados, recomendamos reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. Fazer uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.
Configurar o provisionamento automático de usuários para o Zscaler One no Microsoft Entra ID
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Zscaler One.
Na lista de aplicações, selecione Zscaler One.
Selecione o separador Aprovisionamento.
Defina o Modo de Aprovisionamento como Automático.
Na secção Credenciais de Administrador, preencha as caixas URL do Inquilino e Token Secreto com as definições da sua conta Zscaler One, conforme descrito no Passo 6.
Para obter o URL do inquilino e o token secreto, aceda a Definições de Autenticação de Administração>na IU do portal Zscaler One. Em Tipo de autenticação, selecione SAML.
Selecione Configurar SAML para abrir as opções Configurar SAML .
Selecione Ativar provisionamento baseado em SCIM para obter as configurações em URL base e Token de portador. Em seguida, salve as configurações. Copie a configuração URL base para URL do locatário. Copie a configuração Token ao portador para Token secreto.
Depois de preencher as caixas apresentadas no Passo 5, selecione Testar Ligação para se certificar de que o Microsoft Entra ID consegue ligar-se ao Zscaler One. Se a ligação falhar, certifique-se de que a sua conta Zscaler One tem permissões de administrador e tente novamente.
Na caixa Email de notificação, digite o endereço de e-mail da pessoa ou grupo para receber as notificações de erro de provisionamento. Marque a caixa de seleção Enviar uma notificação por e-mail quando ocorrer uma falha.
Selecione Guardar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Zscaler One.
Analise os atributos de usuário sincronizados do Microsoft Entra ID para o Zscaler One na seção Mapeamentos de Atributos. Os atributos selecionados como Propriedades correspondentes são utilizados para corresponder às contas de utilizador no Zscaler One para operações de atualização. Para salvar as alterações, selecione Salvar.
Atributo Type Suportado para filtragem Exigido pelo Zscaler One nome de utilizador String ✓ ✓ active Boolean ✓ displayName String ✓ externalId String ✓ name.givenName String name.familyName String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o Zscaler One.
Analise os atributos de grupo sincronizados do Microsoft Entra ID para o Zscaler One na seção Mapeamentos de Atributos. Os atributos selecionados como propriedades correspondentes são utilizados para corresponder aos grupos no Zscaler One para operações de atualização. Para salvar as alterações, selecione Salvar.
Atributo Type Suportado para filtragem Exigido pelo Zscaler One displayName String ✓ ✓ externalId String ✓ membros Referência Para configurar filtros de escopo, siga as instruções no tutorial de filtro de escopo.
Para habilitar o serviço de provisionamento do Microsoft Entra para o Zscaler One, na seção Configurações, altere Status de provisionamento para Ativado.
Defina os utilizadores ou grupos que pretende provisionar para o Zscaler One. Na seção Configurações, selecione os valores desejados em Escopo.
Quando estiver pronto para provisionar, selecione Salvar.
Esta operação inicia a sincronização inicial de todos os usuários ou grupos definidos em Escopo na seção Configurações. A sincronização inicial leva mais tempo para ser executada do que as sincronizações posteriores. Eles ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra seja executado.
Você pode usar a seção Detalhes da sincronização para monitorar o progresso e seguir os links para o relatório de atividade de provisionamento. O relatório descreve todas as ações executadas pelo serviço de aprovisionamento Microsoft Entra no Zscaler One.
Para obter informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.
Registos de alterações
- 16/05/2022 - Recurso de descoberta de esquema habilitado neste aplicativo.
Recursos adicionais
- Gerenciar o provisionamento de contas de usuário para aplicativos corporativos
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?