Tutorial: Configurar o ZPA (Zscaler Private Access) para o provisionamento automático de usuário

O objetivo deste tutorial é demonstrar as etapas a serem executadas no ZPA (Zscaler Private Access) e no Microsoft Entra ID para configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários e/ou grupos para o ZPA (Zscaler Private Access).

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:

• Um locatário do Microsoft Entra
• Um locatário do ZPA (Zscaler Private Access)
• Uma conta de usuário no ZPA (Zscaler Private Access) com Permissões de administrador.

Como atribuir usuários ao ZPA (Zscaler Private Access)

O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Para configurar e habilitar o provisionamento automático de usuário, decida quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao ZPA (Zscaler Private Access). Depois de decidir, você pode atribuir esses usuários e/ou grupos ao ZPA (Zscaler Private Access) seguindo estas instruções:

• Atribuir um usuário ou um grupo a um aplicativo empresarial

Dicas importantes para atribuir usuários ao ZPA (Zscaler Private Access)

• É recomendável que um usuário do Microsoft Entra seja atribuído ao ZPA (Zscaler Private Access) para testar a configuração de provisionamento automático de usuário. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

• Ao atribuir um usuário ao ZPA (Zscaler Private Access), é necessário selecionar qualquer função específica ao aplicativo válida (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o ZPA (Zscaler Private Access) para provisionamento

1. Entre no Console de Administração do ZPA (Zscaler Private Access). Navegue até Administração> Configuração de IdP.

   

2. Verifique se um IdP para Logon único está configurado. Se nenhum IdP for configurado, adicione um clicando no ícone do sinal de adição no canto superior direito da tela.

   

3. Siga o assistente Adicionar Configuração de IdP para adicionar um IdP. Deixe o campo Logon único definido como Usuário. Forneça um Nome e selecione os Domínios na lista suspensa. Clique em Avançar para navegar até a próxima janela.

   

4. Baixe o Certificado do Provedor de Serviços. Clique em Avançar para navegar até a próxima janela.

   

5. Na próxima janela, carregue o Certificado do Provedor de Serviços baixado anteriormente.

   

6. Role para baixo para fornecer a URL de Logon Único e a ID da Entidade IdP.

   

7. Role para baixo até Habilitar a Sincronização do SCIM. Clique no botão Gerar Novo Token. Copie o Token de Portador. Esse valor será inserido no campo Token Secreto na guia Provisionamento do aplicativo ZPA (Zscaler Private Access).

   

8. Para localizar a URL do Locatário, navegue até Administração > Configuração de IdP. Clique no nome da configuração de IdP recém-adicionada na página.

   

9. Role para baixo para ver o Ponto de Extremidade de Provedor de Serviços do SCIM no final da página. Copie o Ponto de Extremidade de Provedor de Serviços do SCIM. Esse valor será inserido no campo URL do Locatário na guia Provisionamento do aplicativo ZPA (Zscaler Private Access).

   

Adicionar o ZPA (Zscaler Private Access) da galeria

Antes de configurar o ZPA (Zscaler Private Access) para provisionamento automático de usuário com o Microsoft Entra ID, é necessário adicionar o ZPA (Zscaler Private Access) da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Para adicionar o ZPA (Zscaler Private Access) da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar por meio da galeria, digite ZPA (Zscaler Private Access) e selecione ZPA (Zscaler Private Access) na caixa de pesquisa.
4. Escolha ZPA (Zscaler Private Access) no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Configurar o provisionamento automático de usuário para o ZPA (Zscaler Private Access)

Essa seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Zscaler Private Access (ZPA) com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.

Dica

Você também pode optar por habilitar o logon único baseado em SAML para o ZPA (Zscaler Private Access) seguindo as instruções fornecidas no tutorial de logon único do ZPA (Zscaler Private Access). O logon único pode ser configurado de modo independente do provisionamento automático de usuário, embora os dois sejam complementares.

Observação

Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.

Observação

Para saber mais sobre o ponto de extremidade do SCIM do Zscaler Private Access, veja isto.

Para configurar o provisionamento automático de usuário para o ZPA (Zscaler Private Access) no Microsoft Entra ID:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>ZPA (Zscaler Private Access).

   

3. Selecione a guia Provisionamento.

   

4. Defina o Modo de Provisionamento como Automático.

   

5. Na seção Credenciais de Administrador, insira o valor Ponto de Extremidade de Provedor de Serviços do SCIM recuperado anteriormente em URL do Locatário. Insira o valor Token de Portador recuperado anteriormente no Token Secreto. Clique em Testar Conectividade para verificar se o Microsoft Entra ID pode se conectar ao ZPA (Zscaler Private Access). Se a conexão falhar, verifique se a sua conta do ZPA (Zscaler Private Access) tem permissões de administrador e tente novamente.

   

6. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção - Enviar uma notificação por email quando ocorrer uma falha.

   

7. Clique em Save (Salvar).

8. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o ZPA (Zscaler Private Access).

9. Examine os atributos de usuário sincronizados do Microsoft Entra ID com o ZPA (Zscaler Private Access) na seção Mapeamentos de Atributo. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no ZPA (Zscaler Private Access) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

   Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler Private Access
   userName	String	✓	✓
   externalId	String
   ativo	Boolean
   emails[type eq "work"].value	String
   name.givenName	String
   name.familyName	String
   displayName	String
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String

10. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o ZPA (Zscaler Private Access).

11. Examine os atributos de grupo sincronizados do Microsoft Entra ID com o ZPA (Zscaler Private Access) na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no ZPA (Zscaler Private Access) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Com suporte para filtragem	Exigido pelo Zscaler Private Access
    displayName	String	✓	✓
    membros	Referência
    externalId	String

12. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

13. Para habilitar o serviço de provisionamento do Microsoft Entra para o ZPA (Zscaler Private Access), altere o Status de Provisionamento para Ativado na seção Configurações.

    

14. Defina os usuários e/ou grupos que você gostaria de provisionar para o ZPA (Zscaler Private Access) escolhendo os valores desejados em Escopo na seção Configurações.

    

15. Quando estiver pronto para provisionar, clique em Salvar.

    

Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações. Observe que a sincronização inicial levará mais tempo do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para o relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no ZPA (Zscaler Private Access).

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento