Självstudie: Azure Active Directory integrering med Zscaler Internet Access Administrator

I den här självstudien lär du dig att integrera Zscaler Internet Access Administrator med Azure Active Directory (Azure AD). När du integrerar Zscaler Internet Access Administrator med Azure AD kan du:

  • I Azure AD kan du styra vem som har åtkomst till Zscaler Internet Access Administrator.
  • Gör så att dina användare automatiskt loggas in på Zscaler Internet Access Administrator med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har en prenumeration kan du skaffa ett kostnadsfritt konto.
  • Zscaler Internet Access Administrator-prenumeration med enkel inloggning (SSO).

Anteckning

Den här integreringen är också tillgänglig för användning från Azure AD US Government Cloud-miljön. Du hittar det här programmet i Azure AD US Government Cloud Application Gallery och konfigurerar det på samma sätt som du gör från ett offentligt moln.

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • Zscaler Internet Access Administrator stöder IDP-initierad enkel inloggning.

För att konfigurera integrering av Zscaler Internet Access Administrator till Azure AD måste du lägga till Zscaler Internet Access Administrator från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller ett personligt Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver du Zscaler Internet Access Administrator i sökrutan.
  6. Välj Zscaler Internet Access Administrator i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning i Azure AD för Zscaler Internet Access Administrator

Konfigurera och testa enkel inloggning i Azure AD med Zscaler Internet Access Administrator med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i Zscaler Internet Access Administrator.

Utför följande steg för att konfigurera och testa enkel inloggning i Azure AD med Zscaler Internet Access Administrator:

  1. Konfigurera enkel inloggning för Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med Britta Simon.
    2. Tilldela Azure AD-testanvändaren – så att Britta Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera enkel inloggning för Zscaler Internet Access Administrator – för att konfigurera Sign-On på programsidan.
    1. Skapa testanvändare för Zscaler Internet Access Administrator – du har en motsvarighet till Britta Simon i Zscaler Internet Access Administrator som är länkad till en Azure AD-representation av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. I Azure Portal programintegreringssidan för Zscaler Internet Access Administrator, leta upp avsnittet Hantera och välj Enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel Sign-On med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    a. I textrutan Identifierare skriver du en av följande URL:er enligt dina behov:

    Identifierare
    https://admin.zscaler.net
    https://admin.zscalerone.net
    https://admin.zscalertwo.net
    https://admin.zscalerthree.net
    https://admin.zscloud.net
    https://admin.zscalerbeta.net

    b. I textrutan Svars-URL skriver du en av följande URL:er enligt dina behov:

    Svars-URL
    https://admin.zscaler.net/adminsso.do
    https://admin.zscalerone.net/adminsso.do
    https://admin.zscalertwo.net/adminsso.do
    https://admin.zscalerthree.net/adminsso.do
    https://admin.zscloud.net/adminsso.do
    https://admin.zscalerbeta.net/adminsso.do
  5. Programmet Zscaler Internet Access Administrator förväntar sig SAML-påståenden i ett visst format. Konfigurera följande anspråk för det här programmet. Du kan hantera värdena för dessa attribut i avsnittet om användarattribut och anspråk på sidan för programintegrering. På sidan Konfigurera enkel inloggning med SAML klickar du på knappen Redigera för att öppna dialogrutan för användarattribut och anspråk.

    Länken Attribut

  6. I avsnittet Användaranspråk i dialogrutan Användarattribut konfigurerar du SAML-tokenattributet på det sätt som visas i bilden ovan och utför följande steg:

    Name Källattribut
    Roll user.assignedroles

    a. Klicka på Lägg till nytt anspråk för att öppna dialogrutan Hantera användaranspråk.

    b. Välj attributvärdet i listan Källattribut.

    c. Klicka på OK.

    d. Klicka på Spara.

    Anteckning

    Klicka här om du vill veta hur du konfigurerar en roll i Azure AD.

  7. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat, klickar du på Ladda ned för att ladda ned Certifikat (Base64) från de angivna alternativen enligt dina behov och sparar det på datorn.

    Länk för nedladdning av certifikatet

  8. I avsnittet Konfigurera Zscaler Internet Access Administrator kopierar du lämpliga URL:er enligt dina behov.

    Kopiera konfigurations-URL:er

<a name="create-an-azure-ad-test-user">Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal med namnet B.Simon.

  1. I den vänstra rutan i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till Zscaler Internet Access Administrator.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du Zscaler Internet Access Administrator.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du har ställt in rollerna enligt förklaringen i ovanstående kan du välja dem från listrutan Välj en roll.
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning för Zscaler Internet Access Administrator

  1. I ett annat webbläsarfönster loggar du in på ditt Zscaler Internet Access Admin-användargränssnitt.

  2. Gå till Administration > Administratörshantering, utför följande steg och klicka på Spara:

    ![Skärmbild som visar administratörshantering med alternativ för att aktivera SAML-autentisering, ladda upp S L-certifikat och ange en utfärdare.](./media/zscaler-internet-access-administrator-tutorial/management.png "Administration")

    a. Markera Aktivera SAML-autentisering.

    b. Klicka på Ladda upp för att ladda upp Azure SAML-signeringscertifikatet som du har laddat ned Azure Portal i det offentliga SSL-certifikatet.

    c. Om du vill ha ytterligare säkerhet kan du lägga till information om Utfärdare för att verifiera utfärdaren av SAML-svaret.

  3. I användargränssnittet för administration utför du följande steg:

    Skärmbild som visar Admin U I där du kan utföra stegen.

    a. Hovra över menyn Aktivering längst ned till vänster.

    b. Klicka på Aktivera.

Skapa testanvändare för Zscaler Internet Access Administrator

Målet med det här avsnittet är att skapa en användare som heter Britta Simon i Zscaler Internet Access Administrator. Zscaler Internet-åtkomst har inte stöd för just-in-time-etablering för enkel inloggning för administratör. Du måste manuellt skapa ett administratörskonto. Anvisningar om hur du skapar ett administratörskonto finns i Zscaler-dokumentationen:

https://help.zscaler.com/zia/adding-admins

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Azure AD med följande alternativ.

  • Klicka på Testa det här programmet i Azure Portal så bör du automatiskt loggas in på Zscaler Internet Access Administrator som du har ställt in enkel inloggning för

  • Du kan använda Microsoft Mina appar. När du klickar på Zscaler Internet Access Administrator-panelen i Mina appar bör du automatiskt loggas in på Zscaler Internet Access Administrator som du har ställt in enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat Zscaler Internet Access Administrator kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Cloud App Security.