Поделиться через

Интеграция единого входа в систему Microsoft Entra с Zscaler Internet Access ZSNet

  • Статья

В этой статье вы узнаете, как интегрировать Zscaler Internet Access ZSNet с идентификатором Microsoft Entra. Интегрируя Zscaler Internet Access ZSNet с Microsoft Entra ID, вы можете:

  • Контроль того, кто имеет доступ к Zscaler Internet Access ZSNet через Microsoft Entra ID.
  • Включите автоматический вход пользователей в Zscaler Internet Access ZSNet с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном центральном месте.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Zscaler Internet Access ZSNet с включённой поддержкой SSO (единого входа).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию Zscaler Internet Access ZSNet с идентификатором Microsoft Entra ID, необходимо добавить Zscaler Internet Access ZSNet из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
  2. Перейдите к Identity>приложениям>Enterprise>New application.
  3. В разделе Добавление из коллекции в поле поиска введите Zscaler Internet Access ZSNet.
  4. Выберите Zscaler Internet Access ZSNet на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа (единой аутентификации) Microsoft Entra для Zscaler Internet Access ZSNet

Настройте и проверьте единый вход Microsoft Entra в Zscaler Internet Access ZSNet с помощью тестового пользователя B.Simon. Для того чтобы единый вход работал, необходимо установить связующую связь между пользователем Microsoft Entra и соответствующим пользователем в Zscaler Internet Access ZSNet.

Чтобы настроить и проверить единый вход Microsoft Entra в Zscaler Internet Access ZSNet, выполните следующие действия.

  1. Настройте Единую запись Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначить тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать функцию единого входа в Microsoft Entra.
  2. Настройка единого входа ZSNet ZSNet zscaler Internet Access — настройка параметров единого Sign-On на стороне приложения.
    1. Создать тестового пользователя Zscaler Internet Access ZSNet — чтобы иметь аналог B.Simon в Zscaler Internet Access ZSNet, связанный с представлением пользователя Microsoft Entra.
  3. тест SSO, чтобы проверить, работает ли конфигурация.

Настройте SSO Microsoft Entra

Выполните следующие действия, чтобы включить единый вход в систему (SSO) Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra, имея уровень доступа не ниже администратора облачных приложений.

  2. Перейдите на страницу интеграции приложений Identity>Приложений>Корпоративные приложения>Zscaler Internet Access ZSNet, найдите раздел "Управление" и выберите Система единого входа.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Set up Single Sign-On с SAML нажмите на значок карандаша в основной конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. В разделе Базовая конфигурация SAML введите значения для следующих полей:

    В текстовом поле URL-адреса входа введите URL-адрес, используя следующий шаблон: https://<companyname>.zscaler.net

    Заметка

    Значение нереальное. Обновите значение реальным URL-адресом Sign-On. Чтобы получить это значение, обратитесь к группе поддержки Zscaler Internet Access ZSNet. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  6. Приложение Zscaler Internet Access ZSNet ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию. Щелкните значок "Изменить", чтобы открыть диалоговое окно атрибутов пользователя.

    снимок экрана: атрибуты пользователя с выбранным значком

  7. Помимо выше, приложение Zscaler Internet Access ZSNet ожидает несколько дополнительных атрибутов в ответе SAML. В разделе утверждений пользователей в диалоговом окне атрибутов пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в следующей таблице:

    Имя Исходный атрибут
    член user.assignedroles

    a. Щелкните Добавить новое требование, чтобы открыть диалоговое окно "Управление требованиями пользователей".

    b. В текстовом поле Name введите имя атрибута, отображаемое для этой строки.

    c. Оставьте пространство имен пустым.

    d. Выберите как источник атрибута.

    e. В списке атрибута Источника введите значение атрибута, отображаемое для этой строки.

    f. Нажмите кнопку Сохранить.

    Заметка

    Щелкните здесь, чтобы узнать, как настроить роль в Microsoft Entra ID.

  8. На странице Настройка единого Sign-On с помощью SAML в разделе сертификат подписи SAML найдите сертификат (Base64) и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    ссылку на скачивание сертификата

  9. В разделе Настройка Zscaler Internet Access ZSNet скопируйте соответствующие URL-адреса в зависимости от ваших требований.

