Поделиться через

Руководство по настройке Zscaler Beta для автоматической подготовки пользователей

  • Статья

Цель этого руководства — продемонстрировать действия, которые необходимо выполнить в Zscaler Beta и Microsoft Entra ID, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и (или) групп в Zscaler Beta.

Примечание.

В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Необходимые компоненты

Сценарий, описанный в этом руководстве, предполагает, что у вас уже имеется:

  • Клиент Microsoft Entra
  • клиент Zscaler (бета-версия);
  • учетная запись пользователя в Zscaler (бета-версия) с разрешениями администратора.

Примечание.

Интеграция подготовки Microsoft Entra зависит от API Zscaler Beta SCIM, который доступен разработчикам Zscaler Beta для учетных записей с пакетом Enterprise.

Перед настройкой Zscaler Beta для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra ID необходимо добавить Zscaler Beta из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.

Чтобы добавить Zscaler Beta из коллекции приложений Microsoft Entra, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

  3. В поле поиска введите Zscaler Beta, выберите Zscaler Beta на панели результатов и нажмите кнопку Добавить, чтобы добавить это приложение.

    Zscaler Beta в списке результатов

Назначение пользователей в Zscaler (бета-версия)

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки пользователей синхронизируются только пользователи и (или) группы, которые были назначены приложению в идентификаторе Microsoft Entra.

Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и группы в идентификаторе Microsoft Entra ID должны иметь доступ к Zscaler Beta. Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler (бета-версия), следуя инструкциям:

Важные рекомендации по назначению пользователей в Zscaler (бета-версия)

  • Рекомендуется, чтобы один пользователь Microsoft Entra назначил Zscaler Beta для проверки конфигурации автоматической подготовки пользователей. Дополнительные пользователи и/или группы можно назначить позднее.

  • При назначении пользователя в Zscaler (бета-версия) в диалоговом окне назначения необходимо выбрать действительную роль для конкретного приложения (если это доступно). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.

Настройка автоматической подготовки пользователей в Zscaler (бета-версия)

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Zscaler Beta на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Совет

Для Zscaler (бета-версия) также можно включить единый вход на основе SAML. Для этого следуйте инструкциям, приведенным в руководстве по единому входу в Zscaler (бета-версия). Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности хорошо дополняют друг друга.

Примечание.

При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство.

Чтобы настроить автоматическую подготовку пользователей для Zscaler Beta в идентификаторе Microsoft Entra ID:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Zscaler Beta.

    Колонка

  3. Из списка приложений выберите Zscaler Beta.

    Ссылка на Zscaler Beta в списке приложений

  4. Выберите вкладку Подготовка.

    На ней есть список вкладок, упорядоченных по категориям, с названием Zscaler Beta — Provisioning / Enterprise Application (Бета-версия Zscaler — подготовка / корпоративное приложение). Выбрана вкладка Provision (Подготовка) в категории Manage (Управление).

  5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Снимок экрана: параметр

  6. В разделе Admin Credentials (Учетные данные администратора) заполните поля Tenant URL (URL-адрес клиента) и Secret Token (Секретный токен) учетной записи Zscaler (бета-версия), как описано на шаге 6.

  7. Чтобы получить URL-адрес клиента и секретный токен, перейдите в раздел Administration > Authentication Settings (Администрирование > Параметры проверки подлинности) в пользовательском интерфейсе бета-версии портала Zscaler и выберите SAML в разделе Authentication Type (Тип проверки подлинности).

    На экране Authentication Settings (Параметры проверки подлинности) в разделе Authentication Profile (Профиль проверки подлинности) для параметра Directory Type (Тип каталога) выбрано значение Hosted DB, а для параметра Authentication Type (Тип проверки подлинности) — SAML.

    Выберите Configure SAML (Настроить SAML), чтобы открыть параметры настройки SAML.

    На экране Configure SAML (Настройка SAML) выбраны параметры Enable SAML Auto-Provisioning (Включить автоматическую подготовку SAML) и Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM). Выделены текстовые поля Base URL (Базовый URL-адрес) и Bearer Token (Токен носителя).

    Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), чтобы получить базовый URL-адрес и токен носителя, а затем сохраните настройки. Скопируйте базовый URL-адрес в URL-адрес клиента и маркер носителя в секретный маркер.

  8. После заполнения полей, показанных на шаге 5, щелкните "Проверить подключение" , чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Zscaler Beta. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler (бета-версия) есть разрешения администратора, и повторите попытку.

    Снимок экрана: токен.

  9. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Send an email notification when a failure occurs (Отправить уведомление по электронной почте при сбое).

    Текстовое поле Notification Email (Уведомление по электронной почте) пустое, а флажок Send an email notification when a failure occurs (Отправлять уведомление по электронной почте при сбое) снят.

  10. Нажмите кнопку Сохранить.

  11. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler Beta.

  12. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler Beta в разделе "Сопоставление атрибутов". Атрибуты, выбранные как совпадающие свойства, используются для сопоставления учетных записей пользователей в Zscaler (бета-версия) для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации Требуется Zscaler Beta
    userName Строка
    externalId Строка
    active Логический
    name.givenName Строка
    name.familyName Строка
    displayName Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Строка

  13. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Zscaler Beta.

  14. Просмотрите атрибуты группы, синхронизированные с Идентификатором Microsoft Entra с Zscaler Beta в разделе "Сопоставления атрибутов ". Атрибуты, выбранные как совпадающие свойства, используются для сопоставления групп в Zscaler (бета-версия) для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации Требуется Zscaler Beta
    displayName Строка
    members Справочные материалы
    externalId Строка

  15. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

  16. Чтобы включить службу подготовки Microsoft Entra для Zscaler Beta, измените состояние подготовки на "Включено " в разделе "Параметры ".

    Для параметра Provisioning Status (Состояние подготовки) выбрано значение On (Вкл.).

  17. Определите пользователей и (или) группы для подготовки в Zscaler (бета-версия), выбрав нужные значения в поле Scope (Область) в разделе Settings (Параметры).

    Показан раскрывающийся список Scope (Область) и выбран параметр Sync only assigned users and groups (Синхронизация только назначенных пользователей и групп). Другое доступное значение — Sync all users and groups (Синхронизация всех пользователей и групп).

  18. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    Снимок экрана: сохранение конфигурации подготовки.

После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler Beta.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Дополнительные ресурсы

Следующие шаги