Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O objetivo deste artigo é demonstrar as etapas a serem executadas no ZPA (Zscaler Private Access) e na ID do Microsoft Entra para configurar a ID do Microsoft Entra para provisionar e desprovisionar automaticamente usuários e/ou grupos no ZPA (Zscaler Private Access).
Observação
Este artigo descreve um conector criado com base no serviço de provisionamento de usuários do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
- Uma das seguintes funções:
- Um locatário do ZPA (Zscaler Private Access)
- Uma conta de usuário no ZPA (Zscaler Private Access) com Permissões de administrador.
Etapa 1: Atribuir usuários ao ZPA (Zscaler Private Access)
O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuários, somente os usuários e/ou grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.
Para configurar e habilitar o provisionamento automático de usuário, decida quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao ZPA (Zscaler Private Access). Depois de decidir, você pode atribuir esses usuários e/ou grupos ao ZPA (Zscaler Private Access) seguindo estas instruções:
Dicas importantes para atribuir usuários ao ZPA (Zscaler Private Access)
É recomendado que um único usuário do Microsoft Entra seja atribuído ao ZPA (Zscaler Private Access) para testar a configuração de provisionamento automático de usuários. Outros usuários e/ou grupos podem ser atribuídos mais tarde.
Ao atribuir um usuário ao ZPA (Zscaler Private Access), é necessário selecionar qualquer função específica ao aplicativo válida (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.
Etapa 2: configurar o ZPA (Zscaler Private Access) para provisionamento
Entre no Console de Administração do ZPA (Zscaler Private Access). Navegue até Administração> Configuração de IdP.
Verifique se um IdP para Logon único está configurado. Se nenhum IdP estiver configurado, adicione um selecionando o ícone de adição no canto superior direito da tela.
Siga o assistente Adicionar Configuração de IdP para adicionar um IdP. Deixe o campo Logon único definido como Usuário. Forneça um Nome e selecione os Domínios na lista suspensa. Selecione Avançar para navegar até a próxima janela.
Baixe o Certificado do Provedor de Serviços. Selecione Avançar para navegar até a próxima janela.
Na próxima janela, carregue o Certificado do Provedor de Serviços baixado anteriormente.
Role para baixo para fornecer a URL de Logon Único e a ID da Entidade do IdP.
Role para baixo para habilitar a sincronização do SCIM. Selecione o botão Gerar Novo Token . Copie o Token de Portador. Esse valor é inserido no campo Token Secreto na guia Provisionamento do seu aplicativo ZPA (Zscaler Private Access).
Para localizar a URL do Locatário, navegue até Administração > Configuração de IdP. Selecione o nome da configuração de IdP recém-adicionada listada na página.
Role para baixo para ver o Ponto de Extremidade de Provedor de Serviços do SCIM no final da página. Copie o Ponto de Extremidade do Provedor de Serviços do SCIM. Esse valor é inserido no campo URL do Locatário na guia Provisionamento do aplicativo ZPA (Zscaler Private Access).
Etapa 3: Adicionar ZPA (Zscaler Private Access) por meio da galeria
Antes de configurar o ZPA (Zscaler Private Access) para provisionamento automático de usuário com o Microsoft Entra ID, é necessário adicionar o ZPA (Zscaler Private Access) da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.
Para adicionar o ZPA (Zscaler Private Access) da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
Na seção Adicionar por meio da galeria, digite ZPA (Zscaler Private Access) e selecione ZPA (Zscaler Private Access) na caixa de pesquisa.
Escolha ZPA (Zscaler Private Access) no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Etapa 4: Configurar o provisionamento automático de usuário para o ZPA (Zscaler Private Access)
Essa seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Zscaler Private Access (ZPA) com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.
Dica
Você também pode optar por habilitar o logon único baseado em SAML para ZPA (Zscaler Private Access) seguindo as instruções fornecidas no artigo de logon único do Zscaler Private Access (ZPA). O logon único pode ser configurado de modo independente do provisionamento automático de usuário, embora os dois sejam complementares.
Observação
Quando os usuários e grupos são provisionados ou desprovisionados, é recomendável reiniciar periodicamente o provisionamento para garantir que as associações de grupo sejam atualizadas corretamente. A realização de uma reinicialização forçará nosso serviço a reavaliar todos os grupos e atualizar as associações.
Observação
Para saber mais sobre o ponto de extremidade do SCIM do Zscaler Private Access, veja isto.
Configurar o provisionamento automático de usuário para Zscaler Private Access (ZPA) no Microsoft Entra ID
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Entra ID>Aplicativos empresariais>Zscaler Private Access (ZPA).
Selecione a guia Provisionamento.
Selecione + Nova configuração.
Na seção Credenciais de Administrador, insira o valor do Ponto de Extremidade do Provedor de Serviços do SCIM recuperado anteriormente em URL do Locatário. Insira o valor Token de Portador recuperado anteriormente no Token Secreto. Selecione Testar Conexão para garantir que a ID do Microsoft Entra possa se conectar ao ZPA (Zscaler Private Access). Se a conexão falhar, verifique se a sua conta do ZPA (Zscaler Private Access) tem permissões de administrador e tente novamente.
Selecione Criar para criar sua configuração.
Selecione Propriedades na página Visão Geral .
Selecione o ícone Editar para editar as propriedades. Habilite emails de notificação e forneça um email para receber notificações de quarentena. Habilitar prevenção de exclusões acidentais. Escolha Aplicar para salvar as alterações.
Selecione Mapeamento de Atributos no painel esquerdo e selecione usuários.
Examine os atributos de usuário sincronizados do Microsoft Entra ID com o ZPA (Zscaler Private Access) na seção Mapeamentos de Atributo. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no ZPA (Zscaler Private Access) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Com suporte para filtragem Exigido pelo Zscaler Private Access userName fio ✓ ✓ externalId fio ativo booleano emails[type eq "work"].value fio name.givenName fio name.familyName fio displayName fio tipoDeUsuário fio nickName fio título fio urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department fio urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter cadeia urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division fio Selecione Grupos.
Examine os atributos de grupo sincronizados do Microsoft Entra ID com o ZPA (Zscaler Private Access) na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no ZPA (Zscaler Private Access) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Com suporte para filtragem Exigido pelo Zscaler Private Access displayName fio ✓ ✓ membros Referência externalId fio Para configurar filtros de escopo, consulte as instruções fornecidas no artigo de filtro de escopo.
Use o provisionamento sob demanda para validar a sincronização com um pequeno número de usuários antes de implantar de forma mais ampla em sua organização.
Quando estiver pronto para provisionar, selecione Iniciar Provisionamento na página Visão Geral .
Etapa 5: monitorar a implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Utilize os logs de provisionamento para determinar quais usuários foram provisionados com sucesso ou sem sucesso.
- Verifique a barra de progresso para ver o status do ciclo de provisionamento e o quão perto está da conclusão
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena no artigo estado de quarentena de provisionamento de aplicativos.
Recursos adicionais
- Gerenciamento do provisionamento de contas de usuário para Aplicativos Empresariais
- O que é o acesso a aplicativos e o logon único com o Microsoft Entra ID?