Руководство по настройке Zscaler ZSCloud для автоматической подготовки пользователей
В этом руководстве вы узнаете, как настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и (или) групп в Zscaler ZSCloud.
Примечание.
В этом руководстве описывается соединитель, созданный в службе подготовки пользователей Microsoft Entra. Важные сведения о том, что эта служба делает и как она работает, и ответы на часто задаваемые вопросы см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Необходимые компоненты
Для работы с этим руководством требуется следующее:
- Клиент Microsoft Entra.
- клиент Zscaler ZSCloud;
- учетная запись пользователя в Zscaler ZSCloud с правами администратора.
Примечание.
Интеграция подготовки Microsoft Entra зависит от API SCIM ZSCloud ZSCloud, который доступен для учетных записей Enterprise.
Добавление Zscaler ZSCloud из коллекции
Перед настройкой Zscaler ZSCloud для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо добавить Zscaler ZSCloud из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
В поле поиска введите Zscaler ZSCloud.
Выберите Zscaler ZSCloud в результатах поиска и нажмите Добавить.
Назначение пользователей в Zscaler ZSCloud
Пользователям Microsoft Entra необходимо назначить доступ к выбранным приложениям, прежде чем они смогут их использовать. В контексте автоматической подготовки пользователей синхронизируются только пользователи или группы, назначенные приложению в идентификаторе Microsoft Entra ID.
Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и (или) группы в идентификаторе Microsoft Entra должны иметь доступ к Zscaler ZSCloud. После этого вы сможете назначить этих пользователей и группы в Zscaler ZSCloud, следуя инструкциям из статьи о назначении пользователей или групп корпоративному приложению.
Важные рекомендации по назначению пользователей в Zscaler ZSCloud
Рекомендуется сначала назначить одного пользователя Microsoft Entra Zscaler ZSCloud для проверки конфигурации автоматической подготовки пользователей. Позже можно назначить других пользователей и группы.
При назначении пользователя в Zscaler ZSCloud необходимо выбрать действительную роль для конкретного приложения (если она доступна) в диалоговом окне назначения. Пользователи с ролью Доступ по умолчанию исключаются из подготовки.
Настройка автоматической подготовки пользователей
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в Zscaler ZSCloud на основе назначений пользователей и групп в идентификаторе Microsoft Entra.
Совет
Для Zscaler ZSCloud можно также включить единый вход на основе SAML. Для этого выполните инструкции из статьи об интеграции Azure AD с Zscaler ZSCloud. Единый вход можно настроить независимо от автоматической подготовки, хотя обе функции дополняют друг друга.
Примечание.
При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise Zscaler ZSCloud.
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Автоматически.
В разделе Учетные данные администратора введите URL-адрес клиента и Секретный токен учетной записи Zscaler ZSCloud, как описано в следующем шаге.
Чтобы получить URL-адрес клиента и Секретный токен, на портале Zscaler ZSCloud откройте меню Администрирование>Параметры проверки подлинности и в разделе Тип проверки подлинности выберите SAML.
Выберите Configure SAML (Настроить SAML), чтобы открыть окно настроек SAML.
Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), скопируйте базовый URL-адрес и токен носителя и сохраните настройки. На портале Azure вставьте базовый URL-адрес в поле URL-адрес клиента, а токен носителя — в поле Секретный токен.
После ввода значений в полях URL-адреса клиента и секретных маркеров выберите "Проверить подключение" , чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Zscaler ZSCloud. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler ZSCloud есть разрешения администратора, и повторите попытку.
В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки. Выберите Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler ZSCloud.
Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler ZSCloud в разделе "Сопоставления атрибутов ". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Zscaler ZSCloud при операциях обновления. Чтобы зафиксировать изменения, щелкните Сохранить.
Атрибут Тип Поддерживается для фильтрации Требуется Zscaler ZSCloud userName Строка ✓ ✓ externalId Строка ✓ active Логический ✓ name.givenName Строка name.familyName Строка displayName Строка ✓ urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Строка ✓ В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Zscaler ZSCloud.
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Zscaler ZSCloud в разделе "Сопоставления атрибутов ". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Zscaler ZSCloud при операциях обновления. Чтобы зафиксировать изменения, щелкните Сохранить.
Атрибут Тип Поддерживается для фильтрации Требуется Zscaler ZSCloud displayName Строка ✓ ✓ members Справочные материалы externalId Строка ✓) Чтобы настроить фильтры области, ознакомьтесь с инструкциями в статье Подготовка приложений на основе атрибутов с использованием фильтров области.
Чтобы включить службу подготовки Microsoft Entra для Zscaler ZSCloud, измените состояние подготовки на "Вкл ." в разделе "Параметры ":
Определите пользователей или группы для подготовки в Zscaler ZSCloud, выбрав нужные значения в поле Область раздела Параметры.
Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.
Эта операция запускает начальную синхронизацию всех пользователей и групп, указанных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут, пока выполняется служба подготовки Microsoft Entra. Вы можете отслеживать ход выполнения в разделе Сведения о синхронизации. Вы также можете следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler ZSCloud.
Сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?