Поделиться через


Настройка Zscaler Internet Access ZSTwo для единого входа с помощью идентификатора Microsoft Entra

В этой статье вы узнаете, как интегрировать Zscaler Internet Access ZSTwo с идентификатором Microsoft Entra ID. Когда вы интегрируете Zscaler Internet Access ZSTwo с идентификатором Microsoft Entra ID, вы можете:

  • Контролируйте, кто имеет доступ к Zscaler Internet Access ZSTwo, с помощью Microsoft Entra ID.
  • Включите автоматический вход пользователей в Zscaler Internet Access ZSTwo с помощью учетных записей Microsoft Entra.
  • Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Zscaler Internet Access ZSTwo, поддерживающая функцию единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Zscaler Internet Access ZSTwo поддерживает единый вход (SSO), инициированный поставщиком услуг.

  • Zscaler Internet Access ZSTwo поддерживает подготовку пользователей в режиме "точно в срок".

  • Zscaler Internet Access ZSTwo поддерживает автоматическую подготовку пользователей.

Примечание.

Идентификатор этого приложения является фиксированным строковым значением, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию Zscaler Internet Access ZSTwo с идентификатором Microsoft Entra ID, необходимо добавить Zscaler Internet Access ZSTwo из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе "Добавление из коллекции " в поле поиска введите Zscaler Internet Access ZSTwo .
  4. Выберите Zscaler Internet Access ZSTwo на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа (SSO) Microsoft Entra для Zscaler Internet Access ZSTwo

Настройте и проверьте одноэтапную аутентификацию Microsoft Entra в Zscaler Internet Access ZSTwo с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Zscaler Internet Access ZSTwo.

Чтобы настроить и протестировать Microsoft Entra SSO с Zscaler Internet Access ZSTwo, выполните следующие действия:

  1. Настройте Microsoft Entra SSO - чтобы ваши пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
  2. Настройте Zscaler Internet Access ZSTwo SSO, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя Zscaler Internet Access ZSTwo - для создания пользователя B.Simon в Zscaler Internet Access ZSTwo, связанного с представлением пользователя Microsoft Entra.
  3. Тест SSO - для проверки, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите к Entra ID>корпоративным приложениям>Zscaler Internet Access ZSTwo>Единая точка входа.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    В текстовом поле URL-адреса входа введите URL-адрес, используемый пользователями для входа в приложение Zscaler Internet Access ZSTwo.

    Примечание.

    Вы обновляете значение с фактическим URL-адресом для входа. Чтобы получить значение, обратитесь в службу поддержки клиентов Zscaler Internet Access ZSTwo . Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  6. Приложение Zscaler Internet Access ZSTwo ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию. Выберите значок редактирования , чтобы открыть диалоговое окно атрибутов пользователя .

    Снимок экрана, на котором показан раздел

  7. Кроме того, приложение Zscaler Internet Access ZSTwo требует передачи нескольких дополнительных атрибутов в ответе SAML. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в приведенной ниже таблице.

    Имя Атрибут источника
    является_членом user.assignedroles

    a. Выберите Добавить новое утверждение, чтобы открыть диалоговое окно Управление утверждениями пользователей.

    Снимок экрана, на котором показан раздел

    Снимок экрана, на котором показано диалоговое окно

    б. В текстовом поле Имя введите имя атрибута, отображаемое для этой строки.

    с. Оставьте пространство имен пустым.

    д. В качестве источника выберите Атрибут.

    д) В списке Атрибут источника введите значение атрибута, отображаемое для этой строки.

    е) Выберите Сохранить.

    Примечание.

    Выберите здесь, чтобы узнать, как настроить Роль в Microsoft Entra ID.

  8. На странице Настройка единого входа с помощью SAML в разделе сертификат подписи SAML выберите Скачать, чтобы скачать сертификат (Base64) из доступных вариантов в зависимости от ваших потребностей и сохраните его на компьютере.

    Ссылка для скачивания сертификата

  9. В разделе "Настройка Zscaler Internet Access ZSTwo " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Скопировать URL-адреса настроек

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям из краткого руководства «Создание и назначение учетной записи пользователя», чтобы создать тестовую учетную запись пользователя с именем B.Simon.

