Tutorial: Konfigurieren von Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung

In diesem Tutorial werden die Schritte erläutert, die in Zscaler Private Access (ZPA) und Azure Active Directory (Azure AD) ausgeführt werden müssen, um Azure AD zum automatischen Bereitstellen und Aufheben der Bereitstellung von Benutzern und/oder Gruppen in Zscaler Private Access (ZPA) zu konfigurieren.

Hinweis

In diesem Tutorial wird ein Connector beschrieben, der auf dem Bereitstellungsdienst für Benutzer*innen für Microsoft Entra-Benutzer*innen basiert. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Voraussetzungen

Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Mandant
• Einen Zscaler Private Access (ZPA)-Mandanten
• Ein Benutzerkonto in Zscaler Private Access (ZPA) mit Administratorberechtigungen

Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

Microsoft Entra ID ermittelt anhand von Zuweisungen, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzer*innen werden nur die Benutzer*innen und/oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.

Vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung müssen Sie entscheiden, welche Benutzer und/oder Gruppen in Azure AD Zugriff auf Zscaler Private Access (ZPA) benötigen. Anschließend können Sie diese Benutzer und/oder Gruppen Zscaler Private Access (ZPA) wie folgt zuweisen:

• Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App

Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

• Es wird empfohlen, Zscaler Private Access (ZPA) einen einzelnen Azure AD-Benutzer zuzuweisen, um die Konfiguration der automatischen Benutzerbereitstellung zu testen. Später können weitere Benutzer und/oder Gruppen zugewiesen werden.

• Beim Zuweisen eines Benutzers zu Zscaler Private Access (ZPA) müssen Sie eine gültige anwendungsspezifische Rolle (sofern verfügbar) im Dialogfeld für die Zuweisung auswählen. Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen.

Einrichten von Zscaler Private Access (ZPA) für die Bereitstellung

1. Melden Sie sich bei Ihrer Zscaler Private Access (ZPA)-Verwaltungskonsole an. Navigieren Sie zu Administration > IdP Configuration (Verwaltung > IdP-Konfiguration).

   

2. Stellen Sie sicher, dass ein IdP für einmaliges Anmelden konfiguriert ist. Wenn kein IdP eingerichtet ist, fügen Sie einen hinzu, indem Sie auf das Pluszeichen in der oberen rechten Ecke des Bildschirms klicken.

   

3. Folgen Sie dem Assistenten zum Hinzufügen von IdP-Konfigurationen, um einen IdP hinzuzufügen. Übernehmen Sie im Feld Einmaliges Anmelden die Einstellung Benutzer. Geben Sie einen Namen an, und wählen Sie in der Dropdownliste die Domänen aus. Klicken Sie auf Weiter, um zum nächsten Fenster zu navigieren.

   

4. Laden Sie das Zertifikat des Dienstanbieters herunter. Klicken Sie auf Weiter, um zum nächsten Fenster zu navigieren.

   

5. Laden Sie im nächsten Fenster das Zertifikat des Dienstanbieters hoch, das Sie zuvor heruntergeladen haben.

   

6. Scrollen Sie nach unten, um die URL für einmaliges Anmelden und IdP Entity ID (IdP-Entitäts-ID) anzugeben.

   

7. Scrollen Sie nach unten zu Enable SCIM Sync (SCIM-Synchronisierung aktivieren). Klicken Sie auf die Schaltfläche Neues Token generieren. Kopieren Sie das Bearertoken. Dieser Wert wird auf der Registerkarte „Bereitstellung“ Ihrer Zscaler Private Access-Anwendung (ZPA) in das Feld „Geheimes Token“ eingegeben.

   

8. Navigieren Sie zu Administration > IdP Configuration (Verwaltung > IdP-Konfiguration), um die Mandanten-URL zu finden. Klicken Sie auf den Namen der neu hinzugefügten IdP-Konfiguration, der auf der Seite aufgeführt ist.

   

9. Scrollen Sie nach unten, um den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt) am Ende der Seite anzuzeigen. Kopieren Sie den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt). Dieser Wert wird auf der Registerkarte „Bereitstellung“ Ihrer Zscaler Private Access-Anwendung (ZPA) in das Feld „Mandanten-URL“ eingegeben.

