教學課程:Microsoft Entra 與 Zscaler Beta 整合

  • 文章

在本教學課程中,您將瞭解如何整合 Zscaler Beta 與 Microsoft Entra ID。 在整合 Zscaler Beta 與 Microsoft Entra ID 時,您可以.

  • 在 Microsoft Entra 識別符中控制可存取 Zscaler Beta 的人員。
  • 允許使用者使用其 Microsoft Entra 帳戶自動登入 Zscaler Beta。 此訪問控制稱為單一登錄 (SSO)。
  • 使用 Azure 入口網站,在一個中央位置管理您的帳戶。

必要條件

若要設定 Microsoft Entra 與 Zscaler Beta 整合,您需要下列專案:

  • Microsoft Entra 訂用帳戶。 如果您沒有 Microsoft Entra 環境,您可以取得 免費帳戶
  • 使用單一登錄的 Zscaler Beta 訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra 單一登錄。

  • Zscaler Beta 支援 由SP 起始的SSO。
  • Zscaler Beta 支援 Just In Time 使用者布建。
  • Zscaler Beta 支援 自動使用者布建

若要設定將 Zscaler Beta 整合到 Microsoft Entra ID 中,您需要從資源庫將 Zscaler Beta 新增到受控 SaaS 應用程式清單。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。
  3. 在 [ 從資源庫 新增] 區段的搜尋方塊中,輸入 Zscaler Beta
  4. 從結果面板中選取 [Zscaler Beta ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。

或者,您也可以使用企業 應用程式組態 精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。

設定及測試 Zscaler Beta 的 Microsoft Entra SSO

以名為 B.Simon 的測試用戶,設定及測試與 Zscaler Beta 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Zscaler Beta 中相關使用者之間的連結關聯性。

若要設定及測試與 Zscaler Beta 搭配運作的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登錄。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
  2. 設定 Zscaler Beta SSO - 在應用程式端設定單一登入設定。
    1. 建立 Zscaler Beta 測試使用者 - 使 Zscaler Beta 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式>企業應用程式>Zscaler Beta] 應用程式整合頁面,尋找 [管理] 區段並選取 [單一登錄]。

  3. 在 [ 選取單一登錄方法] 頁面上,選取 [SAML]。

  4. 在 [使用 SAML 設定單一登錄] 頁面上,按下基本 SAML 組態鉛筆圖示以編輯設定。

    Edit Basic SAML Configuration

  5. 在 [ 基本 SAML 組態 ] 區段上,輸入下列欄位的值:

    在 [ 登入 URL ] 方塊中,輸入使用者用來登入 Zscaler Beta 應用程式的 URL。

    注意

    值不是真實的。 使用實際的登入 URL 值更新值。 若要取得此值,請連絡 Zscaler Beta 用戶端支援小組

  6. Zscaler Beta 應用程式需要特定格式的 SAML 判斷提示。 您必須將自訂屬性對應新增至 SAML 令牌屬性組態。 下列螢幕快照顯示預設屬性的清單。 選取 [編輯 ] 以開啟 [ 使用者屬性] 對話框。

    User Attributes dialog box

  7. Zscaler Beta 應用程式預期 SAML 回應中會多傳回幾個屬性。 在 [用戶屬性] 對話方塊的 [使用者宣告] 區段中,依照下列步驟新增 SAML 令牌屬性,如下表所示。

    名稱 來源屬性
    memberOf user.assignedroles

    a. 選取 [新增宣告 ] 以開啟 [ 管理使用者宣告] 對話框。

    b. 在 [ 名稱] 方塊中,輸入該數據列顯示的屬性名稱。

    c. 將 [ 命名空間] 方塊保留空白。

    d. 針對 [ 來源],選取 [ 屬性]。

    e. 從 [ 來源屬性 ] 清單中,輸入針對該數據列顯示的屬性值。

    f. 選取 [確定]。

    .g 選取 [儲存]

    注意

    請按下 這裡 ,瞭解如何在 Microsoft Entra ID 中設定角色。

  8. 在 [ 使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證 ] 區段中,選取 [下載 ] 以下載 憑證 (Base64) 。 將它儲存在您的電腦上。

    Certificate download link

  9. 在 [ 設定 Zscaler Beta ] 區段中,複製您需求所需的 URL:

    Copy configuration URLs

建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 以至少使用者 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別使用者>所有使用者]。
  3. 選取畫面頂端的 [新增使用者>建立新使用者]。
  4. 在 [ 用戶 屬性] 中,遵循下列步驟:
    1. 在 [ 顯示名稱] 欄位中, 輸入 B.Simon
    2. 在 [ 使用者主體名稱] 欄位中, 輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 [檢閱 + 建立]。
  5. 選取 建立