    Скопируйте URL-адреса конфигурации

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в центр администрирования Microsoft Entra как минимум User Administrator.
  2. Перейдите к Identity>Users>All users.
  3. Выберите Новый пользователь>Создать нового пользователя, в верхней части экрана.
  4. В свойствах user выполните следующие действия.
    1. В поле Отображаемое имя введите B.Simon.
    2. В поле имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
    4. Выберите : Проверка и создание.
  5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Zscaler Internet Access ZSNet.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора облачного приложения.
  2. Перейдите в Identity>Приложения>Корпоративные приложения>Zscaler Internet Access ZSNet.
  3. На странице обзора приложения найдите раздел "Управление" и выберите "Пользователи и группы".
  4. Выберите Добавить пользователя, а затем в диалоговом окне Добавить назначение выберите Пользователи и группы.
  5. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
  6. Если вы настроили роли, как это описано выше, вы можете выбрать нужную роль в раскрывающемся списке Выбрать роль.
  7. В диалоговом окне Добавить задание нажмите кнопку Назначить.

Настройка единого входа Zscaler Internet Access ZSNet

  1. В другом окне веб-браузера войдите на корпоративный сайт Zscaler Internet Access ZSNet от имени администратора.

  2. Перейдите в раздел Администрирование > Аутентификация > Настройки аутентификации и выполните следующие действия.

    снимок экрана показывает сайт Zscaler One с шагами, как описано.

    a. В разделе "Тип проверки подлинности" выберите SAML.

    b. Щелкните НастроитьSAML.

  3. В окне Изменение параметров SAML выполните следующие действия и нажмите "Сохранить".

    Управление пользователями & Аутентификация

    a. В текстовое поле URL-адрес портала SAML вставьте URL-адрес входа ..

    b. В текстовом поле атрибут имени входа введите NameID.

    c. Щелкните Загрузить, чтобы загрузить сертификат подписи Azure SAML, скачанный с портала Azure, в Общедоступный SSL-сертификат.

    d. Переключите включение автоматического предоставления SAML.

    e. Введите displayName в текстовом поле атрибута отображаемого имени пользователя, если вы хотите включить автоматическое предоставление SAML для атрибутов displayName.

    f. В текстовом поле атрибута имени группы введите memberOf, если требуется включить автоматическое предоставление SAML для атрибутов memberOf.

    g. В атрибуте имени отдела введите отдел, если вы хотите включить автоматическое предоставление SAML для атрибутов отдела.

    h. Нажмите кнопку Сохранить.

  4. На странице диалогового окна настройка проверки подлинности пользователей выполните следующие действия.

    снимок экрана: диалоговое окно

    a. Наведите указатель мыши на меню активации в левом нижнем углу.

    b. Нажмите Активировать.

Настройка параметров прокси-сервера

Настройка параметров прокси-сервера в Internet Explorer

  1. Запустите Internet Explorer.

  2. Выберите "Параметры интернета" в меню "Инструменты", чтобы открыть диалоговое окно "Параметры интернета".

    Internet Options

  3. Перейдите на вкладку подключения.

    Подключения

  4. Щелкните Параметры локальной сети, чтобы открыть диалоговое окно Параметры локальной сети.

  5. В разделе прокси-сервера выполните следующие действия.

    прокси-сервер

    a. Выберите Использовать прокси-сервер для локальной сети.

    b. В текстовом поле "Адрес" введите gateway.zscaler.net.

    c. В текстовом поле "Порт" введите 80.

    d. Выберите обход прокси-сервера для локальных адресов.

    e. Нажмите кнопку ОК, чтобы закрыть диалоговое окно параметров локальной сети.

  6. Нажмите ОК, чтобы закрыть диалоговое окно "Параметры".

Создание тестового пользователя Zscaler Internet Access ZSNet

В этом разделе пользователь с именем Britta Simon создается в Zscaler Internet Access ZSNet. Zscaler Internet Access ZSNet поддерживает динамическую подготовку пользователей, которая включена по умолчанию. В этом разделе отсутствует элемент действия. Если пользователь еще не существует в Zscaler Internet Access ZSNet, он создается после проверки подлинности.

Заметка

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки Zscaler Internet Access ZSNet .

Проверка единого входа (SSO)

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните на ссылке тестового доступа к приложению, вы будете перенаправлены по URL-адресу Zscaler Internet Access ZSNet, где вы можете начать процесс входа.

  • Перейдите непосредственно по URL-адресу для входа в Zscaler Internet Access ZSNet и начните процесс входа.

  • Вы можете использовать Microsoft My Apps. Щелкнув на плитке Zscaler Internet Access ZSNet в разделе "Мои приложения", вы будете перенаправлены на URL-адрес для входа в Zscaler Internet Access ZSNet. Дополнительные сведения о моих приложениях см. в разделе Введение в"Мои приложения".

Связанное содержимое

После настройки Zscaler Internet Access ZSNet вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в реальном времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.