Руководство по настройке Zscaler Private Access (ZPA) для автоматической подготовки пользователей
Цель этого руководства — продемонстрировать действия, которые необходимо выполнить в Zscaler Private Access (ZPA) и Идентификаторе Microsoft Entra, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и /или групп в Zscaler Private Access (ZPA).
Примечание.
В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Необходимые компоненты
В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:
- Клиент Microsoft Entra
- клиент Zscaler Private Access (ZPA);
- учетная запись пользователя Zscaler Private Access (ZPA) с разрешениями администратора.
Назначение пользователей для Zscaler Private Access (ZPA)
Идентификатор Microsoft Entra использует концепцию, называемую назначениями, чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки пользователей синхронизируются только пользователи и (или) группы, назначенные приложению в идентификаторе Microsoft Entra.
Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и группы в идентификаторе Microsoft Entra ID должны иметь доступ к Zscaler Private Access (ZPA). Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler Private Access (ZPA), следуя приведенным ниже инструкциям.
Важные замечания о назначении пользователей для Zscaler Private Access (ZPA)
Рекомендуется, чтобы один пользователь Microsoft Entra назначен Zscaler Private Access (ZPA) для проверки конфигурации автоматической подготовки пользователей. Дополнительные пользователи и/или группы можно назначить позднее.
При назначении пользователя для Zscaler Private Access (ZPA) в диалоговом окне назначения нужно выбрать действительную роль для конкретного приложения (при наличии). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.
Настройка подготовки в Zscaler Private Access (ZPA)
Войдите в консоль администрирования Zscaler Private Access (ZPA). Перейдите в раздел Administration > IdP Configuration (Администрирование > Конфигурация поставщика удостоверений).
Убедитесь, что для единого входа настроен поставщик удостоверений. Если идентификатор не настроен, добавьте его, щелкнув значок плюса в правом верхнем углу экрана.
Выполните инструкции мастера настройки Add IdP Configuration (Добавление поставщиков удостоверений), чтобы добавить поставщик удостоверений. В поле Single sign-on (Единый вход) оставьте значение User (Пользователь). Укажите имя и выберите домены из раскрывающегося списка. Щелкните Next (Далее), чтобы перейти к следующему окну.
Скачайте Service Provider Certificate (Сертификат поставщика услуг). Щелкните Next (Далее), чтобы перейти к следующему окну.
В следующем окне отправьте скачанный ранее сертификат поставщика услуг.
Прокрутите страницу вниз, чтобы ввести значения Single sign-On URL (URL-адрес единого входа) и IdP Entity ID (Идентификатор сущности поставщика удостоверений).
Прокрутите вниз, чтобы включить синхронизацию SCIM. Нажмите кнопку "Создать маркер". Скопируйте значение Bearer Token (Токен носителя). Это значение будет введено в поле "Секретный маркер" на вкладке "Подготовка" приложения Zscaler Private Access (ZPA).
Чтобы найти значение Tenant URL (URL-адрес клиента), перейдите в раздел Administration > IdP Configuration (Администрирование > Конфигурация поставщика удостоверений). Щелкните имя недавно добавленной конфигурации поставщика удостоверений, которая отображается в списке на этой странице.
Прокрутите страницу вниз до элемента SCIM Service Provider Endpoint (Конечная точка SCIM поставщика услуг), который находится в самом низу страницы. Скопируйте значение SCIM Service Provider Endpoint (Конечная точка SCIM поставщика услуг). Это значение будет введено в поле URL-адреса клиента на вкладке подготовки приложения Zscaler Private Access (ZPA).
Добавление Zscaler Private Access (ZPA) из коллекции
Перед настройкой Zscaler Private Access (ZPA) для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо добавить Zscaler Private Access (ZPA) из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.
Чтобы добавить Zscaler Private Access (ZPA) из коллекции приложений Microsoft Entra, выполните следующие действия:
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе "Добавление из коллекции" введите Zscaler Private Access (ZPA) и выберите Zscaler Private Access (ZPA) в поле поиска.
- Выберите Zscaler Private Access (ZPA) в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Настройка автоматической подготовки пользователей в Zscaler Private Access (ZPA)
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и /или групп в Zscaler Private Access (ZPA) на основе назначений пользователей и групп в идентификаторе Microsoft Entra.
Совет
Вы также можете настроить для Zscaler Private Access (ZPA) единый вход на основе SAML, используя инструкции из руководства по единому входу для Zscaler Private Access (ZPA). Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности хорошо дополняют друг друга.
Примечание.
При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство.
Примечание.
Дополнительные сведения о конечной точке SCIM для Zscaler Private Access см. здесь.
Чтобы настроить автоматическую подготовку пользователей для Zscaler Private Access (ZPA) в идентификаторе Microsoft Entra:
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise Zscaler Private Access (ZPA).
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора введите в поле URL-адрес клиента полученное ранее значение SCIM Service Provider Endpoint (Конечная точка SCIM поставщика услуг). Введите полученное ранее значение Bearer Token (Токен носителя) в поле Секретный токен. Щелкните "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Zscaler Private Access (ZPA). Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler Private Access (ZPA) есть разрешения администратора, и повторите попытку.
В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Send an email notification when a failure occurs (Отправить уведомление по электронной почте при сбое).
Нажмите кнопку Сохранить.
В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler Private Access (ZPA).
Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler Private Access (ZPA) в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства Сопоставление, используются для сопоставления учетных записей пользователей в Zscaler Private Access (ZPA) при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется приватным доступом Zscaler userName Строка ✓ ✓ externalId Строка active Логический emails[type eq "work"].value Строка name.givenName Строка name.familyName Строка displayName Строка urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Строка В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Zscaler Private Access (ZPA).
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Zscaler Private Access (ZPA) в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства Сопоставление, используются для сопоставления групп в Zscaler Private Access (ZPA) при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется приватным доступом Zscaler displayName Строка ✓ ✓ members Справочные материалы externalId Строка Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.
Чтобы включить службу подготовки Microsoft Entra для Zscaler Private Access (ZPA), измените состояние подготовки на "Вкл ." в разделе "Параметры ".
Укажите пользователей или группы для подготовки в Zscaler Private Access (ZPA), выбрав нужные значения в поле Область раздела Параметры.
Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.
После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler Private Access (ZPA).
Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?