チュートリアル:Zscaler Two を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルでは、ユーザーやグループを Zscaler Two に自動的にプロビジョニングおよびプロビジョニング解除するように Microsoft Entra ID を構成する方法を説明します。
Note
このチュートリアルでは、Microsoft Entra ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスが実行する内容および動作方法についての重要な情報と、よく寄せられる質問への回答については、Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。
前提条件
このチュートリアルに記載された手順を実行するには、次のものが必要になります。
- Microsoft Entra テナント。
- Zscaler Two テナント。
- 管理者アクセス許可がある Zscaler Two のユーザー アカウント。
Note
Microsoft Entra プロビジョニング統合は、Enterprise アカウントで使用できる Zscaler Two SCIM API に依存しています。
ギャラリーから Zscaler Two を追加する
Microsoft Entra ID で自動ユーザー プロビジョニング向けに Zscaler Two を構成する前に、Zscaler Two を Microsoft Entra アプリケーション ギャラリーから管理対象 SaaS アプリケーションの一覧に追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Zscaler Two」と入力します。
- 結果のパネルから [Zscaler Two] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
Zscaler Two にユーザーを割り当てる
Microsoft Entra ユーザーが特定のアプリを使用するには、アプリへのアクセス権が割り当てられている必要があります。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーまたはグループのみが同期されます。
自動ユーザー プロビジョニングを構成して有効にする前に、Zscaler Two へのアクセスが必要な Microsoft Entra ID のユーザーやグループを決定しておく必要があります。 それが決まれば、エンタープライズ アプリへのユーザーまたはグループの割り当てに関するページの手順に従って、これらのユーザーとグループを Zscaler Two に割り当てることができます。
ユーザーを Zscaler Two に割り当てるときの重要なヒント
まず、単一の Microsoft Entra ユーザーを Zscaler Two に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で、他のユーザーとグループを割り当てることができます。
Zscaler Two にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。
自動ユーザー プロビジョニングをセットアップする
このセクションでは、Microsoft Entra ID でのユーザーとグループの割り当てに基づいて、Zscaler Two でユーザーとグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
ヒント
Zscaler Two では、SAML ベースのシングル サインオンを有効にすることもできます。 その場合は、Zscaler Two のシングル サインオンに関するチュートリアルの手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
注意
ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Zscaler Two] の順に移動します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、次の手順で説明する Zscaler Two アカウントの [テナント URL] と [シークレット トークン] を入力します。
[テナント URL] と [シークレット トークン] を取得するには、Zscaler Two ポータルで [管理]>[認証の設定] の順に移動し、 [認証の種類] で [SAML] を選択します。
[Configure SAML](SAML の構成) を選択して [Configure SAML](SAML の構成) ウィンドウを開きます。
[Enable SCIM-Based Provisioning](SCIM ベースのプロビジョニングを有効にする) を選択して、ベース URL とベアラー トークンをコピーし、設定を保存します。 Azure portal で、ベース URL を [テナント URL] ボックスに、ベアラー トークンを [シークレット トークン] ボックスに貼り付けます。
[テナントの URL] と [シークレット トークン] のボックスに値を入力したら、[接続のテスト] を選択して Microsoft Entra ID が Zscaler Two に接続できることを確認します。 接続できない場合は、使用中の Zscaler Two アカウントに管理者アクセス許可があることを確認してから、もう一度試します。
プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] を選択します。
[保存] を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを ZscalerTwo に同期する] を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Two に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler Two のユーザー アカウントとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。
[マッピング] セクションで、[Synchronize Microsoft Entra groups to ZscalerTwo] (Microsoft Entra グループを ZscalerTwo に同期する) を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Two に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Zscaler Two のグループとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。
スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの手順を参照してください。
Zscaler Two に対して Microsoft Entra プロビジョニング サービスを有効にするために、[設定] セクションの [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、Zscaler Two にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] を選択します。
これにより、 [設定] セクションの [スコープ] で定義したユーザーやグループの初回の同期が開始されます。 初回の同期は後続の同期よりも実行に時間がかかります。後続の同期は、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 進行状況は、 [同期の詳細] セクションで監視できます。 リンクをたどってプロビジョニング アクティビティ レポートを取得することもできます。このレポートには、Microsoft Entra プロビジョニング サービスによって Zscaler Two に対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。