Настройка Zscaler Internet Access ZSTwo для единого входа (SSO)

  1. В другом окне веб-браузера войдите на корпоративный сайт Zscaler Internet Access ZSTwo в качестве администратора.

  2. Перейдите в раздел Администрирование > Аутентификация > Настройки аутентификации и выполните следующие действия.

    Screenshot shows the Zscaler One site with steps as described.скриншот показывает сайт Zscaler One с шагами, как описано.Administration администрирование

    a. В разделе "Тип проверки подлинности" выберите SAML.

    б. Выберите Настроить SAML.

  3. В окне Изменить SAML выполните следующие действия: и нажмите кнопку "Сохранить".

    Управление пользователями & Аутентификация

    a. В текстовое поле URL-адрес портала SAML вставьте URL-адрес входа ..

    б. В текстовом поле атрибут имени входа введите NameID.

    с. Выберите Загрузить, чтобы загрузить сертификат подписи Azure SAML, скачанный с портала Azure, в поле для общедоступного SSL-сертификата.

    д. Переключите включение автоматической подготовки SAML.

    д) В текстовом поле атрибута отображаемого имени пользователя введите displayName, если требуется включить автоматическое предоставление SAML для атрибутов displayName.

    е) В текстовом поле атрибута имени группы введите memberOf, если вы хотите включить автоподготовку SAML для атрибутов memberOf.

    ж. В атрибуте имени отдела введите отдел, если вы хотите включить автоматическое предоставление SAML для атрибутов отдела.

    х. Выберите Сохранить.

  4. На странице диалогового окна настройка проверки подлинности пользователей выполните следующие действия.

    снимок экрана: диалоговое окно

    a. Наведите указатель мыши на меню активации в левом нижнем углу.

    б. Выберите Активировать.

Настройка параметров прокси-сервера

Настройка параметров прокси-сервера в Internet Explorer

  1. Запустите Internet Explorer.

  2. Выберите "Параметры интернета" в меню "Инструменты", чтобы открыть диалоговое окно "Параметры интернета".

    Параметры Интернета

  3. Перейдите на вкладку Подключения.

    Подключения

  4. Выберите настройки локальной сети, чтобы открыть диалоговое окно Настройки локальной сети.

  5. В разделе прокси-сервера выполните следующие действия.

    прокси-сервер

    a. Выберите Использовать прокси-сервер для локальной сети.

    б. В текстовом поле "Адрес" введите шлюз. Zscaler Two.net.

    с. В текстовом поле "Порт" введите 80.

    д. Выберите не использовать прокси-сервер для локальных адресов.

    д) Нажмите ОК, чтобы закрыть диалоговое окно Параметры локальной сети (LAN).

  6. Нажмите OK, чтобы закрыть диалоговое окно Свойства браузера.

Создание тестового пользователя Zscaler Internet Access ZSTwo

В этом разделе пользователь с именем Britta Simon создается в Zscaler Internet Access ZSTwo. Zscaler Internet Access ZSTwo поддерживает подготовку пользователей по мере необходимости, которая включена по умолчанию. В этом разделе для вас нет пункта действий. Если пользователь еще не существует в Zscaler Internet Access ZSTwo, он создается после проверки подлинности.

Примечание.

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки Zscaler Internet Access ZSTwo.

Примечание.

Zscaler Internet Access ZSTwo также поддерживает автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

  • Выберите "Тестировать это приложение", этот параметр перенаправляет на URL-адрес входа Zscaler Internet Access ZSTwo, где вы можете начать процесс входа в систему.

  • Перейдите непосредственно по URL-адресу для входа в Zscaler Internet Access ZSTwo и начните процесс входа.

  • Вы можете использовать Microsoft My Apps. При выборе плитки Zscaler Internet Access ZSTwo в разделе "Мои приложения" вы будете перенаправлены на URL для входа в Zscaler Internet Access ZSTwo. Для получения дополнительной информации см. Microsoft Entra My Apps.

После настройки Zscaler Internet Access ZSTwo вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в реальном времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.