Настройка Zscaler Internet Access ZSOne для единого входа с помощью идентификатора Microsoft Entra

В этой статье вы узнаете, как интегрировать Zscaler Internet Access ZSOne с идентификатором Microsoft Entra ID. Интеграция Zscaler Internet Access ZSOne с идентификатором Microsoft Entra id позволяет:

• Управляйте, кто имеет доступ к Zscaler Internet Access ZSOne, с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в Zscaler Internet Access ZSOne с помощью учетных записей Microsoft Entra.
• Управляйте своими аккаунтами централизованно.

Предпосылки

Чтобы приступить к работе, вам потребуется следующее:

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• Подписка Zscaler Internet Access ZSOne с поддержкой единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Zscaler Internet Access ZSOne поддерживает единый вход, инициированный поставщиком служб.

• Zscaler Internet Access ZSOne поддерживает подготовку пользователей "по мере необходимости" (Just In Time).

• Zscaler Internet Access ZSOne поддерживает автоматическую подготовку пользователей.

Примечание.

Идентификатор этого приложения является фиксированным строковым значением, поэтому в одном клиенте можно настроить только один экземпляр.

Добавьте Zscaler Internet Access ZSOne из галереи

Чтобы настроить интеграцию Zscaler Internet Access ZSOne с идентификатором Microsoft Entra ID, необходимо добавить Zscaler Internet Access ZSOne из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
3. В разделе "Добавление из коллекции " в поле поиска введите Zscaler Internet Access ZSOne .
4. Выберите Zscaler Internet Access ZSOne на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройте и протестируйте единый вход Microsoft Entra для Zscaler Internet Access ZSOne

Настройте и проверьте единую аутентификацию Microsoft Entra совместно с Zscaler Internet Access ZSOne с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа (SSO) необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Zscaler Internet Access ZSOne.

Чтобы настроить и проверить единый вход Microsoft Entra в Zscaler Internet Access ZSOne, выполните следующие действия.

1. Настройте Microsoft Entra SSO - чтобы ваши пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройте единую систему входа Zscaler Internet Access ZSOne для настройки параметров единого Sign-On на стороне приложения.
   1. Создайте тестового пользователя в Zscaler Internet Access ZSOne — для создания аналога пользователя Britta Simon в Zscaler Internet Access ZSOne, связанного с профилем пользователя Microsoft Entra.
3. Тест SSO - для проверки, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>корпоративные приложения>Zscaler Internet Access ZSOne>Единый вход.

3. На странице Выбор метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

   a. В текстовом поле URL-адреса входа введите URL-адрес, используемый пользователями для входа в приложение Zscaler Internet Access ZSOne.

   Примечание.

   Вы обновляете значение с фактическим URL-адресом Sign-On. Чтобы получить это значение, обратитесь в службу поддержки клиентов Zscaler Internet Access ZSOne . Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

6. Приложение Zscaler Internet Access ZSOne ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию. Выберите значок редактирования , чтобы открыть диалоговое окно атрибутов пользователя .

   

7. В дополнение к вышесказанному, приложение Zscaler Internet Access ZSOne ожидает, что в ответе SAML будут переданы ещё несколько атрибутов. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в приведенной ниже таблице.

   Имя	Атрибут источника
   является_членом	user.assignedroles

   a. Выберите Добавить новое утверждение, чтобы открыть диалоговое окно Управление утверждениями пользователей.

   б. В текстовом поле Имя введите имя атрибута, отображаемое для этой строки.

   с. Оставьте пространство имен пустым.

   д. В качестве источника выберите Атрибут.

   д) В списке Атрибут источника введите значение атрибута, отображаемое для этой строки.

   е) Выберите Сохранить.

   Примечание.

   Выберите здесь, чтобы узнать, как настроить Роль в Microsoft Entra ID.

8. На странице Настройка единого входа с помощью SAML в разделе сертификат подписи SAML выберите Скачать, чтобы скачать сертификат (Base64) из доступных вариантов в зависимости от ваших потребностей и сохраните его на компьютере.

   

9. Скопируйте требуемый URL-адрес из раздела "Настройка Zscaler Internet Access ZSOne ".

