Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Цель этой статьи — продемонстрировать шаги, которые необходимо выполнить в Zscaler и Microsoft Entra ID, чтобы настроить Microsoft Entra ID для автоматического предоставления и удаления пользователей и/или групп в Zscaler.
Примечание.
В этой статье описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает, а также ответы на часто задаваемые вопросы см. в статье Автоматизация предоставления и отзыва доступа пользователей к приложениям SaaS с помощью Microsoft Entra ID.
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующее:
— учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно. — Одна из следующих ролей: администратор приложений - администратор облачных приложений - владельца приложения..
- арендатор Zscaler.
- учетная запись пользователя в Zscaler с разрешениями администратора.
Примечание.
Интеграция предоставления ресурсов Microsoft Entra зависит от API SCIM Zscaler, доступного разработчикам Zscaler для учетных записей с пакетом Enterprise.
Добавление Zscaler из галереи
Перед настройкой Zscaler для автоматической подготовки пользователей с помощью Идентификатора Microsoft Entra необходимо добавить Zscaler из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.
Чтобы добавить Zscaler из коллекции приложений Microsoft Entra, выполните следующие действия:
Войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
В поле поиска введите Zscaler, выберите Zscaler на панели результатов и нажмите кнопку "Добавить ", чтобы добавить это приложение.
Назначение пользователей в Zscaler
Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматического предоставления пользователей синхронизируются только пользователи и/или группы, которые назначены приложению в Microsoft Entra ID.
Перед настройкой и включением автоматической настройки пользователей следует решить, какие пользователи и/или группы в Microsoft Entra ID должны иметь доступ к Zscaler. Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler, следуя инструкциям:
Важные рекомендации по назначению пользователей приложению Zscaler
Рекомендуется назначить одного пользователя Microsoft Entra для Zscaler, чтобы проверить конфигурацию автоматического создания пользователей. Дополнительные пользователи и/или группы можно назначить позднее.
При назначении пользователя приложению Zscaler в диалоговом окне назначения необходимо выбрать действительную роль для конкретного приложения (если это доступно). Пользователи с ролью Доступ по умолчанию исключаются из процесса предоставления.
Настройка автоматической подготовки пользователей в Zscaler
В этом разделе описаны действия по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Zscaler на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.
Примечание.
Откройте заявку в службу поддержки, чтобы создать домен на Zscaler.
Совет
Вы также можете включить для Zscaler единый вход на основе протокола SAML, следуя инструкциям, приведенным в статье о едином входе Zscaler. Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности хорошо дополняют друг друга.
Примечание.
При предоставлении или отмене предоставления пользователей и групп рекомендуется периодически перезапускать процесс, чтобы членство в группах обновлялось. При перезапуске служба повторно оценит все группы и обновит членство. Помните, что перезапуск может занять время, если вы синхронизируете всех пользователей и групп в клиенте или назначили большие группы с 50K+ участниками.
Чтобы настроить автоматическую подготовку пользователей для Zscaler в Microsoft Entra ID, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
Перейдите к Entra ID>Enterprise apps>Zscaler.
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора заполните поля URL-адрес клиента и Секретный токен учетной записи Zscaler, как описано на шаге 6.
Чтобы получить URL-адрес клиента и секретный маркер, перейдите к параметрам проверки подлинности администрирования > в пользовательском интерфейсе портала Zscaler и выберите SAML в разделе "Тип проверки подлинности".
Выберите "Настроить SAML", чтобы открыть параметры конфигурации SAML .
Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), чтобы получить базовый URL-адрес и токен носителя, а затем сохраните настройки. Скопируйте базовый URL-адрес в URL-адрес клиента и токен Bearer в секретный токен.
После заполнения полей, показанных на шаге 5, выберите "Проверить подключение" , чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Zscaler. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler есть разрешения администратора, и повторите попытку.
В поле Уведомления по электронной почте введите адрес электронной почты человека или группы, которые должны получать уведомления об ошибках предоставления, а также установите флажок Отправить уведомление по электронной почте при сбое (Send an email notification when a failure occurs).
Выберите Сохранить.
В разделе «Сопоставления» выберите Синхронизировать пользователей Microsoft Entra с Zscaler.
Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Zscaler в разделе Сопоставление атрибутов. Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Zscaler для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется для Zscaler userName Строка ✓ ✓ externalId (внешний идентификатор) Строка ✓ активный Логический ✓ имя.имя Строка имя.фамилия Строка отображаемое имя Строка ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:Пользователь:департамент Строка ✓ В разделе "Сопоставления" выберите Синхронизировать группы Microsoft Entra с Zscaler.
Просмотрите атрибуты группы, синхронизированные из идентификатора Microsoft Entra в Zscaler в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Zscaler для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется для Zscaler отображаемое имя Строка ✓ ✓ члены Справочные материалы externalId (внешний идентификатор) Строка ✓ Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.
Чтобы включить службу подготовки Microsoft Entra для Zscaler, измените состояние подготовки на On в разделе "Параметры ".
Определите пользователей и (или) группы для предоставления в Zscaler, выбрав нужные значения в Области в разделе Параметры.
Когда будете готовы настроить, нажмите Сохранить.
После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут, пока запущена служба подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler.
Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?