教學課程:Microsoft Entra 與 Zscaler Beta 整合
在本教學課程中,您將瞭解如何整合 Zscaler Beta 與 Microsoft Entra ID。 在整合 Zscaler Beta 與 Microsoft Entra ID 時,您可以.
- 在 Microsoft Entra 識別符中控制可存取 Zscaler Beta 的人員。
- 允許使用者使用其 Microsoft Entra 帳戶自動登入 Zscaler Beta。 此訪問控制稱為單一登錄 (SSO)。
- 使用 Azure 入口網站,在一個中央位置管理您的帳戶。
必要條件
若要設定 Microsoft Entra 與 Zscaler Beta 整合,您需要下列專案:
- Microsoft Entra 訂用帳戶。 如果您沒有 Microsoft Entra 環境,您可以取得 免費帳戶。
- 使用單一登錄的 Zscaler Beta 訂用帳戶。
案例描述
在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra 單一登錄。
- Zscaler Beta 支援 由SP 起始的SSO。
- Zscaler Beta 支援 Just In Time 使用者布建。
- Zscaler Beta 支援 自動使用者布建。
從資源庫新增 Zscaler Beta
若要設定將 Zscaler Beta 整合到 Microsoft Entra ID 中,您需要從資源庫將 Zscaler Beta 新增到受控 SaaS 應用程式清單。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。
- 在 [ 從資源庫 新增] 區段的搜尋方塊中,輸入 Zscaler Beta 。
- 從結果面板中選取 [Zscaler Beta ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。
或者,您也可以使用企業 應用程式組態 精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。
設定及測試 Zscaler Beta 的 Microsoft Entra SSO
以名為 B.Simon 的測試用戶,設定及測試與 Zscaler Beta 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Zscaler Beta 中相關使用者之間的連結關聯性。
若要設定及測試與 Zscaler Beta 搭配運作的 Microsoft Entra SSO,請執行下列步驟:
- 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登錄。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
- 設定 Zscaler Beta SSO - 在應用程式端設定單一登入設定。
- 建立 Zscaler Beta 測試使用者 - 使 Zscaler Beta 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
請遵循下列步驟來啟用 Microsoft Entra SSO。
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>Zscaler Beta] 應用程式整合頁面,尋找 [管理] 區段並選取 [單一登錄]。
在 [ 選取單一登錄方法] 頁面上,選取 [SAML]。
在 [使用 SAML 設定單一登錄] 頁面上,按下基本 SAML 組態的鉛筆圖示以編輯設定。
在 [ 基本 SAML 組態 ] 區段上,輸入下列欄位的值:
在 [ 登入 URL ] 方塊中,輸入使用者用來登入 Zscaler Beta 應用程式的 URL。
注意
值不是真實的。 使用實際的登入 URL 值更新值。 若要取得此值,請連絡 Zscaler Beta 用戶端支援小組。
Zscaler Beta 應用程式需要特定格式的 SAML 判斷提示。 您必須將自訂屬性對應新增至 SAML 令牌屬性組態。 下列螢幕快照顯示預設屬性的清單。 選取 [編輯 ] 以開啟 [ 使用者屬性] 對話框。
Zscaler Beta 應用程式預期 SAML 回應中會多傳回幾個屬性。 在 [用戶屬性] 對話方塊的 [使用者宣告] 區段中,依照下列步驟新增 SAML 令牌屬性,如下表所示。
名稱 來源屬性 memberOf user.assignedroles a. 選取 [新增宣告 ] 以開啟 [ 管理使用者宣告] 對話框。
b. 在 [ 名稱] 方塊中,輸入該數據列顯示的屬性名稱。
c. 將 [ 命名空間] 方塊保留空白。
d. 針對 [ 來源],選取 [ 屬性]。
e. 從 [ 來源屬性 ] 清單中,輸入針對該數據列顯示的屬性值。
f. 選取 [確定]。
.g 選取 [儲存]。
注意
請按下 這裡 ,瞭解如何在 Microsoft Entra ID 中設定角色。
在 [ 使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證 ] 區段中,選取 [下載 ] 以下載 憑證 (Base64) 。 將它儲存在您的電腦上。
在 [ 設定 Zscaler Beta ] 區段中,複製您需求所需的 URL:
建立 Microsoft Entra 測試使用者
在本節中,您將建立名為 B.Simon 的測試使用者。
- 以至少使用者 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別使用者>所有使用者]。
