チュートリアル:自動ユーザー プロビジョニング用に Zscaler Private Access (ZPA) を構成する
このチュートリアルの目的は、Azure AD が自動的にユーザーまたはグループを Zscaler Private Access (ZPA) にプロビジョニングまたは Zscaler Private Access (ZPA) からプロビジョニング解除するように構成するために、Zscaler Private Access (ZPA) と Microsoft Entra ID で実行される手順を示すことです。
Note
このチュートリアルでは、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されるコネクタについて説明します。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント
- Zscaler Private Access (ZPA) テナント
- 管理者アクセス許可を持つ Zscaler Private Access (ZPA) のユーザー アカウント。
Zscaler Private Access (ZPA) へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に割り当てという概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーやグループのみが同期されます。
自動ユーザー プロビジョニングを構成して有効にする前に、Zscaler Private Access (ZPA) へのアクセスが必要な Microsoft Entra ID のユーザーやグループを決定しておく必要があります。 決定したら、次の手順に従って、これらのユーザーまたはグループを Zscaler Private Access (ZPA) に割り当てることができます。
ユーザーを Zscaler Private Access (ZPA) に割り当てるための重要なヒント
単一の Microsoft Entra ユーザーを Zscaler Private Access (ZPA) に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。
Zscaler Private Access (ZPA) にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。
プロビジョニング用に Zscaler Private Access (ZPA) を設定する
Zscaler Private Access (ZPA) の管理コンソールにサインインします。 [管理] > [IdP 構成] に移動します。
シングル サインオン用の IdP が構成されていることを確認します。 IdP が設定されていない場合は、画面の右上隅にあるプラス アイコンをクリックすることによって追加します。
[Add IdP Configuration] (IdP 構成の追加) ウィザードに従って IdP を追加します。 [シングル サインオン] フィールドは [ユーザー] に設定されたままにします。 [名前] を指定し、ドロップダウン リストから [ドメイン] を選択します。 [次へ] をクリックして、次のウィンドウに移動します。
サービス プロバイダー証明書をダウンロードします。 [次へ] をクリックして、次のウィンドウに移動します。
次のウィンドウで、前にダウンロードされたサービス プロバイダー証明書をアップロードします。
下へスクロールして、 [シングル サインオン URL] と [IdP エンティティ ID] を指定します。
[Enable SCIM Sync] (SCIM 同期を有効にする) まで下へスクロールします。 [新しいトークンの生成] ボタンをクリックします。 [Bearer Token] (ベアラー トークン) をコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブにある [シークレット トークン] フィールドに入力されます。
[テナント URL] を見つけるには、[管理] > [IdP 構成] に移動します。 このページに表示されている新しく追加された IdP 構成の名前をクリックします。
下へスクロールして、このページの最後にある [SCIM Service Provider Endpoint] (SCIM サービス プロバイダーのエンドポイント) を表示します。 [SCIM Service Provider Endpoint] (SCIM サービス プロバイダーのエンドポイント) をコピーします。 この値は、Zscaler Private Access (ZPA) アプリケーションの [プロビジョニング] タブにある [テナント URL] フィールドに入力されます。
ギャラリーから Zscaler Private Access (ZPA) を追加する
Microsoft Entra ID での自動ユーザー プロビジョニング用に Zscaler Private Access (ZPA) を構成する前に、Zscaler Private Access (ZPA) を Microsoft Entra アプリケーション ギャラリーからマネージド SaaS アプリケーションの一覧に追加する必要があります。
Microsoft Entra アプリケーション ギャラリーから Zscaler Private Access (ZPA) を追加するには、次の手順を実行します。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]、[アプリケーション]、[エンタープライズ アプリケーション]、[新しいアプリケーション] の順に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Zscaler Private Access (ZPA)」と入力して [Zscaler Private Access (ZPA)] を選びます。
- 結果のパネルから [Zscaler Private Access (ZPA)] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
Zscaler Private Access (ZPA) への自動ユーザー プロビジョニングの構成
このセクションでは、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて、Zscaler Private Access (ZPA) でユーザーが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
ヒント
Zscaler Private Access (ZPA) のシングル サインオンに関するチュートリアルに示されている手順に従って、Zscaler Private Access (ZPA) の SAML ベースのシングル サインオンを有効にすることも選択できます。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
注意
ユーザーとグループをプロビジョニングしたりプロビジョニング解除したりする際は、グループ メンバーシップが適切に更新されるよう、定期的にプロビジョニングをやり直すことをお勧めします。 そうすることによって、サービスによって強制的にすべてのグループが再評価され、メンバーシップが更新されます。
注意
Zscaler Private Access の SCIM エンドポイントの詳細については、ここを参照してください。
Microsoft Entra ID で Zscaler Private Access (ZPA) の自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Zscaler Private Access (ZPA)] の順に移動します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者の資格情報] セクションで、 [テナント URL] に、前に取得した [SCIM Service Provider Endpoint] (SCIM サービス プロバイダーのエンドポイント) の値を入力します。 [シークレット トークン] に、前に取得した [Bearer Token] (ベアラー トークン) の値を入力します。 [接続テスト] をクリックして、Microsoft Entra ID が Zscaler Private Access (ZPA) に接続できることを確認します。 接続に失敗する場合は、Zscaler Private Access (ZPA) アカウントに管理者アクセス許可があることを確認し、再試行します。
[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] をクリックします。
[マッピング] セクションで、[Synchronize Microsoft Entra users to Zscaler Private Access (ZPA)] (Microsoft Entra ユーザーを Zscaler Private Access (ZPA) に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるユーザー属性を確認します。 [Matching] (照合) プロパティとして選択されている属性は、更新操作のために Zscaler Private Access (ZPA) のユーザー アカウントを照合するために使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート Zscaler Private Access で必須 userName String ✓ ✓ externalId String active Boolean emails[type eq "work"].value String name.givenName String name.familyName String displayName String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String [マッピング] セクションで、[Synchronize Microsoft Entra groups to Zscaler Private Access (ZPA)] (Microsoft Entra グループを Zscaler Private Access (ZPA) に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Zscaler Private Access (ZPA) に同期されるグループ属性を確認します。 [Matching] (照合) プロパティとして選択されている属性は、更新操作のために Zscaler Private Access (ZPA) のグループを照合するために使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート Zscaler Private Access で必須 displayName String ✓ ✓ members リファレンス externalId String スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
Zscaler Private Access (ZPA) に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択することによって、Zscaler Private Access (ZPA) にプロビジョニングするユーザーまたはグループを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
これにより、 [設定] セクションの [スコープ] で 定義したユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、Microsoft Entra プロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ レポートを取得できます。このレポートには、Microsoft Entra プロビジョニング サービスによって Zscaler Private Access (ZPA) に対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。