チュートリアル:Zscaler Three を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルでは、ユーザーやグループを Zscaler Three に自動的にプロビジョニングおよびプロビジョニング解除するように Microsoft Entra ID を構成する方法を説明します。
Note
このチュートリアルでは、Microsoft Entra ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスが実行する内容および動作方法についての重要な情報と、よく寄せられる質問への回答については、Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。
前提条件
このチュートリアルに記載された手順を実行するには、次のものが必要になります。
- Microsoft Entra テナント。
- Zscaler Three テナント。
- 管理者アクセス許可がある Zscaler Three のユーザー アカウント。
Note
Microsoft Entra プロビジョニング統合は、エンタープライズ アカウントで利用できる Zscaler ZSCloud SCIM API に依存しています。
ギャラリーからの Zscaler Three の追加
Microsoft Entra ID で自動ユーザー プロビジョニング向けに Zscaler Three を構成する前に、Zscaler Three を Microsoft Entra アプリケーション ギャラリーから管理対象 SaaS アプリケーションの一覧に追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Zscaler Three] の順に移動します。
- 結果から [Zscaler Three] を選択して [追加] を選択します。
Zscaler Three にユーザーを割り当てる
Microsoft Entra ユーザーが特定のアプリを使用するには、アプリへのアクセス権が割り当てられている必要があります。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーまたはグループのみが同期されます。
自動ユーザー プロビジョニングを構成して有効にする前に、Zscaler Three へのアクセスが必要な Microsoft Entra ID のユーザーやグループを決定しておく必要があります。 それが決まれば、エンタープライズ アプリへのユーザーまたはグループの割り当てに関するページの手順に従って、これらのユーザーとグループを Zscaler Three に割り当てることができます。
ユーザーを Zscaler Three に割り当てるときの重要なヒント
まず、単一の Microsoft Entra ユーザーを Zscaler Three に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で、他のユーザーとグループを割り当てることができます。
Zscaler Three にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。
自動ユーザー プロビジョニングをセットアップする
このセクションでは、Microsoft Entra ID でのユーザーとグループの割り当てに基づいて、Zscaler Three でユーザーとグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
ヒント
Zscaler Three では、SAML ベースのシングル サインオンを有効にすることもできます。 その場合は、Zscaler Three のシングル サインオンに関するチュートリアルの手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
注意
ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Zscaler Three] の順に移動します。
アプリケーションの一覧で、 [Zscaler Three] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、次の手順で説明する Zscaler Three アカウントの [テナント URL] と [シークレット トークン] を入力します。
[テナント URL] と [シークレット トークン] を取得するには、Zscaler Three ポータルで [管理]>[認証の設定] の順に移動し、 [認証の種類] で [SAML] を選択します。
[Configure SAML](SAML の構成) を選択して [Configure SAML](SAML の構成) ウィンドウを開きます。
[Enable SCIM-Based Provisioning](SCIM ベースのプロビジョニングを有効にする) を選択して、ベース URL とベアラー トークンをコピーし、設定を保存します。 Azure portal で、ベース URL を [テナント URL] ボックスに、ベアラー トークンを [シークレット トークン] ボックスに貼り付けます。
[テナントの URL] と [シークレット トークン] のボックスに値を入力したら、[接続のテスト] を選択して Microsoft Entra ID が Zscaler Three に接続できることを確認します。 接続できない場合は、使用中の Zscaler Three アカウントに管理者アクセス許可があることを確認してから、もう一度試します。
プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] を選択します。
[保存] を選択します。
[マッピング] セクションで [Microsoft Entra ユーザーを ZscalerThree に同期する] を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Three に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler Three のユーザー アカウントとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。
[マッピング] セクションで [Microsoft Entra グループを ZscalerThree に同期する] を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Three に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler Three のグループとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。
スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの手順を参照してください。
Zscaler Three に対して Microsoft Entra プロビジョニング サービスを有効にするために、[設定] セクションの [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、Zscaler Three にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] を選択します。
これにより、 [設定] セクションの [スコープ] で定義したユーザーやグループの初回の同期が開始されます。 初回の同期は後続の同期よりも実行に時間がかかります。後続の同期は、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 進行状況は、 [同期の詳細] セクションで監視できます。 リンクをたどってプロビジョニング アクティビティ レポートを取得することもできます。このレポートには、Microsoft Entra プロビジョニング サービスによって Zscaler Three に対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。