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Авторизуйтесь в Центре администрирования Microsoft Entra как минимум в роли Администратора пользователей.
2. Перейдите к разделу Entra ID>Пользователи.
3. Выберите Создать пользователя>Создать нового пользователяв верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле Основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create.
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Zscaler Internet Access ZSOne.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
2. Перейдите кприложениям>Entra ID> EnterpriseZscaler Internet Access ZSOne.
3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
4. Выберите Добавить пользователя, а затем в диалоговом окне Добавить назначение выберите Пользователи и группы.
5. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
6. Если вы настроили роли, как описано выше, вы можете выбрать роль из раскрывающегося списка Выберите роль.
7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SSO для Zscaler Internet Access ZSOne

1. В другом окне веб-браузера войдите на корпоративный сайт Zscaler Internet Access ZSOne от имени администратора.

2. Перейдите в раздел Администрирование > Аутентификация > Настройки аутентификации и выполните следующие действия.

   скриншот показывает сайт Zscaler One с шагами, как описано.Administration администрирование

   a. В разделе "Тип проверки подлинности" выберите SAML.

   б. Выберите Настроить SAML.

3. В окне Изменить SAML выполните следующие действия: и нажмите кнопку "Сохранить".

   

   a. В текстовое поле URL-адрес портала SAML вставьте URL-адрес входа ..

   б. В текстовом поле атрибут имени входа введите NameID.

   с. Выберите Загрузить, чтобы загрузить сертификат подписи Azure SAML, скачанный с портала Azure, в поле для общедоступного SSL-сертификата.

   д. Переключите включение автоматической подготовки SAML.

   д) В текстовом поле атрибута отображаемого имени пользователя введите displayName, если требуется включить автоматическое предоставление SAML для атрибутов displayName.

   е) В текстовом поле атрибута имени группы введите memberOf, если вы хотите включить автоподготовку SAML для атрибутов memberOf.

   ж. В атрибуте имени отдела введите отдел, если вы хотите включить автоматическое предоставление SAML для атрибутов отдела.

   х. Выберите Сохранить.

4. На странице диалогового окна настройка проверки подлинности пользователей выполните следующие действия.

   

   a. Однако над меню активации в левом нижнем углу.

   б. Выберите Активировать.

Настройка параметров прокси-сервера

Настройка параметров прокси-сервера в Internet Explorer

1. Запустите Internet Explorer.

2. Выберите "Параметры интернета" в меню "Инструменты", чтобы открыть диалоговое окно "Параметры интернета".

   

3. Перейдите на вкладку Подключения.

   

4. Выберите настройки локальной сети, чтобы открыть диалоговое окно Настройки локальной сети.

5. В разделе прокси-сервера выполните следующие действия.

   

   a. Выберите Использовать прокси-сервер для локальной сети.

   б. В текстовом поле "Адрес" введите шлюз.Zscaler One.net.

   с. В текстовом поле "Порт" введите 80.

   д. Выберите не использовать прокси-сервер для локальных адресов.

   д) Нажмите ОК, чтобы закрыть диалоговое окно Параметры локальной сети (LAN).

6. Нажмите OK, чтобы закрыть диалоговое окно Свойства браузера.

Создание тестового пользователя Zscaler Internet Access ZSOne

В этом разделе пользователь с именем Britta Simon создается в Zscaler Internet Access ZSOne. Zscaler Internet Access ZSOne поддерживает автоматическую подготовку пользователей, которая включена по умолчанию. В этом разделе для вас нет пункта действий. Если пользователь еще не существует в Zscaler Internet Access ZSOne, он создается после проверки подлинности.

Примечание.

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки Zscaler Internet Access ZSOne.

Примечание.

Zscaler Internet Access ZSOne также поддерживает автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

• Выберите Тестировать это приложение, выбор этого параметра приведет к переадресации на URL-адрес Zscaler Internet Access ZSOne Sign-on, где возможно начать процесс входа.

• Перейдите непосредственно по URL-адресу для авторизации в Zscaler Internet Access ZSOne и начните процесс входа оттуда.

• Вы можете использовать Microsoft My Apps. При выборе плитки Zscaler Internet Access ZSOne в разделе "Мои приложения" вы будете перенаправлены на URL-адрес для входа в Zscaler Internet Access ZSOne. Дополнительные сведения о моих приложениях см. в разделе Введение в"Мои приложения".

Связанный контент

После настройки Zscaler Internet Access ZSOne вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в реальном времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.