   

Hinzufügen von Zscaler Private Access (ZPA) über den Katalog

Bevor Sie Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung mit Azure AD konfigurieren, müssen Sie Zscaler Private Access (ZPA) aus dem Azure AD-Anwendungskatalog zu Ihrer Liste verwalteter SaaS-Anwendungen hinzufügen.

Führen Sie die folgenden Schritte aus, um Zscaler Private Access (ZPA) aus dem Azure AD-Anwendungskatalog hinzuzufügen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Zscaler Private Access (ZPA) ein, und wählen Sie Zscaler Private Access (ZPA) im Suchfeld aus.
4. Wählen Sie im Ergebnisbereich Zscaler Private Access (ZPA) aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Konfigurieren der automatischen Benutzerbereitstellung in Zscaler Private Access (ZPA)

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern*innen bzw. Gruppen in SpaceIQ auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.

Tipp

Sie können auch das SAML-basierte einmalige Anmelden für Zscaler Private Access (ZPA) aktivieren. Befolgen Sie dazu die Anweisungen im SSO-Tutorial zu Zscaler Private Access (ZPA). Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.

Hinweis

Beim Bereitstellen oder Aufheben der Bereitstellung von Benutzern und Gruppen wird empfohlen, die Bereitstellung in regelmäßigen Abständen neu zu starten, um sicherzustellen, dass die Gruppenmitgliedschaften ordnungsgemäß aktualisiert werden. Durch einen Neustart wird der Dienst gezwungen, alle Gruppen neu auszuwerten und die Mitgliedschaften zu aktualisieren.

Hinweis

Weitere Informationen zum SCIM-Endpunkt von Zscaler Private Access finden Sie hier.

So konfigurieren Sie die automatische Benutzerbereitstellung für Zscaler Private Access (ZPA) in Azure AD:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Zscaler Private Access (ZPA).

   

3. Wählen Sie die Registerkarte Bereitstellung.

   

4. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

   

5. Geben Sie im Abschnitt Administratoranmeldeinformationen den Wert für SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt) ein, den Sie zuvor in Mandanten-URL abgerufen haben. Geben Sie den Wert für Bearertoken ein, den Sie zuvor unter Geheimes Token abgerufen haben. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Azure AD eine Verbindung mit Zscaler Private Access (ZPA) herstellen kann. Falls beim Verbindungsaufbau ein Fehler auftritt, stellen Sie sicher, dass Ihr Zscaler Private Access (ZPA)-Konto über Administratorberechtigungen verfügt, und versuchen Sie es noch einmal.

   

6. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

   

7. Klicken Sie auf Speichern.

8. Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Benutzer mit Zscaler One synchronisieren aus.

9. Überprüfen Sie im Abschnitt Attributzuordnung die Benutzerattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Zscaler Private Access (ZPA) für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

   Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Private Access
   userName	String	✓	✓
   externalId	String
   aktiv	Boolean
   emails[type eq "work"].value	String
   name.givenName	String
   name.familyName	String
   displayName	String
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String

10. Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Gruppen mit Zscaler One synchronisieren aus.

11. Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Zscaler Private Access (ZPA) für Updatevorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut	type	Unterstützung für das Filtern	Erforderlich für Zscaler Private Access
    displayName	String	✓	✓
    members	Verweis
    externalId	String

12. Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.

13. Ändern Sie im Bereich Einstellungen den Bereitstellungsstatus in Ein, um den Azure AD-Bereitstellungsdienst für Zscaler Private Access (ZPA) zu aktivieren.

    

14. Legen Sie die Benutzer und/oder Gruppen fest, die in Zscaler Private Access (ZPA) bereitgestellt werden sollen. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.

    

15. Wenn Sie fertig sind, klicken Sie auf Speichern.

    

Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird. Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Berichten zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Azure AD-Bereitstellungsdienst in Zscaler Private Access (ZPA) ausgeführt werden.

Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Nächste Schritte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen