Konfigurieren von Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

Ziel dieses Artikels ist es, die Schritte zu veranschaulichen, die in Zscaler Private Access (ZPA) und Microsoft Entra ID ausgeführt werden sollen, um Microsoft Entra ID so zu konfigurieren, dass Benutzer und/oder Gruppen automatisch für Zscaler Private Access (ZPA) bereitgestellt und entzogen werden.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Zscaler Private Zugang (ZPA)-Mandant
• Ein Benutzerkonto in Zscaler Private Access (ZPA) mit Administratorberechtigungen

Schritt 1: Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

Microsoft Entra ID ermittelt anhand von Zuweisungen, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzenden werden nur die Benutzende und/oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.

Vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung müssen Sie entscheiden, welche Benutzer und/oder Gruppen in Azure AD Zugriff auf Zscaler Private Access (ZPA) benötigen. Anschließend können Sie diese Benutzer und/oder Gruppen Zscaler Private Access (ZPA) wie folgt zuweisen:

• Zuweisen von Benutzenden oder einer Gruppe zu einer Unternehmens-App

Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler Private Access (ZPA)

• Es wird empfohlen, dass einem einzelnen Microsoft Entra-Benutzer Zscaler Private Access (ZPA) zugewiesen wird, um die automatische Benutzerbereitstellungskonfiguration zu testen. Später können weitere Benutzende und/oder Gruppen zugewiesen werden.

• Beim Zuweisen eines Benutzers zu Zscaler Private Access (ZPA) müssen Sie eine gültige anwendungsspezifische Rolle (sofern verfügbar) im Dialogfeld für die Zuweisung auswählen. Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen.

Schritt 2: Konfigurieren des Zscaler Private Access (ZPA) für die Bereitstellung

1. Melden Sie sich bei Ihrer Zscaler Private Access (ZPA)-Verwaltungskonsole an. Navigieren Sie zu Administration > IdP Configuration (Verwaltung > IdP-Konfiguration).

   

2. Stellen Sie sicher, dass ein IdP für einmaliges Anmelden konfiguriert ist. Wenn kein IdP eingerichtet ist, fügen Sie eins hinzu, indem Sie das Plussymbol in der oberen rechten Ecke des Bildschirms auswählen.

   

3. Folgen Sie dem Assistenten zum Hinzufügen der IdP-Konfiguration, um einen Identitätsanbieter hinzuzufügen. Übernehmen Sie im Feld Einmaliges Anmelden die Einstellung Benutzer. Geben Sie eine Name und wählen Sie die Domänen aus der Dropdown-Liste. Wählen Sie "Weiter" aus, um zum nächsten Fenster zu navigieren.

   

4. Laden Sie das Zertifikat des Dienstanbieters herunter. Wählen Sie "Weiter" aus, um zum nächsten Fenster zu navigieren.

   

5. Laden Sie im nächsten Fenster das Zertifikat des Dienstanbieters hoch, das Sie zuvor heruntergeladen haben.

   

6. Scrollen Sie nach unten, um die URL für einmaliges Anmelden und IdP Entity ID (IdP-Entitäts-ID) anzugeben.

   

7. Scrollen Sie nach unten, um SCIM-Synchronisierung zu aktivieren. Wählen Sie die Schaltfläche " Neues Token generieren " aus. Kopieren Sie das Bearertoken. Dieser Wert wird im Feld "Geheimes Token" auf der Registerkarte "Bereitstellung" Ihrer Zscaler Private Access-Anwendung (ZPA) eingegeben.

   

8. Navigieren Sie zu (Verwaltung > IdP-Konfiguration), um die > zu finden. Wählen Sie den Namen der neu hinzugefügten IdP-Konfiguration aus, die auf der Seite aufgeführt ist.

   

9. Scrollen Sie nach unten, um den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt) am Ende der Seite anzuzeigen. Kopieren Sie den SCIM Service Provider Endpoint (SCIM-Dienstanbieter-Endpunkt). Dieser Wert wird im Feld "Tenant URL" auf der Registerkarte "Bereitstellung" Ihrer Zscaler Private Access (ZPA) Anwendung eingegeben.

   

Schritt 3: Hinzufügen von Zscaler Private Access (ZPA) aus der Galerie

Bevor Sie Zscaler Private Access (ZPA) für die automatische Benutzerbereitstellung mit Azure AD konfigurieren, müssen Sie Zscaler Private Access (ZPA) aus dem Azure AD-Anwendungskatalog zu Ihrer Liste verwalteter SaaS-Anwendungen hinzufügen.

Um Zscaler Private Zugang (ZPA) aus der Microsoft Entra Anwendungsgalerie hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Zscaler Private Access (ZPA) ein, und wählen Sie Zscaler Private Access (ZPA) im Suchfeld aus.

4. Wählen Sie im Ergebnisbereich Zscaler Private Access (ZPA) aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

   

Schritt 4: Konfigurieren der automatischen Benutzerbereitstellung für Zscaler Private Access (ZPA)

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern*innen bzw. Gruppen in SpaceIQ auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.

Konfigurieren der automatischen Benutzerbereitstellung für Zscaler Private Access (ZPA) in Microsoft Entra ID

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Private Access (ZPA).

   

3. Wählen Sie die Registerkarte Bereitstellung aus.

   

4. Wählen Sie + Neue Konfiguration aus.

   

5. Geben Sie im Abschnitt Administratoranmeldeinformationen den SCIM-Dienstanbieter-Endpunkt ein, der zuvor in der Mandanten-URL abgerufen wurde. Geben Sie den Wert für Bearertoken ein, den Sie zuvor unter Geheimes Token abgerufen haben. Wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Zscaler Private Access (ZPA) herstellen kann. Falls beim Verbindungsaufbau ein Fehler auftritt, stellen Sie sicher, dass Ihr Zscaler Private Access (ZPA)-Konto über Administratorberechtigungen verfügt, und versuchen Sie es noch einmal.

   

6. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

7. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

8. Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantänebenachrichtigungen zu erhalten. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.

   

9. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

10. Überprüfen Sie im Abschnitt Attributzuordnung die Benutzerattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Zscaler Private Access (ZPA) für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut	Typ	Unterstützung für das Filtern	Erforderlich für Zscaler Private Zugang
    Nutzername	Schnur	✓	✓
    externalId	Schnur
    active	Boolescher Wert
    E-Mails[Typ eq "Arbeit"].Wert	Schnur
    name.givenName	Schnur
    name.familyName	Schnur
    Anzeigename	Schnur
    Benutzertyp	Schnur
    Spitzname	Schnur
    title	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Schnur

11. Wählen Sie "Gruppen" aus.

12. Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die von Azure AD mit Zscaler Private Access (ZPA) synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Zscaler Private Access (ZPA) für Updatevorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut	Typ	Unterstützung für das Filtern	Erforderlich für Zscaler Private Zugang
    Anzeigename	Schnur	✓	✓
    members	Verweis
    externalId	Schnur

13. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen im Artikel "Bereichsfilter".

14. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

15. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Schritt 5: Überwachen Ihrer Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
2. Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nahe er an der Fertigstellung ist.
3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel über den Anwendungsbereitstellungs-Quarantänestatus.

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.