Configurare Zscaler Private Access (ZPA) per il provisioning automatico degli utenti con Microsoft Entra ID

L'obiettivo di questo articolo è illustrare i passaggi da eseguire in Zscaler Private Access (ZPA) e Microsoft Entra ID per configurare Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning di utenti e/o gruppi in Zscaler Private Access (ZPA).

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • Amministratore di applicazioni
  • Amministratore di applicazioni cloud
  • proprietario dell'applicazione.

• Un tenant di Zscaler Private Access (ZPA)
• Un account utente in Zscaler Private Access (ZPA) con autorizzazioni di amministratore.

Passaggio 1: Assegnare utenti ad Zscaler Private Access (ZPA)

Per determinare quali utenti avranno l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle cosiddette assegnazioni. Nel contesto del provisioning automatico degli utenti vengono sincronizzati solo gli utenti e/o i gruppi che sono stati assegnati a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il provisioning automatico degli utenti, è necessario decidere su quali utenti e/o gruppi in Microsoft Entra ID devono avere accesso a Zscaler Private Access (ZPA). Dopo aver definito questo aspetto, è possibile assegnare gli utenti e/o i gruppi a Zscaler Private Access (ZPA) seguendo le istruzioni fornite qui:

• Assegnare un utente o gruppo a un'app aziendale

Suggerimenti importanti per assegnare gli utenti ad Zscaler Private Access (ZPA)

• È consigliabile assegnare un singolo utente di Microsoft Entra a Zscaler Private Access (ZPA) per testare la configurazione del provisioning utenti automatico. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

• Quando si assegna un utente a Zscaler Private Access (ZPA), è necessario selezionare qualsiasi ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning.

Passaggio 2: Configurare Zscaler Private Access (ZPA) per il provisioning

1. Accedere alla console di amministrazione di Zscaler Private Access (ZPA). Passare a Amministrazione > Configurazione IDP.

   

2. Assicurarsi che sia configurato un provider di identità per Single Sign-On. Se non è configurato alcun IdP, aggiungerlo selezionando l'icona del segno più nell'angolo in alto a destra della schermata.

   

3. Seguire la procedura guidata Add IdP Configuration per aggiungere un IdP. Lasciare il campo Single Sign-On impostato su User (Utente). Specificare un nome e selezionare i domini dall'elenco a discesa. Selezionare Avanti per passare alla finestra successiva.

   

4. Scaricare il certificato del provider di servizi. Selezionare Avanti per passare alla finestra successiva.

   

5. Nella finestra successiva caricare il certificato del provider di servizi scaricato in precedenza.

   

6. Scorrere verso il basso per specificare i valori per URL Single Sign-On e ID entità IdP.

   

7. Scorrere verso il basso fino a Abilitare la sincronizzazione SCIM. Selezionare il pulsante Genera nuovo token . Copiare il Bearer Token. Questo valore viene immesso nel campo Token segreto nella scheda Provisioning dell'applicazione Zscaler Private Access (ZPA).

   

8. Per individuare l'URL del tenant, passare a Amministrazione > Configurazione IdP. Selezionare il nome della configurazione IdP appena aggiunta elencata nella pagina.

   Screenshot del nome Idp di Zscaler Private Access (ZPA).

9. Scorrere verso il basso per visualizzare SCIM Service Provider Endpoint (Endpoint del provider di servizi SCIM) in fondo alla pagina. Copia il valore di SCIM Service Provider Endpoint. Questo valore viene immesso nel campo URL tenant nella scheda Provisioning dell'applicazione Zscaler Private Access (ZPA).

   

Passaggio 3: Aggiungere Zscaler Private Access (ZPA) dalla raccolta

Prima di configurare Zscaler Private Access (ZPA) per il provisioning utenti automatico con Microsoft Entra ID, è necessario aggiungere Zscaler Private Access (ZPA) dalla galleria delle applicazioni di Microsoft Entra all'elenco delle applicazioni SaaS gestite.

