Integrare Zscaler Private Access (ZPA) con Microsoft Entra ID

Questo articolo descrive come integrare Zscaler Private Access (ZPA) con Microsoft Entra ID. Integrando Zscaler Private Access (ZPA) con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a Zscaler Private Access (ZPA).
• Permettere agli utenti di accedere automaticamente a Zscaler Private Access (ZPA) con i loro account Microsoft Entra.
• Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • Amministratore delle Applicazioni
  • amministratore di applicazioni cloud
  • Proprietario dell'applicazione.

• Abbonamento abilitato per il Single Sign-On (SSO) di Zscaler Private Access (ZPA).

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente Microsoft Entra US Government Cloud. È possibile trovare questa applicazione nella raccolta di applicazioni cloud Microsoft Entra US Government e configurarla nello stesso modo in cui si esegue dal cloud pubblico.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

• Zscaler Private Access (ZPA) supporta il Single Sign-On avviato da SP.
• Zscaler Private Access (ZPA) supporta il provisioning automatizzato degli utenti.

Nota

L'identificatore di questa applicazione è un valore stringa fisso, quindi è possibile configurare una sola istanza in un tenant.

Aggiungere Zscaler Private Access (ZPA) dal catalogo

Per configurare l'integrazione di Zscaler Private Access (ZPA) in Microsoft Entra ID, è necessario aggiungere Zscaler Private Access (ZPA) dalla raccolta all'elenco di app SaaS gestite.

1. Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di applicazioni cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta, digitare nella casella di ricerca Zscaler Private Access (ZPA).
4. Selezionare Zscaler Private Access (ZPA) nel pannello dei risultati e quindi aggiungere l'app. Attendere qualche secondo mentre l'applicazione viene aggiunta al tenant.

In alternativa, è possibile utilizzare anche la Procedura guidata di configurazione delle app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Scopri di più sugli strumenti avanzati di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per Zscaler Private Access (ZPA)

Configurare e testare l'accesso SSO di Microsoft Entra con Zscaler Private Access (ZPA) usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Zscaler Private Access (ZPA).

Per configurare e testare l'accesso SSO di Microsoft Entra con Zscaler Private Access (ZPA), seguire questa procedura:

1. Configurare l'accesso Single Sign-On di Microsoft Entra: per consentire agli utenti di usare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
   2. Assegnare l'utente di test di Microsoft Entra per abilitare B.Simon all'uso del single sign-on di Microsoft Entra.
2. Configurare il Single Sign-On di Zscaler Private Access (ZPA): per configurare le impostazioni di Single Sign-On nell'applicazione.
   1. Creare un utente per il test di Zscaler Private Access (ZPA), per avere una controparte di B.Simon in Zscaler Private Access (ZPA) collegata alla rappresentazione dell'utente in Microsoft Entra.
3. Testare SSO: per verificare se la configurazione funziona.

Configurare SSO di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.

2. Passare alla pagina di integrazione dell'applicazione Identity>Applications>Enterprise applications>Zscaler Private Access (ZPA), individuare la sezione Gestisci e selezionare accesso singolo.

3. Nella pagina Seleziona un metodo single sign-on, scegli SAML.

4. Nella pagina Configura Singolo Sign-On con SAML, fare clic sull'icona a forma di matita per la Configurazione SAML di Base per modificare le impostazioni.

   

5. Nella pagina Configurazione SAML di base, seguire questa procedura:

   1. Nella casella di testo Identificatore (ID entità), digitare l'URL: https://samlsp.private.zscaler.com/auth/metadata

   2. Nella casella di testo URL di accesso digitare un URL usando il modello seguente: https://samlsp.private.zscaler.com/auth/login?domain=<DOMAIN_NAME>

   Nota

   Il valore url di accesso non è reale. Aggiornare il valore con l'URL di accesso effettivo. Per ottenere il valore, contattare il team di supporto clienti di Zscaler Private Access (ZPA) . È anche possibile fare riferimento ai modelli illustrati nella sezione configurazione SAML di base.

6. Nella pagina Configura Single Sign-On con SAML, nella sezione Certificato di firma SAML, individuare Metadati XML della federazione e selezionare Download per scaricare il certificato e salvarlo nel computer.

   

7. Nella sezione Configurare Zscaler Private Access (ZPA) copiare gli URL appropriati in base alle esigenze.

   

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome Britta Simon.

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore utenti .
2. Navigare fino a Identità>Utenti>Tutti gli utenti.
3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
4. Nelle proprietà User seguire questa procedura:
   1. Nel campo Nome visualizzato immettere B.Simon.
   2. Nel campo Nome principale utente immettere il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
   3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
   4. Selezionare Rivedi e crea.
5. Selezionare Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione, abiliterai B.Simon all'uso di Single Sign-On concedendo l'accesso a Zscaler Private Access (ZPA).

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore delle applicazioni cloud.
2. Navigare su Identity>Applications>Enterprise applications>Zscaler Private Access (ZPA).
3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
   1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
   2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
   3. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Configurare Zscaler Private Access (ZPA) per l'autenticazione unica (Single Sign-On)

1. In un'altra finestra del Web browser accedere al sito aziendale di Zscaler Private Access (ZPA) come amministratore

2. Nella barra laterale del menu, fare clic su Amministrazione e passare alla sezione AUTHENTICATION. Fare clic su Configurazione IdP.

   

3. Nell'angolo superiore destro fare clic su Aggiungi configurazione IdP.

   

4. Nella pagina Aggiungi configurazione IdP seguire questa procedura:

   

   un. Fare clic su Seleziona file per caricare il file di metadati scaricato da Microsoft Entra ID nel campo Caricamento file di metadati IdP.

   b. Legge i metadati IdP dall'ID Entra di Microsoft e popola tutte le informazioni sui campi, come illustrato di seguito.

   

   c. Seleziona il tuo dominio dal campo Domini.

   d. Fare clic su Salva.

Creare l'utente di test di Zscaler Private Access (ZPA)

In questa sezione viene creato un utente di nome Britta Simon in Zscaler Private Access (ZPA). Per favore, collabora con il team di supporto di Zscaler Private Access (ZPA) per aggiungere gli utenti alla piattaforma Zscaler Private Access (ZPA).

Zscaler Private Access (ZPA) supporta anche il provisioning automatico degli utenti. Per ulteriori informazioni su come configurare il provisioning automatico degli utenti, vedere qui .

Testare l'SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

• Clicca su Prova questa applicazione, verrai reindirizzato all'URL di sign-in di Zscaler Private Access (ZPA) dove potrai avviare la procedura di accesso.

• Passare direttamente all'URL di accesso di Zscaler Private Access (ZPA) e avviare il flusso di accesso da questa posizione.

• È possibile usare Microsoft My Apps. Quando si fa clic sul riquadro Zscaler Private Access (ZPA) in Le mie app, si verrà reindirizzati all'URL di accesso Zscaler Private Access (ZPA). Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Contenuto correlato

Dopo aver configurato Zscaler Private Access (ZPA), è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.