Tutorial: Konfigurieren von Zscaler One für die automatische Benutzerbereitstellung
In diesem Tutorial werden die Schritte erläutert, die Sie in Zscaler One und Microsoft Entra ID ausführen müssen, um Microsoft Entra ID zum automatischen Bereitstellen und Aufheben der Bereitstellung von Benutzer*innen und Gruppen in Zscaler One zu konfigurieren.
Hinweis
In diesem Tutorial wird ein Connector beschrieben, der auf dem Microsoft Entra-Benutzerbereitstellungsdienst basiert. Informationen zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie im Artikel zum Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für Anwendungen mit Microsoft Entra ID.
Voraussetzungen
Das in diesem Tutorial beschriebene Szenario setzt voraus, dass Sie über folgende Elemente verfügen:
- Ein Microsoft Entra-Mandant.
- Einen Zscaler One-Mandanten.
- Ein Benutzerkonto in Zscaler One mit Administratorberechtigungen.
Hinweis
Die Microsoft Entra-Bereitstellungsintegration basiert auf der Zscaler One-SCIM-API. Diese API steht für Zscaler One-Entwickler für Konten mit dem Enterprise-Paket zur Verfügung.
Hinzufügen von Zscaler One aus dem Azure Marketplace
Bevor Sie Zscaler One für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, fügen Sie Zscaler One aus dem Azure Marketplace Ihrer Liste verwalteter SaaS-Anwendungen hinzu.
Führen Sie zum Hinzufügen von Zscaler One aus dem Azure Marketplace die folgenden Schritte aus.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Zscaler One ein, und wählen Sie im Ergebnisbereich Zscaler One aus. Wählen Sie dann Hinzufügen aus, um die Anwendung hinzuzufügen.
Zuweisen von Benutzern zu Zscaler One
Microsoft Entra ID ermittelt anhand von Zuweisungen, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Benutzerbereitstellung werden nur die Benutzer*innen oder Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.
Entscheiden Sie vor dem Konfigurieren und Aktivieren der automatischen Benutzerbereitstellung, welche Benutzer*innen oder Gruppen in Microsoft Entra ID Zugriff auf Zscaler One benötigen. Zum Zuweisen dieser Benutzer oder Gruppen zu Zscaler One befolgen Sie die Anleitung unter Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App.
Wichtige Tipps zum Zuweisen von Benutzern zu Zscaler One
Es wird empfohlen, Zscaler One eine*n einzelne*n Microsoft Entra-Benutzer*in zuzuweisen, um die Konfiguration der automatischen Benutzerbereitstellung zu testen. Später können Sie dann weitere Benutzer oder Gruppen zuweisen.
Beim Zuweisen eines Benutzers zu Zscaler One müssen Sie im Dialogfeld für die Zuweisung eine gültige anwendungsspezifische Rolle (sofern verfügbar) auswählen. Benutzer mit der Rolle Standardzugriff werden von der Bereitstellung ausgeschlossen.
Konfigurieren der automatischen Benutzerbereitstellung in Zscaler One
Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts. Befolgen Sie diese Schritte, um Benutzer*innen oder Gruppen in Zscaler One basierend auf Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID zu erstellen, zu aktualisieren und zu deaktivieren.
Tipp
Sie können auch SAML-basiertes einmaliges Anmelden für Zscaler One aktivieren. Befolgen Sie hierfür die Anleitung im Tutorial für einmaliges Anmelden mit Zscaler One. Einmaliges Anmelden kann unabhängig von der automatischen Benutzerbereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.
Hinweis
Beim Bereitstellen oder Aufheben der Bereitstellung von Benutzern und Gruppen wird empfohlen, die Bereitstellung in regelmäßigen Abständen neu zu starten, um sicherzustellen, dass die Gruppenmitgliedschaften ordnungsgemäß aktualisiert werden. Durch einen Neustart wird der Dienst gezwungen, alle Gruppen neu auszuwerten und die Mitgliedschaften zu aktualisieren.
Konfigurieren der automatischen Benutzerbereitstellung für Zscaler One in Microsoft Entra ID
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Zscaler One.
Wählen Sie in der Liste der Anwendungen Zscaler One aus.
Wählen Sie die Registerkarte Bereitstellung.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Geben Sie im Abschnitt Administratoranmeldeinformationen im Feld Mandanten-URL und Geheimes Token die entsprechenden Einstellungen für Ihr Zscaler One-Konto ein, wie in Schritt 6 beschrieben.
Navigieren Sie zum Abrufen der Mandanten-URL und des geheimen Tokens auf der Benutzeroberfläche im Zscaler One-Portal zu Verwaltung>Authentifizierungseinstellungen. Wählen Sie unter Authentifizierungstyp die Option SAML aus.
Wählen Sie SAML konfigurieren aus, um die Optionen unter SAML konfigurieren zu öffnen.
Wählen Sie SCIM-basierte Bereitstellung aktivieren aus, um die Einstellungen für Basis-URL und Bearertoken abzurufen. Speichern Sie anschließend die Einstellungen. Kopieren Sie die Einstellung für Base URL in das Feld Mandanten-URL. Kopieren Sie die Einstellung für Bearer Token in das Feld Geheimes Token.
Nachdem Sie die in Schritt 5 gezeigten Felder ausgefüllt haben, wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Zscaler One herstellen kann. Falls der Verbindungsaufbau fehlschlägt, sollten Sie sicherstellen, dass Ihr Zscaler One-Konto über Administratorberechtigungen verfügt, und den Vorgang dann wiederholen.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll. Aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Wählen Sie Speichern.
Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Benutzer mit Zscaler One synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Zscaler One synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Zscaler One für Updatevorgänge verwendet werden. Um alle Änderungen zu speichern, wählen Sie Speichern aus.
attribute type Unterstützung für das Filtern Erforderlich für Zscaler One userName String ✓ ✓ aktiv Boolean ✓ displayName String ✓ externalId String ✓ name.givenName String name.familyName String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String ✓ Wählen Sie im Bereich Zuordnungen die Option Microsoft Entra-Gruppen mit Zscaler One synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Gruppenattribute, die von Microsoft Entra ID mit Zscaler One synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in Zscaler One für Updatevorgänge verwendet. Um alle Änderungen zu speichern, wählen Sie Speichern aus.
attribute type Unterstützung für das Filtern Erforderlich für Zscaler One displayName String ✓ ✓ externalId String ✓ members Verweis Wenn Sie Bereichsfilter konfigurieren möchten, befolgen Sie die Anleitung unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
Um den Microsoft Entra-Bereitstellungsdienst für Zscaler One zu aktivieren, ändern Sie im Abschnitt Einstellungen den Bereitstellungsstatus in Ein.
Definieren Sie die Benutzer oder Gruppen, die in Zscaler One bereitgestellt werden sollen. Wählen Sie im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.
Wählen Sie Speichern aus, wenn die Bereitstellung erfolgen kann.
Dadurch wird die Erstsynchronisierung aller Benutzer oder Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Die Erstsynchronisierung nimmt mehr Zeit in Anspruch als die folgenden Synchronisierungen. Diese erfolgen etwa alle 40 Minuten, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und über Links zum Bereitstellungsaktivitätsbericht navigieren. Der Bericht beschreibt alle vom Microsoft Entra-Bereitstellungsdienst in Zscaler One ausgeführten Aktionen.
Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.
Änderungsprotokolle
- 16.05.2022: Feature zur Schemaermittlung für diese App wurde aktiviert.
Zusätzliche Ressourcen
- Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
- Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?