Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het doel van dit artikel is om de stappen te laten zien die moeten worden uitgevoerd in Zscaler Private Access (ZPA) en Microsoft Entra ID om Microsoft Entra ID te configureren om gebruikers en/of groepen automatisch in te richten en de inrichting van gebruikers en/of groepen ongedaan te maken voor Zscaler Private Access (ZPA).
Notitie
In dit artikel wordt een connector beschreven die is gebouwd op de Microsoft Entra-service voor het inrichten van gebruikers. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleeg Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.
Vereisten
In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:
- Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
- Een van de volgende rollen:
- Een Zscaler Private Access (ZPA)-tenant
- Een gebruikersaccount in Zscaler Private Access (ZPA) met beheerdersmachtigingen.
Stap 1: Gebruikers toewijzen aan Zscaler Private Access (ZPA)
Microsoft Entra ID maakt gebruik van een concept met de naam toewijzingen om te bepalen welke gebruikers toegang moeten krijgen tot geselecteerde apps. In de context van automatische inrichting van gebruikers worden alleen de gebruikers en/of groepen die zijn toegewezen aan een toepassing in Microsoft Entra-id gesynchroniseerd.
Voordat u automatische inrichting van gebruikers configureert en inschakelt, moet u beslissen welke gebruikers en/of groepen in Microsoft Entra ID toegang nodig hebben tot Zscaler Private Access (ZPA). Als u dit eenmaal hebt besloten, kunt u deze gebruikers en/of groepen aan Zscaler Private Access (ZPA) toewijzen door de instructies hier te volgen:
Belangrijke tips voor het toewijzen van gebruikers aan Zscaler Private Access (ZPA)
Het wordt aanbevolen om één Microsoft Entra-gebruiker te koppelen aan Zscaler Private Access (ZPA) om de configuratie van de automatische gebruikersinrichting te testen. Extra gebruikers en/of groepen kunnen later worden toegewezen.
Als u een gebruiker aan Zscaler Private Access (ZPA) toewijst, moet u een geldige toepassingsspecifieke rol (indien beschikbaar) selecteren in het toewijzingsdialoogvenster. Gebruikers met de rol Standaard toegang worden uitgesloten van het inrichten.
Stap 2: Zscaler Private Access (ZPA) instellen voor voorziening
Meld u aan bij uw Zscaler Private Access (ZPA)-beheerconsole. Ga naar Beheer > IdP-configuratie.
Controleer of er een IdP is geconfigureerd voor Eenmalige aanmelding. Als er geen IdP is ingesteld, voegt u er een toe door het pluspictogram in de rechterbovenhoek van het scherm te selecteren.
Volg de wizard IdP-configuratie toevoegen om een IdP toe te voegen. Laat het veld Eenmalige aanmelding ingesteld staan op Gebruiker. Geef een naam op en selecteer de domeinen in de vervolgkeuzelijst. Selecteer Volgende om naar het volgende venster te gaan.
Download het Certificaat van de serviceprovider. Selecteer Volgende om naar het volgende venster te gaan.
Upload in het volgende venster het Certificaat van de serviceprovider dat u eerder hebt gedownload.
Scroll naar beneden om de Single Sign-On URL en de IdP Entity ID op te geven.
Scroll naar beneden naar SCIM-synchronisatie inschakelen. Selecteer de knop Nieuw token genereren. Kopieer de Bearer-token. Deze waarde wordt ingevoerd in het veld Token voor geheim op het tabblad Inrichten van uw Zscaler Private Access-toepassing (ZPA).
Om de Tenant-URL te vinden, gaat u naar Beheer > IDP-configuratie. Selecteer de naam van de zojuist toegevoegde IdP-configuratie op de pagina.
Scrol omlaag om het Eindpunt van de SCIM-serviceprovider aan het einde van de pagina te bekijken. Kopieer het Eindpunt van de SCIM-serviceprovider. Deze waarde wordt ingevoerd in het veld Tenant-URL op het tabblad Inrichten van uw Zscaler Private Access-toepassing (ZPA).
Stap 3: Zscaler Private Access (ZPA) toevoegen vanuit de galerie
Voordat u Zscaler Private Access (ZPA) configureert voor automatische inrichting van gebruikers met Microsoft Entra ID, moet u Zscaler Private Access (ZPA) vanuit de Microsoft Entra-toepassingsgalerie toevoegen aan uw lijst met beheerde SaaS-toepassingen.
Voer de volgende stappen uit om Zscaler Private Access (ZPA) toe te voegen vanuit de Microsoft Entra-toepassingsgalerie:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
Typ in de sectie Toevoegen uit de galerie Zscaler Private Access (ZPA) en selecteer Zscaler Private Access (ZPA) in het zoekvak.
