Настройка Zscaler Private Access (ZPA) для автоматического предоставления доступа пользователям

Цель этой статьи — продемонстрировать шаги, которые необходимо выполнить в Zscaler Private Access (ZPA) и Microsoft Entra ID, чтобы настроить Microsoft Entra ID для автоматического предоставления и отзыва прав доступа пользователей и/или групп в Zscaler Private Access (ZPA).

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• клиент Zscaler Private Access (ZPA);
• учетная запись пользователя Zscaler Private Access (ZPA) с разрешениями администратора.

Назначение пользователей для Zscaler Private Access (ZPA)

Идентификатор Microsoft Entra использует концепцию, называемую назначениями, чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В области автоматической настройки пользователей синхронизируются только те пользователи и/или группы, которые были назначены приложению в Microsoft Entra ID.

Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и/или группы в системе идентификации Microsoft Entra должны иметь доступ к Zscaler Private Access (ZPA). Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler Private Access (ZPA), следуя приведенным ниже инструкциям.

• Назначьте пользователя или группу корпоративному приложению

Важные замечания о назначении пользователей для Zscaler Private Access (ZPA)

• Рекомендуется, чтобы для тестирования конфигурации автоматической подготовки пользователей одному пользователю Microsoft Entra был назначен Zscaler Private Access (ZPA). Дополнительные пользователи и/или группы можно назначить позднее.

• При назначении пользователя для Zscaler Private Access (ZPA) в диалоговом окне назначения нужно выбрать действительную роль для конкретного приложения (при наличии). Пользователи с ролью Доступ по умолчанию исключаются из предоставления.

Настройте Zscaler Private Access (ZPA) для предоставления доступа

1. Войдите в консоль администрирования Zscaler Private Access (ZPA). Перейдите в раздел Администрирование > Конфигурация IdP.

   

2. Убедитесь, что для единого входа настроен поставщик удостоверений. Если идентификатор не настроен, добавьте его, щелкнув значок плюса в правом верхнем углу экрана.

   

3. Выполните инструкции мастера настройки Add IdP Configuration (Добавление поставщиков удостоверений), чтобы добавить поставщик удостоверений. В поле Single sign-on (Единый вход) оставьте значение User (Пользователь). Укажите имя и выберите домены из раскрывающегося списка. Щелкните Next (Далее), чтобы перейти к следующему окну.

   

4. Скачайте Service Provider Certificate (Сертификат поставщика услуг). Щелкните Next (Далее), чтобы перейти к следующему окну.

   

5. В следующем окне отправьте скачанный ранее сертификат поставщика услуг.

   

6. Прокрутите страницу вниз, чтобы указать Single Sign-On URL (URL-адрес единого входа) и IdP Entity ID (Идентификатор сущности поставщика удостоверений).

   

7. Прокрутите вниз до Включить синхронизацию SCIM. Нажмите кнопку Создать новый токен. Скопируйте значение Bearer Token (Токен носителя). Это значение будет введено в поле "Секретный токен" на вкладке "Provisioning" приложения Zscaler Private Access (ZPA).

   

8. Чтобы найти Tenant URL, перейдите в раздел Администрирование > Конфигурация IdP. Щелкните имя недавно добавленной конфигурации поставщика удостоверений, которая отображается в списке на этой странице.

   

9. Прокрутите страницу вниз до элемента SCIM Service Provider Endpoint (Конечная точка SCIM поставщика услуг), который находится в самом низу страницы. Скопируйте SCIM Service Provider Endpoint. Это значение будет введено в поле URL-адреса арендатора на вкладке настройки приложения Zscaler Private Access (ZPA).

   

Добавление Zscaler Private Access (ZPA) из коллекции

Перед настройкой Zscaler Private Access (ZPA) для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо добавить Zscaler Private Access (ZPA) из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.

Чтобы добавить Zscaler Private Access (ZPA) из коллекции приложений Microsoft Entra, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям>Enterprise. Новое приложение.
3. В разделе "Добавление из коллекции" введите Zscaler Private Access (ZPA) и выберите Zscaler Private Access (ZPA) в поле поиска.
4. Выберите Zscaler Private Access (ZPA) в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Настройка автоматической подготовки пользователей в Zscaler Private Access (ZPA)

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и /или групп в Zscaler Private Access (ZPA) на основе назначений пользователей и групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Zscaler Private Access (ZPA) в идентификаторе Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Enterprise Zscaler Private Access (ZPA).

   

3. Выберите вкладку Подготовка.

   

4. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

5. В разделе Учетные данные администратора введите в поле URL-адрес клиента полученное ранее значение SCIM Service Provider Endpoint (Конечная точка SCIM поставщика услуг). Введите полученное ранее значение Bearer Token (Токен носителя) в поле Секретный токен. Щелкните "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Zscaler Private Access (ZPA). Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler Private Access (ZPA) есть разрешения администратора, и повторите попытку.

   

6. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Send an email notification when a failure occurs (Отправить уведомление по электронной почте при сбое).

   

7. Нажмите кнопку Сохранить.

8. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Zscaler Private Access (ZPA).

9. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Zscaler Private Access (ZPA) в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства Сопоставление, используются для сопоставления учетных записей пользователей в Zscaler Private Access (ZPA) при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

   Атрибут	Тип	Поддерживается для фильтрации	Требуется для Zscaler Private Access
   userName	Строка	✓	✓
   externalId	Строка
   активный	Логический
   emails[type eq "work"].value	Строка
   имя.данноеИмя	Строка
   имя.фамилия	Строка
   отображаемое имя	Строка
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Строка

10. В разделе "Сопоставления" выберите «Синхронизировать группы Microsoft Entra с Zscaler Private Access (ZPA)».

11. Просмотрите атрибуты группы, которые синхронизированы из Microsoft Entra ID в Zscaler Private Access (ZPA) в разделе сопоставления атрибутов. Атрибуты, выбранные как свойства Сопоставление, используются для сопоставления групп в Zscaler Private Access (ZPA) при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Zscaler Private Access
    отображаемое имя	Строка	✓	✓
    члены	Справочные материалы
    externalId	Строка

12. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

13. Чтобы включить службу подготовки Microsoft Entra для Zscaler Private Access (ZPA), измените состояние подготовки на "Вкл ." в разделе "Параметры ".

    

14. Определите пользователей и/или группы, которых вы хотите предоставить к Zscaler Private Access (ZPA), выбрав нужные значения в поле Область в разделе Параметры.

    

15. Когда будете готовы выполнить настройку, нажмите кнопку Сохранить.

    

После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут, пока работает служба подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в Zscaler Private Access (ZPA).

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о действиях по выделению ресурсов