- 選取畫面頂端的 [新增使用者>建立新使用者]。
- 在 [ 用戶 屬性] 中,遵循下列步驟:
- 在 [ 顯示名稱] 欄位中, 輸入
B.Simon
。 - 在 [ 使用者主體名稱] 欄位中, 輸入 username@companydomain.extension。 例如:
B.Simon@contoso.com
。 - 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
- 選取 [檢閱 + 建立]。
- 在 [ 顯示名稱] 欄位中, 輸入
- 選取 建立。
指派 Microsoft Entra 測試使用者
在本節中,您會將 Zscaler Beta 的存取權授與 B.Simon,讓其能夠使用單一登錄。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式企業應用程式>>Zscaler Beta]。
- 在應用程式的 [概觀] 頁面中,尋找 [ 管理] 區段,然後選取 [ 使用者和群組]。
- 選取 [新增使用者],然後在 [新增指派] 對話框中選取 [使用者和群組]。
- 在 [ 使用者和群組] 對話框中,從 [使用者] 列表中選取 B.Simon ,然後按兩下畫面底部的 [ 選取 ] 按鈕。
- 如果您已如上述所述設定角色,您可以從 [選取角色] 下拉式清單中加以選取。
- 在 [新增指派] 對話框中,按兩下 [指派] 按鈕。
設定 Zscaler Beta SSO
若要自動執行 Zscaler Beta 內的設定,請選取 [安裝擴充功能] 來安裝 我的應用程式 安全登入瀏覽器擴充功能。
將擴充功能新增至瀏覽器之後,選取 [ 設定 Zscaler Beta ] 會將您導向至 Zscaler Beta 應用程式。 請從該處提供用來登入 Zscaler Beta 的管理員認證。 瀏覽器擴充功能會自動為您設定應用程式,並將步驟 3 到 6 自動化。
若要手動設定 Zscaler Beta,請開啟新的網頁瀏覽器視窗。 以系統管理員身分登入您的 Zscaler Beta 公司網站,並遵循下列步驟。
移至 管理員 驗證>>驗證 設定,然後遵循下列步驟。
a. 在 [驗證類型] 底下,選取 [SAML]。
b. 選取 [ 設定 SAML]。
在 [ 編輯 SAML] 視窗中,遵循下列步驟:
a. 在 [ SAML 入口網站 URL ] 方塊中,貼上您複製的 [登入 URL ]。
b. 在 [ 登入名稱屬性 ] 方塊中,輸入 NameID。
c. 在 [ 公用 SSL 憑證 ] 方塊中,選取 [上傳 ] 以上傳您下載的 Azure SAML 簽署憑證。
d. 切換 [ 啟用 SAML 自動布建]。
e. 如果您想要啟用 displayName 屬性的 SAML 自動布建,請在 [ 用戶顯示名稱屬性 ] 方塊中輸入 displayName 。
f. 如果您想要啟用 memberOf 屬性的 SAML 自動布建,請在 [ 組名屬性 ] 方塊中輸入 memberOf 。
.g 如果您想要啟用部門屬性的 SAML 自動布建,請在 [ 部門名稱屬性 ] 方塊中輸入 部門 。
h. 選取 [儲存]。
在 [設定 使用者驗證] 對話框頁面上,遵循下列步驟:
a. 將滑鼠停留在左下方的 [ 啟用 ] 功能表上。
b. 選取啟用。
設定 Proxy 設定
若要在 Internet Explorer 中設定 Proxy 設定,請遵循下列步驟。
啟動 Internet Explorer。
從 [工具] 功能選取 [因特網選項],以開啟 [因特網選項] 對話框。
選取 [連線] 索引標籤。
選取 [LAN 設定] 以開啟 [局域網络] 設定 對話框。
在 [Proxy 伺服器] 區段中,遵循下列步驟:
a. 選取 [ 為您的 LAN 使用 Proxy 伺服器] 複選框。
b. 在 [ 位址 ] 方塊中,輸入 閘道。Zscaler Beta.net。
c. 在 [ 埠] 方塊中,輸入 80。
d. 選取 [ 略過本機位址 的 Proxy 伺服器] 複選框。
e. 選取 [確定] 以關閉 [局域網络][設定] 對話框。
選取 [ 確定 ] 以關閉 [ 因特網選項 ] 對話框。
建立 Zscaler Beta 測試使用者
本節會在 Zscaler Beta 中建立使用者 Britta Simon。 Zscaler Beta 支援 依預設啟用的 Just-In-Time 使用者布建。 本節中沒有任何可執行任何動作。 如果 Zscaler Beta 中還沒有任何使用者存在,在驗證之後就會建立新的使用者。
注意
若要手動建立使用者,請連絡 Zscaler Beta 支援小組。
注意
Zscaler Beta 也支援自動使用者布建,您可以在這裡找到有關如何設定自動使用者布建的詳細資訊。
測試 SSO
在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登錄設定。
按兩下 [ 測試此應用程式],這會重新導向至您可以在其中起始登入流程的 Zscaler Beta 登入 URL。
直接移至 Zscaler Beta 登入 URL,然後從該處起始登入流程。
您可以使用 Microsoft 我的應用程式。 當您在 我的應用程式 中按兩下 Zscaler Beta 圖格時,這會重新導向至 Zscaler Beta 登入 URL。 如需詳細資訊,請參閱 Microsoft Entra 我的應用程式。
下一步
設定 Zscaler Beta 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控件會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控件。