Selecteer Zscaler Private Access (ZPA) in het deelvenster met resultaten en voeg de app vervolgens toe. Wacht enkele seconden terwijl de app aan de tenant wordt toegevoegd.
Stap 4: Automatische gebruikervoorziening configureren voor Zscaler Private Access (ZPA)
In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice om gebruikers en/of groepen in Zscaler Private Access (ZPA) te maken, bij te werken en uit te schakelen op basis van gebruikers- en/of groepstoewijzingen in Microsoft Entra ID.
Aanbeveling
U kunt er ook voor kiezen om eenmalige aanmelding op basis van SAML in te schakelen voor Zscaler Private Access (ZPA) door de instructies in het artikel Zscaler Private Access (ZPA) voor eenmalige aanmelding te volgen. Eenmalige aanmelding kan onafhankelijk van automatische inrichting van gebruikers worden geconfigureerd, hoewel deze twee functies een aanvulling op elkaar vormen.
Notitie
Wanneer gebruikers en groepen worden voorzien of de voorziening ongedaan wordt gemaakt, raden wij aan om periodiek de voorziening te herstarten om ervoor te zorgen dat groepslidmaatschappen correct worden bijgewerkt. Bij een herstart van onze dienst wordt deze gedwongen om alle groepen opnieuw te evalueren en de lidmaatschappen bij te werken.
Notitie
Voor meer informatie over het SCIM-eindpunt van Zscaler Private Access raadpleegt u dit.
Automatische gebruikersinrichting configureren voor Zscaler Private Access (ZPA) in Microsoft Entra ID
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Zscaler Private Access (ZPA).
Selecteer het tabblad Inrichten.
Selecteer + Nieuwe configuratie.
Voer in de sectie Referenties voor beheerder de eindpuntwaarde van de SCIM-serviceprovider in die eerder in de tenant-URL is opgehaald. Voer de waarde van de Bearer-token in die eerder is opgehaald in Geheime token. Selecteer Test verbinding om te controleren of Microsoft Entra ID verbinding kan maken met Zscaler Private Access (ZPA). Als de verbinding mislukt, moet u controleren of uw Zscaler Private Access (ZPA)-account beheerdersmachtigingen heeft. Probeer het daarna opnieuw.
Selecteer Maken om uw configuratie te maken.
Selecteer Eigenschappen op de pagina Overzicht .
Selecteer het pictogram Bewerken om de eigenschappen te bewerken. Schakel e-mailberichten voor meldingen in en geef een e-mailbericht op om quarantainemeldingen te ontvangen. Schakel preventie van onbedoelde verwijderingen in. Selecteer Toepassen om de wijzigingen op te slaan.
Selecteer Kenmerktoewijzing in het linkerdeelvenster en selecteer gebruikers.
Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met Zscaler Private Access (ZPA) worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in Zscaler Private Access (ZPA) te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Kenmerk Soort Ondersteund voor filteren Vereist door Zscaler Private Access gebruikersnaam Snaar ✓ ✓ externId Snaar actief Booleaans emails[type gelijk aan "work"].waarde Snaar name.voornaam Snaar naam.achternaam Snaar weergavenaam Snaar gebruikerstype Snaar gebruikersnaam Snaar titel Snaar urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:afdeling Snaar urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:kostenplaats touw urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:afdeling Snaar Selecteer Groepen.
Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met Zscaler Private Access (ZPA) worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in Zscaler Private Access (ZPA) te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Kenmerk Soort Ondersteund voor filteren Vereist door Zscaler Private Access weergavenaam Snaar ✓ ✓ leden Verwijzing externId Snaar Als u bereikfilters wilt configureren, raadpleegt u de instructies in het artikel Bereikfilter.
Gebruik inrichting op aanvraag om synchronisatie te valideren met een klein aantal gebruikers voordat u een grotere implementatie in uw organisatie implementeert.
Wanneer u klaar bent om in te richten, selecteert u Inrichten starten op de pagina Overzicht .
Stap 5: Uw implementatie bewaken
Zodra u de inrichting hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:
- Gebruik de provisioning logs om te bepalen welke gebruikers wel of niet succesvol zijn geprovisioneerd.
- Controleer de voortgangsbalk om de status van de implementatiecyclus te bekijken en te zien hoe dicht deze bij voltooiing is.
- Als de toepassingsconfiguratie in een ongezonde toestand lijkt te verkeren, wordt de applicatie in quarantaine geplaatst. Meer informatie over quarantainestatussen in het artikel over het inrichten van quarantainestatussen van toepassingen.
Aanvullende bronnen
- Gebruikersaccountinrichting voor zakelijke apps beheren
- Wat is toegang tot toepassingen en eenmalige aanmelding met Microsoft Entra ID?