Samouczek: konfigurowanie usługi Zscaler Private Access (ZPA) na potrzeby automatycznej aprowizacji użytkowników
Celem tego samouczka jest zademonstrowanie kroków, które należy wykonać w usługach Zscaler Private Access (ZPA) i Microsoft Entra ID w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w usłudze Zscaler Private Access (ZPA).
Uwaga
W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa Microsoft Entra
- Dzierżawa Zscaler Private Access (ZPA)
- Konto użytkownika w usłudze Zscaler Private Access (ZPA) z uprawnieniami administratora.
Przypisywanie użytkowników do usługi Zscaler Private Access (ZPA)
Identyfikator Entra firmy Microsoft używa koncepcji nazywanej przypisaniami , aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy i/lub grupy przypisane do aplikacji w usłudze Microsoft Entra ID.
Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do usługi Zscaler Private Access (ZPA). Po podjęciu decyzji możesz przypisać tych użytkowników i/lub grupy do usługi Zscaler Private Access (ZPA), wykonując poniższe instrukcje:
Ważne porady dotyczące przypisywania użytkowników do usługi Zscaler Private Access (ZPA)
Zaleca się przypisanie pojedynczego użytkownika firmy Microsoft Entra do usługi Zscaler Private Access (ZPA), aby przetestować automatyczną konfigurację aprowizacji użytkowników. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.
Podczas przypisywania użytkownika do usługi Zscaler Private Access (ZPA) należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.
Konfigurowanie usługi Zscaler Private Access (ZPA) na potrzeby aprowizacji
Zaloguj się do konsoli administracyjnej usługi Zscaler Private Access (ZPA). Przejdź do pozycji Administracja > Konfiguracja dostawcy tożsamości.
Upewnij się, że skonfigurowano dostawcę tożsamości dla logowania jednokrotnego . Jeśli dostawca tożsamości nie jest skonfigurowany, dodaj go, klikając ikonę znaku plus w prawym górnym rogu ekranu.
Postępuj zgodnie z instrukcjami kreatora Dodawanie konfiguracji dostawcy tożsamości, aby dodać dostawcę tożsamości. Pozostaw pole Logowanie jednokrotne ustawione na Wartość Użytkownik. Podaj nazwę i wybierz pozycję Domeny z listy rozwijanej. Kliknij przycisk Dalej , aby przejść do następnego okna.
Pobierz certyfikat dostawcy usług. Kliknij przycisk Dalej , aby przejść do następnego okna.
W następnym oknie przekaż pobrany wcześniej certyfikat dostawcy usług.
Przewiń w dół, aby podać adres URL logowania jednokrotnego i identyfikator jednostki dostawcy tożsamości.
Przewiń w dół, aby włączyć synchronizację SCIM. Kliknij przycisk Generuj nowy token . Skopiuj token elementu nośnego. Ta wartość zostanie wprowadzona w polu Token tajny na karcie Aprowizacja aplikacji Zscaler Private Access (ZPA).
Aby zlokalizować adres URL dzierżawy, przejdź do pozycji Konfiguracja dostawcy tożsamości administracyjnej>. Kliknij nazwę nowo dodanej konfiguracji dostawcy tożsamości wymienionej na stronie.
Przewiń w dół, aby wyświetlić punkt końcowy dostawcy usług SCIM na końcu strony. Skopiuj punkt końcowy dostawcy usług SCIM. Ta wartość zostanie wprowadzona w polu Adres URL dzierżawy na karcie Aprowizacja aplikacji Zscaler Private Access (ZPA).
Dodawanie aplikacji Zscaler Private Access (ZPA) z galerii
Przed skonfigurowaniem usługi Zscaler Private Access (ZPA) na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy dodać aplikację Zscaler Private Access (ZPA) z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.
Aby dodać usługę Zscaler Private Access (ZPA) z galerii aplikacji Firmy Microsoft Entra, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wpisz Zscaler Private Access (ZPA), wybierz pozycję Zscaler Private Access (ZPA) w polu wyszukiwania.
- Wybierz pozycję Zscaler Private Access (ZPA) z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Zscaler Private Access (ZPA)
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze Zscaler Private Access (ZPA) na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.
Napiwek
Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Zscaler Private Access (ZPA), postępując zgodnie z instrukcjami podanymi w samouczku Zscaler Private Access (ZPA). Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.
Uwaga
W przypadku aprowizacji lub anulowania aprowizacji użytkowników i grup zalecamy okresowe ponowne uruchamianie aprowizacji, aby upewnić się, że członkostwa w grupach są prawidłowo aktualizowane. Wykonanie ponownego uruchomienia spowoduje, że nasza usługa ponownie oceni wszystkie grupy i zaktualizuje członkostwo.
Uwaga
Aby dowiedzieć się więcej na temat punktu końcowego SCIM usługi Zscaler Private Access, zapoznaj się z tym tematem.
Aby skonfigurować automatyczną aprowizację użytkowników dla usługi Zscaler Private Access (ZPA) w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>>Zscaler Private Access (ZPA).
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Poświadczenia administratora wprowadź wartość punktu końcowego dostawcy usług SCIM pobraną wcześniej w polu Adres URL dzierżawy. Wprowadź wartość tokenu elementu nośnego pobraną wcześniej w tokenie tajnym. Kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Zscaler Private Access (ZPA). Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto Zscaler Private Access (ZPA) ma uprawnienia administratora i spróbuj ponownie.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, i zaznacz pole wyboru — Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.
Kliknij przycisk Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Zscaler Private Access (ZPA).
Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Zscaler Private Access (ZPA) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Zscaler Private Access (ZPA) na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagany przez usługę Zscaler Private Access userName String ✓ ✓ externalId String aktywne Wartość logiczna emails[type eq "work"].value String name.givenName String name.familyName String displayName String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Zscaler Private Access (ZPA).
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Zscaler Private Access (ZPA) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w usłudze Zscaler Private Access (ZPA) na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagany przez usługę Zscaler Private Access displayName String ✓ ✓ członkowie Odwołanie externalId String Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Zscaler Private Access (ZPA), zmień stan aprowizacji na Wł . w sekcji Ustawienia .
Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Zscaler Private Access (ZPA), wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.
Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, który opisuje wszystkie akcje wykonywane przez usługę aprowizacji firmy Microsoft w usłudze Zscaler Private Access (ZPA).
Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.
Dodatkowe zasoby
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?