本文介绍如何将 Zscaler Internet Access Administrator 与 Microsoft Entra ID 集成。 将 Zscaler Internet Access Administrator 与 Microsoft Entra ID 集成后,可以执行以下操作:
- 在 Microsoft Entra ID 中控制谁有权访问 Zscaler Internet Access Administrator。
- 让用户使用其 Microsoft Entra 帐户自动登录到 Zscaler Internet Access Administrator。
- 在一个中心位置管理帐户。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 已启用 Zscaler Internet Access Administrator 单一登录 (SSO) 的订阅。
注释
还可以从 Microsoft Entra US Government 云环境使用此集成。 可以在 Microsoft Entra US Government 云应用程序库中找到此应用程序,并按照与从公有云中相同的方式对其进行配置。
方案说明
本文中,您将在测试环境中配置和测试 Microsoft Entra 的单一登录功能。
- Zscaler Internet Access Administrator 支持 IDP 发起的 SSO。
从库中添加 Zscaler Internet Access Administrator
要配置 Zscaler Internet Access Administrator 与 Microsoft Entra ID 的集成,需要从库中将 Zscaler Internet Access Administrator 添加到托管 SaaS 应用程序列表。
- 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>企业应用>新建应用程序。
- 在“从库中添加”部分的搜索框中,键入“Zscaler Internet Access Administrator”。
- 从结果面板中选择“Zscaler Internet Access Administrator”,然后添加该应用。 请稍等几秒钟,应用程序将被添加到您的租户中。
或者,也可以使用 企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Zscaler Internet Access Administrator 的 Microsoft Entra SSO
配置和测试 Microsoft Entra SSO 在 Zscaler Internet Access Administrator 上,使用一名名为 B.Simon 的测试用户。 要运行 SSO,需要在 Microsoft Entra 用户与 Zscaler Internet Access Administrator 相关用户之间建立链接关系。
要配置和测试 Zscaler Internet Access Administrator 的 Microsoft Entra SSO,请执行以下步骤:
-
配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 测试 britta Simon 的 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 Britta Simon 能够使用 Microsoft Entra 单一登录。
-
配置 Zscaler Internet Access Administrator SSO - 在应用程序端配置单一登录。
- 创建 Zscaler Internet Access 管理员测试用户 - 在 Zscaler Internet Access 管理员中创建 Britta Simon 的对应用户,并将其关联到该用户在 Microsoft Entra 中对应的身份。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Enterprise Apps>Zscaler Internet Access Administrator 应用程序集成页,找到 “管理 ”部分并选择 “单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在 “使用 SAML 配置单一 Sign-On” 页上,选择 基本 SAML 配置 的铅笔图标来编辑设置。
在 “基本 SAML 配置 ”部分中,输入以下字段的值:
a。 在“标识符”文本框中,根据要求键入以下 URL 之一:
标识符 https://admin.zscaler.nethttps://admin.zscalerone.nethttps://admin.zscalertwo.nethttps://admin.zscalerthree.nethttps://admin.zscloud.nethttps://admin.zscalerbeta.netb. 在“回复 URL”文本框中,根据要求键入以下 URL 之一:
回复 URL https://admin.zscaler.net/adminsso.dohttps://admin.zscalerone.net/adminsso.dohttps://admin.zscalertwo.net/adminsso.dohttps://admin.zscalerthree.net/adminsso.dohttps://admin.zscloud.net/adminsso.dohttps://admin.zscalerbeta.net/adminsso.doZscaler Internet Access Administrator 应用程序需要特定格式的 SAML 断言。 为此应用程序配置以下声明。 可以从应用程序集成页上的 “用户属性和声明 ”部分管理这些属性的值。 在 Set up Single Sign-On with SAML 页面上,选择 编辑 按钮以打开 用户属性与声明 对话框。
在“用户属性” 对话框的“用户声明” 部分中,按上图所示配置 SAML 令牌属性,并执行以下步骤:
名称 源属性 角色 user.assignedroles a。 选择“ 添加新声明 ”以打开 “管理用户声明 ”对话框。
b. 在“源属性”列表中,选择属性值。
c. 选择“ 确定”。
d. 选择“ 保存”。
注释
请 在此处 选择了解如何在 Microsoft Entra ID 中配置角色。
在“设置 SAML 单一登录”页的“SAML 签名证书”部分,选择“下载”以根据要求从给定的选项中下载证书 (Base64),并将其保存在计算机上。
在“设置 Zscaler Internet Access Administrator”部分,根据要求复制相应的 URL。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速入门中的准则,以创建名为 B.Simon 的测试用户帐户。
配置 Zscaler Internet Access Administrator SSO
在另一个 Web 浏览器窗口中,登录到 Zscaler Internet Access 管理员 UI。
转到 “管理 > 管理员管理 ”并执行以下步骤,然后选择“保存” :
a。 选中“启用 SAML 身份验证”。
b. 选择 “上传”,上传从 Azure 门户下载的 Azure SAML 签名 证书(公共 SSL 证书)。
c. (可选)为提高安全性,请添加 颁发者 详细信息以验证 SAML 响应的颁发者。
在管理员 UI 中,执行以下步骤:
a。 将鼠标悬停在左下角附近的“激活”菜单上。
b. 选择 “激活”。
创建 Zscaler Internet Access Administrator 测试用户
本部分的目的是在 Zscaler Internet Access Administrator 中创建名为 Britta Simon 的用户。 Zscaler Internet Access 不支持管理员 SSO 的实时预配。 需要手动创建管理员帐户。 有关如何创建管理员帐户的步骤,请参阅 Zscaler 文档:
https://help.zscaler.com/zia/adding-admins
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
选择测试此应用程序,您应会自动登录到已为其设置SSO的Zscaler 互联网访问管理员。
你可使用 Microsoft 的“我的应用”。 在“我的应用”中选择 Zscaler Internet Access Administrator 磁贴时,您应会自动登录到已为其设置 SSO 的 Zscaler Internet Access Administrator。 有关“我的应用”的详细信息,请参阅 “我的应用简介”。
相关内容
配置 Zscaler Internet Access Administrator 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制是条件访问的延伸。 了解如何使用 Microsoft Defender for Cloud Apps 强制实施会话控制。