Esercitazione: Integrazione di Azure Active Directory con Zscaler ZSCloud

Questa esercitazione descrive l'integrazione di Azure e Zscaler ZSCloud.
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:

  • Sottoscrizione di Azure valida
  • Sottoscrizione di ZScaler ZSCloud abilitata per l'accesso Single Sign-On

Al termine dell'esercitazione, gli utenti di Azure AD assegnati a Zscaler ZSCloud potranno accedere all'applicazione tramite il sito aziendale di Zscaler ZSCloud (accesso avviato dal provider di servizi) o seguendo le istruzioni riportate in Introduzione al Pannello di accesso

Lo scenario descritto in questa esercitazione include i blocchi predefiniti seguenti:

  1. Abilitazione dell'integrazione dell'applicazione per Zscaler ZSCloud
  2. Configurazione dell'accesso Single Sign-On
  3. Configurazione delle impostazioni proxy
  4. Configurazione del provisioning utente
  5. Assegnazione degli utenti

Scenario

Abilitazione dell'integrazione dell'applicazione per Zscaler ZSCloud

Questa sezione descrive come abilitare l'integrazione dell'applicazione per Zscaler ZSCloud.

Per abilitare l'integrazione dell'applicazione per Zscaler ZSCloud, seguire questa procedura:

  1. Nel portale di Azure classico fare clic su Active Directorynel riquadro di spostamento sinistro.

    Active Directory

  2. Nell'elenco Directory selezionare la directory per la quale si desidera abilitare l'integrazione delle directory.
  3. Per aprire la visualizzazione applicazioni, nella visualizzazione directory fare clic su Applications nel menu superiore.

    Applicazioni

  4. Fare clic su Add nella parte inferiore della pagina.

    Aggiungere un'applicazione

  5. Nella finestra di dialogo Come procedere fare clic su Aggiungere un'applicazione dalla raccolta.

    Aggiungere un'applicazione dalla raccolta

  6. Nella casella di ricerca digitare Zscaler ZSCloud.

    Raccolta di applicazioni

  7. Nel riquadro dei risultati selezionare Zscaler ZSCloud e quindi fare clic su Completa per aggiungere l'applicazione.

    Zscaler ZSCloud

Configurazione dell'accesso Single Sign-On

Questa sezione descrive come consentire agli utenti di eseguire l'autenticazione a Zscaler ZSCloud tramite il proprio account in Azure AD usando la federazione basata sul protocollo SAML.
Come parte di questa procedura, verrà richiesto di caricare un file di certificato con codifica Base&64; sul proprio tenant Zscaler ZSCloud.
Se non si ha familiarità con questa procedura, vedere il video che descrive come convertire un certificato binario in un file di testo

Per configurare l'accesso Single Sign-On, seguire questa procedura:

  1. Nella pagina di integrazione dell'applicazione ZScaler ZSCloud del portale di Azure classico fare clic su Configura accesso Single Sign-On per aprire la finestra di dialogo Configura accesso Single Sign-On.

    Configurare l'accesso Single Sign-On

  2. Nella pagina Stabilire come si desidera che gli utenti accedano a Zscaler ZSCloud selezionare Single Sign-On di Microsoft Azure AD e quindi fare clic su Avanti.

    Configurare l'accesso Single Sign-On

  3. Nella casella di testo URL di accesso Zscaler ZSCloud della pagina Configura URL app digitare l'URL utilizzato dagli utenti per accedere all'applicazione Zscaler ZSCloud e quindi fare clic su Avanti.

    Configurare l'URL dell'app

    Nota

    Se necessario, è possibile ottenere il valore effettivo per l'ambiente in uso dal team di supporto Zscaler ZSCloud.

  4. Nella pagina Configura accesso Single Sign-On in Zscaler ZSCloud fare clic su Scarica certificato e quindi salvare il file di certificato sul computer.

    Configurare l'accesso Single Sign-On

  5. In un'altra finestra del Web browser accedere al sito aziendale di Zscaler ZSCloud come amministratore.
  6. Scegliere Amministrazionedal menu disponibile nella parte superiore.

    Amministrazione

  7. In Manage Administrators & Roles (Gestisci amministratori e ruoli) fare clic su Manage Users & Authentication (Gestisci utenti e autenticazione).

