この記事の目的は、Zscaler Private Access (ZPA) と Microsoft Entra ID で実行する手順を示して、ユーザーやグループを Zscaler Private Access (ZPA) に自動的にプロビジョニングおよびプロビジョニング解除するように Microsoft Entra ID を構成することです。
注
この記事では、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されたコネクタについて説明します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
前提条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
- 次のいずれかのロール:
- Zscaler Private Access (ZPA) テナント
- 管理者アクセス許可を持つ Zscaler Private Access (ZPA) のユーザー アカウント。
手順 1: Zscaler Private Access (ZPA) にユーザーを割り当てる
Microsoft Entra ID では、 割り当て と呼ばれる概念を使用して、選択したアプリへのアクセスを受け取るユーザーを決定します。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内でアプリケーションに割り当て済みのユーザーとグループのみが同期されます。
自動ユーザー プロビジョニングを構成して有効にする前に、Microsoft Entra ID のどのユーザーまたはグループに Zscaler Private Access (ZPA) へのアクセスが必要かを決定する必要があります。 決定したら、次の手順に従って、これらのユーザーまたはグループを Zscaler Private Access (ZPA) に割り当てることができます。
Zscaler Private Access (ZPA) にユーザーを割り当てる場合の重要なヒント
自動ユーザー プロビジョニング構成をテストするには、1 人の Microsoft Entra ユーザーを Zscaler Private Access (ZPA) に割り当てることをお勧めします。 後でユーザーやグループを追加で割り当てられます。
Zscaler Private Access (ZPA) にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外されます。
手順 2: プロビジョニング用に Zscaler Private Access (ZPA) を設定する
Zscaler Private Access (ZPA) 管理コンソールにサインインします。 [管理> IdP 構成] に移動します。
シングル サインオン用の IdP が構成されていることを確認します。 IdP が設定されていない場合は、画面の右上隅にあるプラス アイコンを選択して追加します。
IdP 構成の追加ウィザードに従って、IdP を追加します。 [シングル サインオン] フィールドは [ユーザー] のままにします。 [名前] を指定し、ドロップダウン リストから [ドメイン] を選択します。 [次へ] を選択して、次のウィンドウに移動します。
サービス プロバイダー証明書をダウンロードします。 [次へ] を選択して、次のウィンドウに移動します。
次のウィンドウで、前にダウンロードした サービス プロバイダー証明書 をアップロードします。
下にスクロールして、 シングル サインオン URL と IdP エンティティ ID を指定します。
下にスクロールして SCIM 同期を有効にします。[ 新しいトークンの生成 ] ボタンを選択します。 ベアラー トークンをコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブの [シークレット トークン] フィールドに入力されます。
テナント URL を見つけるには、[管理> IdP 構成] に移動します。 ページに一覧表示されている新しく追加された IdP 構成の名前を選択します。
下にスクロールして、ページの最後にある SCIM サービス プロバイダー エンドポイント を表示します。 SCIM サービス プロバイダー エンドポイントをコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブの [テナント URL] フィールドに入力されます。
手順 3: ギャラリーから Zscaler Private Access (ZPA) を追加する
Microsoft Entra ID での自動ユーザー プロビジョニング用に Zscaler Private Access (ZPA) を構成する前に、Zscaler Private Access (ZPA) を Microsoft Entra アプリケーション ギャラリーからマネージド SaaS アプリケーションの一覧に追加する必要があります。
Microsoft Entra アプリケーション ギャラリーから Zscaler Private Access (ZPA) を追加するには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>エンタープライズアプリ>新しいアプリケーションを参照します。
[ギャラリーからの追加] セクションで、「Zscaler Private Access (ZPA)」と入力し、検索ボックスで Zscaler Private Access (ZPA) を選択します。
結果パネルから Zscaler Private Access (ZPA) を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
手順 4: Zscaler Private Access (ZPA) への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザー/グループの割り当てに基づいて Zscaler Private Access (ZPA) 内のユーザー/グループを作成、更新、無効にするよう、Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
ヒント
Zscaler Private Access (ZPA) のシングル サインオンに関する記事に記載されている手順に従って、 Zscaler Private Access (ZPA) に対して SAML ベースのシングル サインオンを有効にすることもできます。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
注
ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。
注
Zscaler Private Access の SCIM エンドポイントの詳細については、 こちらを参照してください。
Microsoft Entra ID で Zscaler Private Access (ZPA) の自動ユーザー プロビジョニングを構成する
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
[Entra ID]>[Enterprise アプリ]>[Zscaler Private Access (ZPA)] を参照します。
[プロビジョニング] タブ を 選択します。
![[プロビジョニング] オプションが強調表示されている [管理] オプションのスクリーンショット。](common/provisioning.png)
[ + 新しい構成] を選択します。
![[プロビジョニング] ページの [新しい構成] オプションのスクリーンショット。](common/application-provisioning.png)
[ 管理者資格情報 ] セクションで、先ほど取得した SCIM サービス プロバイダー エンドポイント の値を テナント URL に入力します。 先ほど取得した ベアラー トークン 値を シークレット トークンに入力します。 [ テスト接続] を選択して、Microsoft Entra ID が Zscaler Private Access (ZPA) に接続できることを確認します。 接続に失敗する場合は、Zscaler Private Access (ZPA) アカウントに管理者アクセス許可があることを確認し、再試行します。
[ 作成] を選択して構成を作成します。
[概要] ページで [プロパティ] を選択します。
[編集] アイコンを選択してプロパティを編集します。 通知メールを有効にし、検疫通知を受信する電子メールを提供します。 誤削除防止を有効にします。 [適用] を選択して変更を保存します。
![[プロビジョニングのプロパティ] ページのスクリーンショット。](common/provisioning-properties.png)
左側のパネルで [属性マッピング ] を選択し、ユーザーを選択 します。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Zscaler Private Access (ZPA) のユーザー アカウントとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。
属性 タイプ フィルター処理のサポート Zscaler Private Access で必要 ユーザー名 糸 ✓ ✓ externalId 糸 活動中 ブール値 emails[type eq "work"].value 糸 name.givenName 糸 name.familyName 糸 displayName 糸 ユーザータイプ 糸 ニックネーム 糸 タイトル 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter 文字列 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division 糸 [グループ] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるグループ 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Zscaler Private Access (ZPA) のグループとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。
属性 タイプ フィルター処理のサポート Zscaler Private Access で必要 displayName 糸 ✓ ✓ members 関連項目 externalId 糸 スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている手順 を参照してください。
オンデマンド プロビジョニングを使用して、少数のユーザーとの同期を検証してから、組織内でより広範にデプロイします。
プロビジョニングの準備ができたら、[概要] ページから [プロビジョニングの開始] を選択します。
手順 5: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バー を確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
- プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。