Zscaler Internet Accessでのユーザプロビジョニング

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Internet Accessでのユーザプロビジョニングについてご紹介します。

ユーザプロビジョニングの方法

Zscaler Internet Accessで認証を行うためには外部認証(SAML等)でもZscaler Internet Access側にユーザの作成が必要です。

そのユーザ作成を行うことをユーザプロビジョニングといいます。

ユーザプロビジョニングは5種類から選択できます。

  • SAMLを利用したユーザプロビジョニング
    SAML認証時にユーザプロビジョニングを行います
  • SCIM
    API利用でユーザプロビジョニングを行います
  • ローカルデータベース
    Zscaler内にユーザを登録します
  • ディレクトリサーバとの同期
    ローカルデータベースにディレクトリサーバ(Active Directory等)のユーザをプロビジョニングします
    ディレクトリサーバにZscalerからのインバウンド通信が必要です
  • Zscaler Authentication Bridge
    ローカルデータベースにディレクトリサーバ(Active Directory等)のユーザをプロビジョニングします
    Zscaler Authentication Bridgeが代替するためディレクトリサーバにZscalerからのインバウンド通信は不要です

なお、認証は7種類から選択できます。

  • Identity Federation Using SAML
    SAML認証を行います
  • Kerberos Authentication
    Kerberos認証を行います
  • Directory Server Synchronization
    LDAP認証を行います
  • Zscaler Authentication Bridge
    仮想認証サーバを構築して認証します
  • One-Time Link
    ユーザにワンタイムリンクのメールを送信します
  • One-Time Token
    ユーザにワンタイムパスワードのメールを送信します
  • Passwords
    Zscaler Internet Accessのローカルデータベースにユーザ、パスワードを設定して認証します

SAMLでのユーザプロビジョニング

  • ユーザ認証後、Zscaler Internet Access側にユーザがいなければ追加されます
  • ユーザ認証後、Zscaler Internet Access側のユーザ情報に差異があれば変更されます
  • ユーザ認証後、SAML側にユーザがいなければZscaler Internet Access側のユーザ情報が削除されます

SAMLでのユーザプロビジョニング注意点

Zscaler Client Connector(ZCC)を利用してるときはSAMLの再ログインを行いわないためユーザ情報をSAML認証以外で更新する必要があります。

  • SCIMを利用する
    SAML IdPが実装していることが多いです。
  • CSVで修正する
    指定のフォーマットをアップロードして更新します。

まとめ

  • Zscaler Internet Accessでの認証は外部認証でもユーザ作成が必要
  • SAMLでZscaler Client Connectorを利用する際は再認証されないためユーザ情報更新にSAML以外を利用する必要がある

今回はZscaler Internet Accessでのユーザプロビジョニングについてご紹介しました。