    Gestire utenti e autenticazione

  8. Nella sezione Choose Authentication Options for your Organization seguire questa procedura:

    Autenticazione

    1. Selezionare Authenticate using SAML Single Sign-On.
    2. Fare clic su Configure SAML Single Sign-On Parameters.
  9. Nella pagina della finestra di dialogo Configure SAML Single Sign-On Parameters (Configura parametri accesso Single Sign-On SAML) procedere come descritto di seguito e quindi fare clic su Operazione completata:

    Single Sign-On

    1. Nella pagina della finestra di dialogo Configura accesso Single Sign-On in ZScaler ZSCloud del portale di Azure classico copiare il valore URL richiesta di autenticazione e quindi incollarlo nella casella di testo URL of the SAML Portal to which users are sent for authentication (URL del portale di SAML a cui vengono indirizzati gli utenti per l'autenticazione).
    2. Nella casella di testo Attribute containing Login Name digitare NameID.
    3. Per caricare il certificato scaricato fare clic su Zscaler pem.
    4. Selezionare Enable SAML Auto-Provisioning.
  10. Nella pagina della finestra di dialogo Configure User Authentication seguire questa procedura:

    Amministrazione

    1. Fare clic su Save.
    2. Fare clic su Attiva subito.
  11. Nella pagina della finestra di dialogo Configura accesso Single Sign-On in ZScaler ZSCloud del portale di Azure classico selezionare la conferma della configurazione dell'accesso Single Sign-On e quindi fare clic su Completa.

    Configurare l'accesso Single Sign-On

Configurazione delle impostazioni proxy

Per configurare le impostazioni proxy in Internet Explorer

  1. Avviare Internet Explorer.
  2. Selezionare Opzioni Internet dal menu Strumenti per aprire la finestra di dialogo Opzioni Internet.

    Opzioni Internet

  3. Fare clic sulla scheda Connessioni .

    Connessioni

  4. Fare clic su Impostazioni LAN per aprire la finestra di dialogo Impostazioni LAN.
  5. Nella sezione del server proxy seguire questa procedura:

    Server proxy

    1. Selezionare Usa un server di proxy per la rete LAN.
    2. Nella casella di testo Indirizzo digitare gateway.zscalerone.net.
    3. Nella casella di testo Porta digitare 80.
    4. Selezionare Ignora server proxy per indirizzi locali.
    5. Fare clic su OK per chiudere la finestra di dialogo Impostazioni rete locale (LAN).
  6. Fare clic su OK per chiudere la finestra di dialogo Opzioni Internet.

Configurazione del provisioning utente

Per consentire agli utenti di Azure AD di accedere a Zscaler ZSCloud, è necessario eseguirne il provisioning in Zscaler ZSCloud.
Nel caso di Zscaler ZSCloud, il provisioning è un'attività manuale.

Per configurare il provisioning utente, seguire questa procedura:

  1. Accedere al tenant Zscaler .
  2. Fare clic su Administration.

    Amministrazione

  3. Fare clic su User Management.

    Aggiungi

  4. Nella scheda Utenti fare clic su Aggiungi.

    Aggiungi

  5. Nella sezione Add User seguire questa procedura:

    Aggiungere un utente

    1. Digitare ID utente, nome visualizzato per l'utente, password, conferma della password e quindi selezionare gruppi e reparto per un account AAD valido di cui si vuole eseguire il provisioning.
    2. Fare clic su Save.
Nota

È possibile usare qualsiasi altro strumento o API di creazione di account utente fornita da Zscaler ZSCloud per eseguire il provisioning degli account utente Azure AD.

Assegnazione degli utenti

Per testare la configurazione, è necessario concedere l'accesso all'applicazione agli utenti di Azure AD a cui si vuole consentirne l'uso, assegnando tali utenti all'applicazione.

Per assegnare gli utenti a Zscaler ZSCloud, seguire questa procedura:

  1. Nel portale di Azure classico creare un account di test.
  2. Nella pagina di integrazione dell'applicazione Zscaler ZSCloud fare clic su Assegna utenti.

    Assegnare utenti

  3. Selezionare l'utente di test, fare clic su Assegna e quindi su per confermare l'assegnazione.

    Sì

Per testare le impostazioni di Single Sign-On, aprire il pannello di accesso. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.