Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo demonstra as etapas a serem executadas no Zscaler One e no Microsoft Entra ID para configurar o Microsoft Entra ID para provisionar e desprovisionar automaticamente usuários e grupos para o Zscaler One.
Nota
Este artigo descreve um conector desenvolvido com base no serviço de provisionamento de utilizadores do Microsoft Entra. Para obter informações sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS (software como serviço) com o Microsoft Entra ID.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você tenha:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente. - Uma das seguintes funções: - Administrador de Aplicações - Administrador de Aplicações Cloud - Proprietário de Aplicações..
- Um inquilino Zscaler One.
- Uma conta de utilizador no Zscaler One com permissões de administrador.
Nota
A integração de provisionamento do Microsoft Entra depende da API SCIM do Zscaler One. Esta API está disponível para programadores Zscaler One para contas com o pacote Enterprise.
Passo 1: Adicionar Zscaler One a partir do Azure Marketplace
Antes de configurar o Zscaler One para provisionamento automático de utilizadores com o Microsoft Entra ID, adicione o Zscaler One do Azure Marketplace à sua lista de aplicações SaaS geridas.
Para adicionar o Zscaler One a partir do Marketplace, siga estes passos.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Entra ID>Enterprise apps>Novo aplicativo.
Na seção Adicionar da galeria, digite Zscaler One e selecione Zscaler One no painel de resultados. Para adicionar o aplicativo, selecione Adicionar.
Passo 2: Atribuir utilizadores ao Zscaler One
O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuários, somente os usuários ou grupos atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.
Antes de configurar e habilitar o provisionamento automático de usuários, decida quais usuários ou grupos no Microsoft Entra ID precisam de acesso ao Zscaler One. Para atribuir estes utilizadores ou grupos ao Zscaler One, siga as instruções em Atribuir um utilizador ou grupo a uma aplicação empresarial.
Sugestões importantes para atribuir utilizadores ao Zscaler One
Recomendamos que atribua um único utilizador do Microsoft Entra ao Zscaler One para testar a configuração de aprovisionamento automático de utilizadores. Você pode atribuir usuários ou grupos adicionais mais tarde.
Quando atribuir um utilizador ao Zscaler One, selecione qualquer função válida específica da aplicação, se disponível, na caixa de diálogo de atribuição. Os utilizadores com a função Acesso Padrão são excluídos do provisionamento.
Passo 3: Configurar o provisionamento automático de utilizadores no Zscaler One
Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra. Utilize-o para criar, atualizar e desativar utilizadores ou grupos no Zscaler One com base em atribuições de utilizador ou grupo no Microsoft Entra ID.
Gorjeta
Também pode ativar o início de sessão único baseado em SAML para o Zscaler One. Siga as instruções no artigo de início de sessão único do Zscaler One. O logon único pode ser configurado independentemente do provisionamento automático do usuário, embora esses dois recursos se complementem.
Nota
Quando usuários e grupos são provisionados ou desprovisionados, recomendamos reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. Fazer uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.
Configurar o provisionamento automático de usuários para o Zscaler One no Microsoft Entra ID
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Entra ID>Enterprise apps>Zscaler One.
Na lista de aplicações, selecione Zscaler One.
Selecione o separador Aprovisionamento.
Selecione + Nova configuração.
Na secção de Credenciais de Administrador , introduza o URL do Tenant e o Token Secreto da sua conta Zscaler Beta, conforme descrito mais adiante neste artigo.
Para obter o URL do inquilino e o token secreto, aceda a Administração>Definições de Autenticação na interface do portal Zscaler One. Em Tipo de autenticação, selecione SAML.
Selecione Configurar SAML para abrir as opções Configurar SAML .
Selecione Ativar provisionamento baseado em SCIM para obter as configurações em URL base e Token de portador. Em seguida, salve as configurações. Copie a definição de URL base para URL do inquilino. Copie a definição de Token do Portador para Token Secreto.
Depois de preencher as caixas apresentadas no Passo 5, selecione Testar Ligação para se certificar de que o Microsoft Entra ID consegue ligar-se ao Zscaler One. Se a ligação falhar, certifique-se de que a sua conta Zscaler One tem permissões de administrador e tente novamente.
Selecione Criar para criar a sua configuração.
Selecione Propriedades na página de Visão Geral.
Selecione o ícone Editar para editar as propriedades. Ative os emails de notificação e forneça um email para receber notificações de quarentena. Ativar a prevenção de eliminações acidentais. Selecione Aplicar para salvar as alterações.
Selecione Mapeamento de Atributos no painel esquerdo e selecione utilizadores.
Revise os atributos de utilizador sincronizados do Microsoft Entra ID no Zscaler One na secção de Mapeamentos de Atributos. Os atributos selecionados como Propriedades correspondentes são utilizados para corresponder às contas de utilizador no Zscaler One para operações de atualização. Para salvar as alterações, selecione Salvar.
Atributo Tipo Suportado para filtragem Exigido pelo Zscaler One nome de utilizador corda ✓ ✓ ativo booleano ✓ nome de exibição corda ✓ identificador externo corda ✓ nome.dado corda nome.sobrenome corda urn:ietf:params:scim:schemas:extension:enterprise:2.0:Utilizador:departamento corda ✓ Selecione Grupos.
Reveja os atributos de grupo que estão sincronizados do Microsoft Entra ID para o Zscaler One na seção de Mapeamentos de Atributos. Os atributos selecionados como propriedades correspondentes são utilizados para corresponder aos grupos no Zscaler One para operações de atualização. Para salvar as alterações, selecione Salvar.
Atributo Tipo Suportado para filtragem Exigido pelo Zscaler One nome de exibição corda ✓ ✓ identificador externo corda ✓ membros Referência Para configurar os filtros de escopo, consulte as instruções fornecidas no artigo sobre filtros de alcance.
Use provisionamento sob demanda para validar a sincronização com um pequeno número de utilizadores antes de uma implementação mais ampla na sua organização.
Quando estiver pronto para provisionar, selecione Iniciar Provisão na página de Visão Geral .
Passo 4: Monitorize a sua implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Use os logs de provisionamento para determinar quais usuários são provisionados com ou sem êxito
- Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está de ser concluído
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre o estado de quarentena no artigo estado de quarentena de aprovisionamento de aplicativos.
Registos de alterações
- 16/05/2022 - Recurso de Descoberta de Esquema ativado nesta aplicação.
Recursos adicionais
- Gerenciar o provisionamento de contas de usuário para aplicativos corporativos
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?