指派 Microsoft Entra 測試使用者

在本節中,您會將 Zscaler Beta 的存取權授與 B.Simon,讓其能夠使用單一登錄。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式企業應用程式>>Zscaler Beta]。
  3. 在應用程式的 [概觀] 頁面中,尋找 [ 管理] 區段,然後選取 [ 使用者和群組]。
  4. 選取 [新增使用者],然後在 [新增指派] 對話框中選取 [使用者和群組]。
  5. 在 [ 使用者和群組] 對話框中,從 [使用者] 列表中選取 B.Simon ,然後按兩下畫面底部的 [ 選取 ] 按鈕。
  6. 如果您已如上述所述設定角色,您可以從 [選取角色] 下拉式清單中加以選取
  7. 在 [新增指派] 對話框中,按兩下 [指派] 按鈕。

設定 Zscaler Beta SSO

  1. 若要自動執行 Zscaler Beta 內的設定,請選取 [安裝擴充功能] 來安裝 我的應用程式 安全登入瀏覽器擴充功能

    My Apps extension

  2. 將擴充功能新增至瀏覽器之後,選取 [ 設定 Zscaler Beta ] 會將您導向至 Zscaler Beta 應用程式。 請從該處提供用來登入 Zscaler Beta 的管理員認證。 瀏覽器擴充功能會自動為您設定應用程式,並將步驟 3 到 6 自動化。

    Setup configuration

  3. 若要手動設定 Zscaler Beta,請開啟新的網頁瀏覽器視窗。 以系統管理員身分登入您的 Zscaler Beta 公司網站,並遵循下列步驟。

  4. 移至 管理員 驗證>>驗證 設定,然後遵循下列步驟。

    Administration

    a. 在 [驗證類型] 底下,選取 [SAML]。

    b. 選取 [ 設定 SAML]。

  5. 在 [ 編輯 SAML] 視窗中,遵循下列步驟: Manage Users & Authentication

    a. 在 [ SAML 入口網站 URL ] 方塊中,貼上您複製的 [登入 URL ]。

    b. 在 [ 登入名稱屬性 ] 方塊中,輸入 NameID

    c. 在 [ 公用 SSL 憑證 ] 方塊中,選取 [上傳 ] 以上傳您下載的 Azure SAML 簽署憑證。

    d. 切換 [ 啟用 SAML 自動布建]。

    e. 如果您想要啟用 displayName 屬性的 SAML 自動布建,請在 [ 用戶顯示名稱屬性 ] 方塊中輸入 displayName

    f. 如果您想要啟用 memberOf 屬性的 SAML 自動布建,請在 [ 組名屬性 ] 方塊中輸入 memberOf

    .g 如果您想要啟用部門屬性的 SAML 自動布建,請在 [ 部門名稱屬性 ] 方塊中輸入 部門

    h. 選取 [儲存]。

  6. 在 [設定 使用者驗證] 對話框頁面上,遵循下列步驟:

    Activation menu and Activate button

    a. 將滑鼠停留在左下方的 [ 啟用 ] 功能表上。

    b. 選取啟用

設定 Proxy 設定

若要在 Internet Explorer 中設定 Proxy 設定,請遵循下列步驟。

  1. 啟動 Internet Explorer

  2. 從 [工具] 功能選取 [因特網選項],以開啟 [因特網選項] 對話框。

    Internet Options dialog box

  3. 選取 [連線] 索引標籤。

    Connections tab

  4. 選取 [LAN 設定] 以開啟 [局域網络] 設定 對話框。

  5. 在 [Proxy 伺服器] 區段中,遵循下列步驟:

    Proxy server section

    a. 選取 [ 為您的 LAN 使用 Proxy 伺服器] 複選框。

    b. 在 [ 位址 ] 方塊中,輸入 閘道。Zscaler Beta.net

    c. 在 [ 埠] 方塊中,輸入 80

    d. 選取 [ 略過本機位址 的 Proxy 伺服器] 複選框。

    e. 選取 [確定] 以關閉 [局域網络][設定] 對話框。

  6. 選取 [ 確定 ] 以關閉 [ 因特網選項 ] 對話框。

建立 Zscaler Beta 測試使用者

本節會在 Zscaler Beta 中建立使用者 Britta Simon。 Zscaler Beta 支援 依預設啟用的 Just-In-Time 使用者布建。 本節中沒有任何可執行任何動作。 如果 Zscaler Beta 中還沒有任何使用者存在,在驗證之後就會建立新的使用者。

注意

若要手動建立使用者,請連絡 Zscaler Beta 支援小組

注意

Zscaler Beta 也支援自動使用者布建,您可以在這裡找到有關如何設定自動使用者布建的詳細資訊

測試 SSO

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登錄設定。

  • 按兩下 [ 測試此應用程式],這會重新導向至您可以在其中起始登入流程的 Zscaler Beta 登入 URL。

  • 直接移至 Zscaler Beta 登入 URL,然後從該處起始登入流程。

  • 您可以使用 Microsoft 我的應用程式。 當您在 我的應用程式 中按兩下 Zscaler Beta 圖格時,這會重新導向至 Zscaler Beta 登入 URL。 如需詳細資訊,請參閱 Microsoft Entra 我的應用程式

下一步

設定 Zscaler Beta 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控件會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控件。