Руководство по настройке Zscaler One для автоматической подготовки пользователей
В этом руководстве показано, как выполнить действия в Zscaler One и Идентификаторе Microsoft Entra, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и групп в Zscaler One.
Примечание.
В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Сведения о том, что делает эта служба, как она работает, и часто задаваемые вопросы см. в статье "Автоматизация подготовки пользователей и отмена подготовки к приложениям как услуга" с помощью идентификатора Microsoft Entra.
Необходимые компоненты
Сценарий, описанный в этом руководстве, предполагает, что у вас уже имеется:
- Клиент Microsoft Entra.
- клиент Zscaler One;
- учетная запись пользователя в Zscaler One с разрешениями администратора.
Примечание.
Интеграция подготовки Microsoft Entra зависит от API Zscaler One SCIM. Этот API доступен разработчикам Zscaler One для учетных записей с корпоративным пакетом.
Добавление Zscaler One из Azure Marketplace
Прежде чем настроить Zscaler One для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra, добавьте Zscaler One из Azure Marketplace в список управляемых приложений SaaS.
Чтобы добавить Zscaler One из Azure Marketplace, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
В разделе "Добавление из коллекции" введите Zscaler One и выберите Zscaler One на панели результатов. Нажмите Добавить, чтобы добавить приложение.
Назначение пользователей в Zscaler One
Идентификатор Microsoft Entra использует концепцию, называемую назначениями, чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки пользователей синхронизируются только пользователи или группы, назначенные приложению в идентификаторе Microsoft Entra ID.
Перед настройкой и включением автоматической подготовки пользователей решите, какие пользователи или группы в идентификаторе Microsoft Entra должны получить доступ к Zscaler One. Чтобы назначить этих пользователей или группы для Zscaler One, следуйте инструкциям в статье Назначение корпоративному приложению пользователя или группы.
Важные рекомендации по назначению пользователей в Zscaler One
Рекомендуется назначить одного пользователя Microsoft Entra Zscaler One для проверки конфигурации автоматической подготовки пользователей. Дополнительных пользователей или группы можно будет назначить позже.
При назначении пользователя в Zscaler One в диалоговом окне назначения выберите действительную роль для конкретного приложения (если доступно). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.
Настройка автоматической подготовки пользователей в Zscaler One
В этом разделе описаны действия по настройке службы подготовки Microsoft Entra. Используйте его для создания, обновления и отключения пользователей или групп в Zscaler One на основе назначений пользователей или групп в идентификаторе Microsoft Entra.
Совет
Для Zscaler One также можно включить единый вход на основе SAML. Выполните инструкции из статьи о настройке единого входа в Zscaler One. Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности хорошо дополняют друг друга.
Примечание.
При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство.
Настройка автоматической подготовки пользователей для Zscaler One в идентификаторе Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise Zscaler One.
Из списка приложений выберите Zscaler One.
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора заполните поля URL-адрес клиента и Секретный токен параметрами учетной записи Zscaler One, как описано на шаге 6.
Чтобы получить URL-адрес клиента и секретный токен, на пользовательском интерфейсе портала Zscaler One перейдите в меню Administration (Администрирование)>Authentication Settings (Параметры проверки подлинности). В разделе Authentication Type (Тип проверки подлинности) выберите SAML.
Выберите Configure SAML (Настроить SAML), чтобы открыть параметры настроек SAML.
Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), чтобы получить параметры для Base URL (Базовый URL-адрес) и Bearer Token (Токен носителя). После этого сохраните параметры. Скопируйте параметр базового URL-адреса в URL-адрес клиента. Скопируйте параметр маркера носителя в секретный токен.
После заполнения полей, показанных на шаге 5, выберите "Проверить подключение" , чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Zscaler One. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler One есть разрешения администратора, и повторите попытку.
В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки. Установите флажок Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler One.
Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler One в разделе "Сопоставления атрибутов ". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Zscaler One для операций обновления. Нажмите Сохранить, чтобы сохранить все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется Zscaler One userName Строка ✓ ✓ active Логический ✓ displayName Строка ✓ externalId Строка ✓ name.givenName Строка name.familyName Строка urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Строка ✓ В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Zscaler One.
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Zscaler One в разделе "Сопоставления атрибутов ". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Zscaler One для операций обновления. Нажмите Сохранить, чтобы сохранить все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется Zscaler One displayName Строка ✓ ✓ externalId Строка ✓ members Справочные материалы Чтобы настроить фильтры области, ознакомьтесь с инструкциями в статье Подготовка приложений на основе атрибутов с использованием фильтров области.
Чтобы включить службу подготовки Microsoft Entra для Zscaler One, в разделе "Параметры " измените состояние подготовки на "Вкл".
Определите пользователей или группы, которые требуется подготовить для Zscaler One. В разделе Параметры выберите нужные значения в разделе Область.
Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.
После этого начнется начальная синхронизация пользователей или групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Они выполняются примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.
В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра отчета о подготовке. В отчете описаны все действия, выполняемые службой подготовки Microsoft Entra в Zscaler One.
Сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Журналы изменений
- 16.05.2022 — Обнаружение схемы включено в этом приложении.
Дополнительные ресурсы
- Managing user account provisioning for enterprise apps in the Azure portal (Управление подготовкой учетных записей пользователей для корпоративных приложений на портале Azure)
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?