Руководство по интеграции Azure Active Directory с Zscaler Beta

Это руководство описывает, как интегрировать Zscaler Beta с Azure Active Directory (Azure AD). Интеграция Zscaler Beta с Azure AD дает следующие возможности:

  • Контроль доступа к Zscaler Beta c помощью Azure AD.
  • Включение автоматического входа пользователей в Zscaler Beta с помощью учетных записей Azure AD. Это управление доступом называется единым входом (SSO).
  • Централизованное управление учетными записями с помощью портала Azure.

Предварительные требования

Чтобы настроить интеграцию Azure AD с Zscaler Beta, вам потребуется:

  • Подписка Azure AD. (если у вас нет среды Azure AD, вы можете получить бесплатную учетную запись);
  • подписка Zscaler Beta, использующая единый вход.

Описание сценария

В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.

  • Zscaler Beta поддерживает единый вход, инициированный поставщиком службы.
  • Zscaler Beta поддерживает JIT-подготовку пользователей.

Чтобы настроить интеграцию Zscaler Beta с Azure AD, нужно добавить Zscaler Beta из коллекции в список управляемых приложений SaaS.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.
  2. В области навигации слева выберите службу Azure Active Directory.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.
  4. Чтобы добавить новое приложение, выберите Новое приложение.
  5. В разделе Добавление из коллекции в поле поиска введите Zscaler Beta.
  6. Выберите Zscaler Beta в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Настройка и проверка единого входа Azure AD для Zscaler Beta

Настройте и проверьте единый вход Azure AD в Zscaler Beta с помощью тестового пользователя B. Simon. Чтобы обеспечить единый вход, необходимо установить связь между пользователем Azure AD и соответствующим пользователем в Zscaler Beta.

Чтобы настроить и проверить единый вход Azure AD в Zscaler Beta, выполните действия из следующих стандартных блоков:

  1. Настройка единого входа Azure AD необходима, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Azure AD требуется для проверки работы единого входа Azure AD с помощью пользователя B.Simon.
    2. Назначение тестового пользователя Azure AD необходимо, чтобы позволить пользователю B.Simon использовать единый вход Azure AD.
  2. Настройка единого входа в Zscaler Beta необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя Zscaler Beta требуется, чтобы в Zscaler Beta существовал пользователь B. Simon, связанный с одноименным пользователем в Azure AD.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Azure AD

Выполните следующие действия, чтобы включить единый вход Azure AD на портале Azure.

  1. На портале Azure на странице интеграции с приложением Zscaler Beta найдите раздел Управление и выберите Единый вход.

  2. На странице Выбрать метод единого входа выберите SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  4. На странице Базовая конфигурация SAML введите значения следующих полей.

    В поле URL-адрес входа введите URL-адрес, с помощью которого пользователи входят в приложение Zscaler Beta.

    Примечание

    Это значение приведено в качестве примера. Укажите фактическое значение URL-адреса для входа. Для получения значения обратитесь к группе поддержки клиентов Zscaler Beta.

  5. Приложение Zscaler Beta ожидает утверждения SAML в определенном формате. Нужно добавить сопоставление настраиваемых атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию. Выберите Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

    Диалоговое окно "Атрибуты пользователя"

  6. Приложение Zscaler Beta ожидает несколько дополнительных атрибутов в ответе SAML. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в следующей таблице.

    Имя Атрибут источника
    memberOf user.assignedroles

    а. Чтобы открыть диалоговое окно Управление утверждениями пользователя, выберите Добавить новое утверждение.

    b. В текстовом поле Имя введите имя атрибута, отображаемое для этой записи.

    c. Оставьте пустым поле Пространство имен.

    d. В поле Источник выберите Атрибут.

    д) В списке Атрибут источника введите значение атрибута, отображаемое для этой строки.

    е) Щелкните ОК.

    ж. Щелкните Сохранить.

    Примечание

    Перейдите по этой ссылке, чтобы прочитать о настройке роли в Azure AD.

  7. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку Скачать, чтобы скачать сертификат (Base64). Сохраните его на компьютере.

    Ссылка для скачивания сертификата

  8. Требуемые URL-адреса можно скопировать из раздела Настройка Zscaler Beta.

    Копирование URL-адресов настройки

Создание тестового пользователя Azure AD

В этом разделе описано, как на портале Azure создать тестового пользователя с именем B.Simon.

  1. На портале Azure в области слева выберите Azure Active Directory, Пользователи, а затем — Все пользователи.
  2. В верхней части экрана выберите Новый пользователь.
  3. В разделе Свойства пользователя выполните следующие действия.
    1. В поле Имя введите B.Simon.
    2. В поле Имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Нажмите кнопку Создать.

Назначение тестового пользователя Azure AD

В этом разделе описано, как включить единый вход Azure для пользователя B.Simon, предоставив этому пользователю доступ к Zscaler Beta.

