Konfigurieren von Zscaler Three für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Microsoft Entra-ID so konfigurieren, dass Benutzer und/oder Gruppen automatisch für Zscaler Three bereitgestellt und entfernt werden.

Hinweis

In diesem Artikel wird ein Connector beschrieben, der auf dem Microsoft Entra-Benutzerbereitstellungsdienst basiert. Wichtige Informationen darüber, was dieser Dienst tut und wie er funktioniert, sowie Antworten auf häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -außerbetriebnahme für SaaS-Anwendungen mit Microsoft Entra ID.

Voraussetzungen

Um die in diesem Artikel beschriebenen Schritte auszuführen, benötigen Sie Folgendes:

– Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen. - Eine der folgenden Rollen: - Anwendungsadministrator - , Cloud-Anwendungsadministrator - , Anwendungsbesitzer..

  • Einen Zscaler Three-Mandanten.
  • Ein Benutzerkonto in Zscaler Three mit Administratorberechtigungen.

Hinweis

Die Microsoft Entra-Bereitstellungsintegration basiert auf der Zscaler ZSCloud-SCIM-API, die für Unternehmenskonten verfügbar ist.

Bevor Sie Zscaler Three für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, müssen Sie Zscaler Three aus dem Microsoft Entra-Anwendungskatalog Ihrer Liste verwalteter SaaS-Anwendungen hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Three.
  3. Wählen Sie in den Ergebnissen Zscaler Drei und dann "Hinzufügen" aus.

Ergebnisliste

Schritt 2: Zuweisen von Benutzern zu Zscaler Three

Für Microsoft Entra-Benutzer muss der Zugriff auf ausgewählte Apps zugewiesen werden, bevor diese die Apps nutzen können. Im Kontext der automatischen Benutzerbereitstellung werden nur die Benutzer*innen oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen sind.

Vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung müssen Sie entscheiden, welche Benutzer oder Gruppen in Microsoft Entra ID Zugriff auf Zscaler Three benötigen. Nachdem Sie sich dafür entschieden haben, können Sie diese Benutzer und Gruppen Zscaler Three zuweisen, indem Sie den Anweisungen unter Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App folgen.

Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler Three

  • Wir haben empfohlen, Zscaler Three eine*n einzelne*n Microsoft Entra-Benutzer*in zuzuweisen, um die Konfiguration der automatischen Benutzerbereitstellung zu testen. Sie können später dann weitere Benutzer und Gruppen zuweisen.

  • Beim Zuweisen eines Benutzers zu Zscaler Three müssen Sie im Dialogfeld für die Zuweisung eine gültige anwendungsspezifische Rolle (sofern verfügbar) auswählen. Benutzer mit der Standardzugriffsrolle werden von der Bereitstellung ausgeschlossen.

Schritt 3: Einrichten der automatischen Benutzerbereitstellung

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in Zscaler Three auf der Grundlage von Benutzer- und Gruppenzuweisungen in Microsoft Entra ID erläutert.

Tipp

Es kann auch ratsam sein, SAML-basiertes einmaliges Anmelden für Zscaler Three zu aktivieren. Wenn Sie dies tun, befolgen Sie die Anweisungen im Artikel "Zscaler Three single sign-on". Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, aber diese beiden Features ergänzen sich gegenseitig.

Hinweis

Beim Bereitstellen oder Aufheben der Bereitstellung von Benutzern und Gruppen wird empfohlen, die Bereitstellung in regelmäßigen Abständen neu zu starten, um sicherzustellen, dass die Gruppenmitgliedschaften ordnungsgemäß aktualisiert werden. Durch einen Neustart wird der Dienst gezwungen, alle Gruppen neu auszuwerten und die Mitgliedschaften zu aktualisieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Zscaler Three.

    Screenshot von Enterprise-Anwendungen.

  3. Wählen Sie in der Anwendungsliste Zscaler Three aus:

    Screenshot der Liste

  4. Wählen Sie die Registerkarte "Bereitstellung" aus :

    Screenshot von Zscaler Three Provisioning.

  5. Wählen Sie + Neue Konfiguration aus.

    Screenshot der neuen Konfiguration.

  6. Geben Sie im Abschnitt "Administratoranmeldeinformationen " die Mandanten-URL und das geheime Token Ihres Zscaler Three-Kontos ein, wie im nächsten Schritt beschrieben.

  7. Um die Mandanten-URL und das geheime Token abzurufen, wechseln Sie im Zscaler Three-Portal zu den>, und wählen Sie SAML unter Authentifizierungstyp aus:

    Screenshot der drei Authentifizierungseinstellungen von Zscaler.

  8. Wählen Sie "SAML konfigurieren" aus, um das SAML-Fenster konfigurieren:

    Screenshot des Fensters „SAML konfigurieren“.

  9. Wählen Sie "SCIM-Based Bereitstellung aktivieren " aus, kopieren Sie die Basis-URL und das Bearertoken, und speichern Sie dann die Einstellungen. Fügen Sie im Azure-Portal die Basis-URL in das Feld "Mandanten-URL " und das Bearertoken in das Feld "Geheimes Token " ein.

  10. Nachdem Sie die Werte in die Felder "Mandanten-URL " und "Geheimes Token " eingegeben haben, wählen Sie "Verbindung testen" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit Zscaler Three herstellen kann. Wenn die Verbindung nicht möglich ist, sollten Sie sicherstellen, dass Ihr Zscaler Three-Konto über Administratorberechtigungen verfügt, und den Vorgang wiederholen.

    Screenshot des Tokens.

  11. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

  12. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

  13. Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantänebenachrichtigungen zu erhalten. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.

    Screenshot der Bereitstellungseigenschaften.

  14. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

  15. Überprüfen Sie die Benutzerattribute, die aus der Microsoft Entra-ID mit Zscaler Three synchronisiert werden, im Abschnitt "Attributzuordnungen ". Die Attribute, die als Matching-Eigenschaften ausgewählt wurden, werden verwendet, um die Benutzerkonten in Zscaler Three für Aktualisierungsvorgänge abzugleichen. Wählen Sie "Speichern" aus, um änderungen zu übernehmen.

    Attribut Typ Unterstützung für das Filtern Erforderlich für Zscaler Three
    Nutzername Schnur
    externalId Schnur
    aktiv Boolean
    name.givenName Schnur
    name.familyName Schnur
    Anzeigename Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Schnur

  16. Wählen Sie "Gruppen" aus.

  17. Überprüfen Sie die Gruppenattribute, die aus der Microsoft Entra-ID mit Zscaler Three synchronisiert werden, im Abschnitt "Attributzuordnungen ". Die als Matching-Eigenschaften ausgewählten Attribute werden verwendet, um die Gruppen in Zscaler Three für Aktualisierungsvorgänge abzugleichen. Wählen Sie "Speichern" aus, um änderungen zu übernehmen.

    Attribut Typ Unterstützung für das Filtern Erforderlich für Zscaler Three
    Anzeigename Schnur
    members Verweis
    externalId Schnur

  18. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen im Artikel "Bereichsfilter".

  19. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

  20. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Schritt 4: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

  1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
  2. Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nahe er an der Fertigstellung ist.
  3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel über den Anwendungsbereitstellungs-Quarantänestatus.

Zusätzliche Ressourcen

Verwandte Inhalte

  • Last updated on