Руководство по настройке Zscaler для автоматической подготовки пользователей

  • Статья

Цель этого руководства — продемонстрировать действия, которые необходимо выполнить в Zscaler и Идентификаторе Microsoft Entra, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и (или) групп в Zscaler.

Примечание.

В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Необходимые компоненты

Сценарий, описанный в этом руководстве, предполагает, что у вас уже имеется:

  • Клиент Microsoft Entra.
  • клиент Zscaler;
  • учетная запись пользователя в Zscaler с разрешениями администратора.

Примечание.

Интеграция подготовки Microsoft Entra зависит от API SCIM Zscaler, который доступен разработчикам Zscaler для учетных записей с пакетом Enterprise.

Перед настройкой Zscaler для автоматической подготовки пользователей с помощью Идентификатора Microsoft Entra необходимо добавить Zscaler из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.

Чтобы добавить Zscaler из коллекции приложений Microsoft Entra, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

  3. В поле поиска введите Zscaler, выберите Zscaler на панели результатов и нажмите кнопку Добавить, чтобы добавить это приложение.

    Zscaler in the results list

Назначение пользователей в Zscaler

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки пользователей синхронизируются только пользователи и (или) группы, которые были назначены приложению в идентификаторе Microsoft Entra.

Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и /или группы в идентификаторе Microsoft Entra ID должны иметь доступ к Zscaler. Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler, следуя инструкциям:

Важные рекомендации по назначению пользователей приложению Zscaler

  • Рекомендуется, чтобы один пользователь Microsoft Entra назначил Zscaler для проверки конфигурации автоматической подготовки пользователей. Дополнительные пользователи и/или группы можно назначить позднее.

  • При назначении пользователя приложению Zscaler в диалоговом окне назначения необходимо выбрать действительную роль для конкретного приложения (если это доступно). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.

Настройка автоматической подготовки пользователей в Zscaler

В этом разделе описаны действия по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Zscaler на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Примечание.

Откройте заявку в службу поддержки, чтобы создать домен на Zscaler.

Совет

Для Zscaler также можно включить единый вход на основе SAML. Для этого следуйте инструкциям, приведенным в руководстве по единому входу в Zscaler. Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности дополняют друг друга.

Примечание.

При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство. Обратите внимание, что перезагрузка может занять время, если вы синхронизируете всех пользователей и группы в клиенте или назначили большие группы с 50 тысячами участников и более.

Чтобы настроить автоматическую подготовку пользователей для Zscaler в идентификаторе Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Zscaler.

  3. Выберите вкладку Подготовка.

    Screenshot of the Zscaler - Provisioning Enterprise Application sidebar with the Provisioning option highlighted.

  4. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Screenshot of the Provisioning page with the provisioning Mode set to Automatic.

  5. В разделе Учетные данные администратора заполните поля URL-адрес клиента и Секретный токен учетной записи Zscaler, как описано на шаге 6.

  6. Чтобы получить URL-адрес клиента и секретный токен, перейдите в раздел Administration > Authentication Settings (Администрирование > Параметры проверки подлинности) в пользовательском интерфейсе портала Zscaler и выберите SAML в разделе Authentication Type (Тип проверки подлинности).

    Screenshot of the Authentication Settings page.

    Выберите Configure SAML (Настроить SAML), чтобы открыть параметры настройки SAML.

    Screenshot of the Configure S A M L dialog box with the Base U R L and Bearer Token text boxes called out.

    Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), чтобы получить базовый URL-адрес и токен носителя, а затем сохраните настройки. Скопируйте базовый URL-адрес в URL-адрес клиента и маркер носителя в секретный маркер.

  7. После заполнения полей, показанных на шаге 5, щелкните "Тестировать Подключение ion", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Zscaler. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler есть разрешения администратора, и повторите попытку.

    Screenshot of the Admin Credentials section with the Test Connection option called out.

  8. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Send an email notification when a failure occurs (Отправить уведомление по электронной почте при сбое).

    Screenshot of the Notification Email text box.

  9. Нажмите кнопку Сохранить.

  10. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler.

    Screenshot of the Mappings section with the Synchronize Microsoft Entra users to Zscaler option highlighted.

  11. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Zscaler для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Screenshot of the Attribute Mappings section with seven mappings displayed.

  12. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Zscaler.

    Screenshot of the Mappings section with the Synchronize Microsoft Entra groups to Zscaler option highlighted.

  13. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Zscaler в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Zscaler для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Screenshot of the Attribute Mappings section with three mappings displayed.

  14. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

  15. Чтобы включить службу подготовки Microsoft Entra для Zscaler, измените состояние подготовки на On в разделе Параметры.

    Screenshot of the Provisioning Status option set to On.

  16. Определите пользователей и (или) группы для подготовки в Zscaler, выбрав нужные значения в поле Область в разделе Параметры.

    Screenshot of the Scope setting with the Sync only assigned users and groups option highlighted.

  17. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    Screenshot of the Zscaler - Provisioning Enterprise Application sidebar with the Save option called out.

После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Дополнительные ресурсы

Следующие шаги