Tutorial: Configuración de Zscaler One para el aprovisionamiento automático de usuarios
En este tutorial, se describen los pasos que debe realizar en Zscaler One y Microsoft Entra ID para configurar Microsoft Entra ID para aprovisionar y desaprovisionar automáticamente usuarios y grupos en Zscaler One.
Nota:
En este tutorial se describe un conector que se basa en el servicio de aprovisionamiento de usuarios de Microsoft Entra. Para obtener información sobre lo que este servicio hace, cómo funciona y las preguntas más frecuentes, consulte Qué es el aprovisionamiento automatizado de usuarios de aplicaciones (SaaS) en Microsoft Entra ID.
Requisitos previos
En el escenario que se describe en este tutorial se supone que ya cuenta con los elementos siguientes:
- Un inquilino de Microsoft Entra.
- Un inquilino de Zscaler One.
- Una cuenta de usuario de Zscaler One con permisos de administrador.
Nota:
La integración del aprovisionamiento de Microsoft Entra se basa en la API SCIM de Zscaler One. Esta API está disponible para los desarrolladores de Zscaler One para las cuentas con el paquete Enterprise.
Adición de Zscaler One desde Azure Marketplace
Antes de configurar Zscaler One para el aprovisionamiento automático de usuarios con Microsoft Entra ID, agregue Zscaler One desde Azure Marketplace en su lista de aplicaciones SaaS administradas.
Para eliminar Zscaler One de Marketplace, siga estos pasos.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
En la sección Agregar desde la galería, escriba Zscaler One y seleccione Zscaler One en el panel de resultados. Para agregar la aplicación, seleccione Agregar.
Asignación de usuarios a Zscaler One
Microsoft Entra ID usa un concepto denominado asignaciones para determinar qué usuarios deben recibir acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de usuarios solo se sincronizan los usuarios o grupos que se han asignado a una aplicación en Microsoft Entra ID.
Antes de configurar y habilitar el aprovisionamiento automático de usuarios, decida qué usuarios o grupos de Microsoft Entra ID necesitan acceder a Zscaler One. Para asignar estos usuarios o grupos a Zscaler One, siga las instrucciones de Asignación de un usuario o un grupo a una aplicación empresarial.
Sugerencias importantes para asignar usuarios a Zscaler One
Se recomienda asignar primero un usuario individual de Microsoft Entra a Zscaler One, para probar la configuración del aprovisionamiento automático de usuarios. Asigne usuarios o grupos adicionales más tarde.
Cuando asigne un usuario a Zscaler One, seleccione un rol específico de la aplicación válido (si está disponible) en el cuadro de diálogo de asignación. Los usuarios con el rol de Acceso predeterminado quedan excluidos del aprovisionamiento.
Configuración del aprovisionamiento automático de usuarios en Zscaler One
Esta sección le guía por los pasos para configurar el servicio de aprovisionamiento de Microsoft Entra. Úsela para crear, actualizar y deshabilitar usuarios o grupos en Zscaler One en función de las asignaciones de usuarios o grupos en Zscaler One ID.
Sugerencia
También puede habilitar el inicio de sesión único basado en SAML para Zscaler One. Si lo hace, siga las instrucciones del Tutorial del inicio de sesión único de Zscaler One. El inicio de sesión único puede configurarse independientemente del aprovisionamiento automático de usuarios, aunque estas dos características se complementan entre sí.
Nota:
Cuando se aprovisionan o se desaprovisionan usuarios y grupos, se recomienda reiniciar el aprovisionamiento periódicamente para garantizar que las pertenencias a grupos se actualicen correctamente. Al ejecutar un reinicio, el servicio tendrá que evaluar de nuevo todos los grupos y actualizar las pertenencias.
Configuración del aprovisionamiento automático de usuarios para Zscaler One en Microsoft Entra ID
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Zscaler One.
En la lista de aplicaciones, seleccione Zscaler One.
Seleccione la pestaña Aprovisionamiento.
Establezca el modo de aprovisionamiento en Automático.
En la sección Credenciales de administrador, rellene los cuadros de URL de inquilino y Token secreto con las opciones de configuración para la cuenta de Zscaler One, como se describe en el paso 6.
Para obtener los valores de la URL de inquilino y el Token secreto, vaya a Administración>Configuración de autenticación en la interfaz de usuario del portal de Zscaler One. En Tipo de autenticación, seleccione SAML.
Seleccione Configure SAML (Configurar SAML) para abrir las opciones de Configure SAML (Configurar SAML).
Seleccione Enable SCIM-Based Provisioning (Habilitar aprovisionamiento basado en SCIM) para recuperar la configuración de URL base y Token de portador. Después, guarde la configuración. Copie la configuración de URL Base en la URL del inquilino. Copie la configuración de Token portador en Token secreto.
Después de rellenar los cuadros que se muestran en el paso 5, seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a Zscaler One. Si la conexión no se establece, asegúrese de que la cuenta de Zscaler One tiene permisos de administrador e inténtelo de nuevo.
En el cuadro Correo electrónico de notificación, escriba la dirección de correo electrónico de la persona o el grupo que deben recibir las notificaciones de error de aprovisionamiento. Seleccione la casilla Enviar una notificación por correo electrónico cuando se produzca un error.
Seleccione Guardar.
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con Zscaler One.
Revise los atributos de usuario que se sincronizan entre Microsoft Entra ID y Zscaler One en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias entre las cuentas de usuario de Zscaler One con el objetivo de realizar operaciones de actualización. Para guardar los cambios, seleccione Guardar.
Attribute Tipo Compatible con el filtrado Requerido por Zscaler One userName String ✓ ✓ active Boolean ✓ DisplayName String ✓ externalId String ✓ name.givenName String name.familyName String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ En la sección Asignaciones, seleccione Sincronizar grupos de Microsoft Entra con Zscaler One.
Revise los atributos de grupo que se sincronizan entre Microsoft Entra ID y Zscaler One en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con los grupos de Zscaler One para las operaciones de actualización. Para guardar los cambios, seleccione Guardar.
Attribute Tipo Compatible con el filtrado Requerido por Zscaler One DisplayName String ✓ ✓ externalId String ✓ members Referencia Para configurar filtros de ámbito, consulte las instrucciones del tutorial sobre filtros de ámbito.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para Zscaler One, en la sección Configuración, cambie el Estado de aprovisionamiento a Activado.
Defina los usuarios o grupos que quiere que se aprovisionen en Zscaler One. En la sección Configuración, seleccione los valores que quiere incluir en el Ámbito.
Cuando esté listo para realizar el aprovisionamiento, seleccione Guardar.
Esta operación inicia la sincronización inicial de todos los usuarios o grupos definidos en Ámbito en la sección Configuración. La sincronización inicial tarda más tiempo en realizarse que las sincronizaciones posteriores. Se producen aproximadamente cada 40 minutos mientras se ejecuta el servicio de aprovisionamiento de Microsoft Entra.
Puede usar la sección Detalles de sincronización para supervisar el progreso y hacer clic en los vínculos al informe de actividad de aprovisionamiento. En el informe se describen todas las acciones que el servicio de aprovisionamiento de Microsoft Entra realiza en Zscaler One.
Para obtener información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
Registros de cambios
- 16/05/2022: La característica Detección de esquemas se ha habilitado en esta aplicación.
Recursos adicionales
- Administración del aprovisionamiento de cuentas de usuario para aplicaciones empresariales
- ¿Qué es el acceso a aplicaciones y el inicio de sesión único con Microsoft Entra ID?