  1. На портале Azure выберите Корпоративные приложения, а затем — Все приложения.
  2. Из списка приложений выберите Zscaler Beta.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
  6. Если вы настроили роли, как описано выше, вы можете выбрать роль из раскрывающегося списка Выберите роль.
  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в Zscaler Beta

  1. Для автоматизации настройки в Zscaler Beta необходимо установить расширение браузера "Безопасный вход в мои приложения", выбрав Установить расширение.

    Расширение "Мои приложения"

  2. После добавления расширения в браузер выберите Настройка Zscaler Beta. Вы будете перенаправлены в приложение Zscaler Beta. После этого укажите учетные данные администратора для входа в Zscaler Beta. Расширение браузера автоматически настраивает приложение и автоматизирует шаги 3–6.

    Настройка конфигурации

  3. Чтобы вручную настроить Zscaler Beta, откройте новое окно веб-браузера. Войдите на корпоративный сайт Zscaler Beta в качестве администратора и выполните следующие шаги.

  4. Последовательно выберите Administration (Администрация) > Authentication (Проверка подлинности) > Authentication Settings (Параметры проверки подлинности) и выполните следующие шаги.

    Администрирование

    а. В разделе Authentication Type (Тип проверки подлинности) выберите SAML.

    b. Выберите Configure SAML (Настроить SAML).

  5. В окне Edit SAML (Изменение SAML) выполните следующие действия: Управление пользователями и проверкой подлинности

    а. В поле SAML Portal URL (URL-адрес портала SAML) вставьте URL-адрес входа, скопированный на портале Azure.

    b. В поле Login Name Attribute (Атрибут имени входа) введите NameID.

    c. В разделе Public SSL Certificate (Публичный SSL-сертификат) щелкните Upload (Отправить), чтобы отправить сертификат для подписи SAML, который вы скачали на портале Azure.

    d. Включите параметр Enable SAML Auto-Provisioning (Включить автоматическую подготовку SAML).

    д) В поле User Display Name Attribute (Атрибут отображаемого имени пользователя) введите displayName, если вы хотите включить автоматическую подготовку SAML для атрибутов displayName.

    е) В поле Group Name Attribute (Атрибут имени группы) введите memberOf, если вы хотите включить автоматическую подготовку SAML для атрибутов memberOf.

    ж. В поле Department Name Attribute (Атрибут имени отдела) введите department, если вы хотите включить автоматическую подготовку SAML для атрибутов department.

    h. Щелкните Сохранить.

  6. На странице Configure User Authentication (Настройка проверки подлинности пользователей) выполните следующие действия:

    Меню активации и кнопка Activate (Активировать)

    а. Наведите указатель мыши на меню Activation (Активация) в нижнем левом углу.

    b. Выберите Активировать.

<a name="configure-proxy-settings">Настройка параметров прокси

Чтобы настроить параметры прокси-сервера в Internet Explorer, выполните следующие шаги.

  1. Запустите Internet Explorer.

  2. В меню Сервис выберите Свойства браузера, чтобы открыть диалоговое окно Свойства браузера.

    ![Диалоговое окно "Свойства браузера"](./media/zscaler-beta-tutorial/ic769492.png "Свойства браузера")

  3. Выберите вкладку Подключения.

    Вкладка "Подключения"

  4. Нажмите кнопку Настройка сети, чтобы открыть диалоговое окно Настройка параметров локальной сети.

  5. В разделе Прокси-сервер выполните следующие шаги:

    Раздел "Прокси-сервер"

    а. Установите флажок Использовать прокси-сервер для локальных подключений...

    b. В поле Адрес введите gateway.Zscaler Beta.net.

    c. В поле Порт введите 80.

    d. Установите флажок Не использовать прокси-сервер для локальных адресов.

    д) Нажмите кнопку ОК, чтобы закрыть диалоговое окно Настройка параметров локальной сети.

  6. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства браузера.

Создание тестового пользователя Zscaler Beta

В этом разделе вы создадите в Zscaler Beta пользователя Britta Simon. Приложение Zscaler Beta поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В этом разделе от вас не требуется никаких действий. Если пользователь еще не существует в Zscaler Beta, он создается после проверки подлинности.

Примечание

Чтобы создать пользователя вручную, обратитесь к группе поддержки Zscaler Beta.

Проверка единого входа

В этом разделе описано, как проверить конфигурацию единого входа Azure AD с помощью указанных ниже способов.

  • Выберите Тестировать приложение на портале Azure. Вы будете перенаправлены по URL-адресу для входа в Zscaler Beta, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в Zscaler Beta и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Zscaler Beta на портале "Мои приложения", вы перейдете по URL-адресу для входа в Zscaler Beta. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Дальнейшие действия

После настройки Zscaler Beta вы можете применить функцию управления сеансом, чтобы в реальном времени защищать конфиденциальные данные своей организации от кражи и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.