Per aggiungere Zscaler Private Access (ZPA) dalla raccolta di applicazioni Microsoft Entra, seguire questa procedura:

1. Accedi al Centro di amministrazione di Microsoft Entra almeno come Amministratore delle applicazioni cloud.

2. Naviga su Entra ID>Applicazioni aziendali>Nuova applicazione.

3. Nella sezione Aggiungi dalla raccolta digitare Zscaler Private Access (ZPA), selezionare Zscaler Private Access (ZPA) nella casella di ricerca.

4. Selezionare Zscaler Private Access (ZPA) nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tenant.

   

Passaggio 4: Configurare il provisioning automatico utente in Zscaler Private Access (ZPA)

Questa sezione illustra la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in Zscaler Private Access (ZPA) in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Configurare il provisioning automatico degli utenti per Zscaler Private Access (ZPA) in Microsoft Entra ID

1. Accedi al Centro di amministrazione di Microsoft Entra almeno come Amministratore delle applicazioni cloud.

2. Passare a Entra ID>Applicazioni aziendali>Zscaler Private Access (ZPA).

   

3. Selezionare la scheda Provisioning.

   

4. Selezionare + Nuova configurazione.

   

5. Nella sezione Credenziali amministratore immettere il valore dell'endpoint del provider di servizi SCIM recuperato in precedenza in URL tenant. Immettere il valore di Bearer Token recuperato in precedenza in Token segreto. Selezionare Test connessione per assicurarsi che Microsoft Entra ID possa connettersi a Zscaler Private Access (ZPA). Se la connessione non riesce, verificare che l'account Zscaler Private Access (ZPA) abbia autorizzazioni di amministratore e riprovare.

   Screenshot della connessione di test del provisioning.

6. Selezionare Crea per creare la configurazione.

7. Selezionare Proprietà nella pagina Panoramica .

8. Selezionare l'icona Modifica per modificare le proprietà. Abilitare i messaggi di posta elettronica di notifica e fornire un messaggio di posta elettronica per ricevere notifiche di quarantena. Abilitare la prevenzione delle eliminazioni accidentali. Seleziona Applica per salvare le modifiche.

   

9. Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.

10. Esamina gli attributi utente sincronizzati da Microsoft Entra ID a Zscaler Private Access (ZPA) nella sezione Mappatura attributi. Gli attributi selezionati come proprietà di corrispondenza vengono usati per abbinare gli account utente in Zscaler Private Access (ZPA) per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Tipo	Supportato per il filtraggio	Richiesto da Zscaler Private Access
    nome utente	Stringa	✓	✓
    Id esterno	Stringa
    attivo	Booleano
    emails[type eq "lavoro"].value	Stringa
    nome.nomeDato	Stringa
    nome.cognome	Stringa
    nome visualizzato	Stringa
    tipo di utente	Stringa
    nickName	Stringa
    titolo	Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dipartimento	Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Utente:centroCosto	corda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Stringa

11. Seleziona Gruppi.

12. Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a Zscaler Private Access (ZPA) nella sezione attributi di mappatura. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Zscaler Private Access (ZPA) per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Tipo	Supportato per il filtraggio	Richiesto da Zscaler Private Access
    nome visualizzato	Stringa	✓	✓
    membri	Riferimento
    Id esterno	Stringa

13. Per configurare i filtri di ambito, vedere le istruzioni fornite nell'articolo Filtro di ambito.

14. Usare il provisioning su richiesta per convalidare la sincronizzazione con un numero ridotto di utenti prima di distribuire in modo più ampio nell'organizzazione.

15. Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.

Passaggio 5: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
2. Controllare la barra di progresso per visualizzare lo stato del ciclo di provisioning e quanto vicino sia al completamento.
3. Se la configurazione del provisioning sembra essere in uno stato problematico, l'applicazione passa in quarantena. Ulteriori informazioni sugli stati di quarantena sono disponibili nell'articolo sullo stato di quarantena del provisioning delle applicazioni.

Risorse aggiuntive

• Gestione del provisioning degli account utente per le applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning