Nach, vor, mit oder während der Migration des O365 folgt unmittelbar die Migration vom alt bekannten On-Premises AD zum Azure AD. Der neuste Trend in Kombination mit Zscaler ist Synchronisation der Benutzer mit dem Protokoll «System for Cross-domain Identity Management» kurz SCIM. Alles schön, neu und super fancy oder doch noch etwas cloudy?

In diesem Blog Artikel möchte ich etwas mehr Licht in die Verbindung zwischen Zscaler und Azure AD bringen.


Zscaler - Authentisierung und Synchronisierung

Bevor wir den Deep Dive in die Verbindungsthematik zwischen Azure AD und Zscaler starten, erst ein paar Worte zum Background der Möglichkeiten der Zscaler Authentisierung. Bei Zscaler müssen die Benutzer einerseits authentisiert und andererseits synchronisiert werden. Zscaler bietet für die Benutzerverwaltung die Möglichkeiten des manuellen Erfassens, der AD -Synchronisation, die Authentication Bridge oder die Synchronisation via der Protokolle SAML oder SCIM an. Für die Authentisierung bietet Zscaler Form Based (Username und Passwort) oder SAML an.

Die Synchronisation und Authentisierung können auch untereinander kombiniert werden. Die am meist verwendete Authentisierung ist SAML mit Authentication und Provisioning (Synchronisierung) oder auch SAML Authentication mit SCIM Synchronisierung. Und wie spielt diese Authentisierung nun mit dem Azure AD zusammen?


Zscaler und Azure AD

Bei Zscaler können als Benutzerverwaltungstools neben Drittanbietern wie OKTA auch das On Premises AD oder das Azure AD zur Authentisierung verwendet werden. Gute Erfahrungen habe ich mit den folgenden Kombinationen gemacht.

    • On Premises AD
      • Authentisierung:     SAML
      • Synchronisierung:   SAML
    • Azure AD
      • Authentisierung:     SAML
      • Synchronisierung:   SCIM

Bei Ihnen geht Azure über alles und soll nun neu auch gleich mit Zscaler verbunden werden? Dafür habe ich Ihnen aus meiner Erfahrung ein paar «Dos and Don’ts» zusammengestellt.


Dos ...

    • Überstürzen Sie nichts.
    • Prüfen Sie Ihre aktuelle Authentisierung auf Abhängigkeiten in der Konfiguration, wie beispielsweise die Verwendung der Gruppen in den Policies.
    • Planen Sie ein Wartungsfenster für die Anpassungen der aktiven Konfiguration, da diese Auswirkung auf die Benutzer hat (Neuanmeldung via dem neuen Directory)

... and Don’ts

    • Kombination von AD Synchronisation mit SAML Authentisierung und SCIM Synchronisierung.
    • SAML Authentisierung bei der sowohl SAML Provisioning als auch SCIM Synchronisierung aktiv sind (im Bild ersichtlich)
    • Authentisierungsanpassung ohne Fall Back Plan

Und was ist nun «cloudy» an dieser Geschichte?


Azure AD mit SAML Authentisierung und SCIM Synchronisierung

Wenn man neu mit Zscaler beginnt, ist die Anbindung an das Azure AD mit SAML Authentisierung und SCIM Synchronisierung nach Guide einzurichten und funktioniert einwandfrei.

Tricky wird diese Wunschkonfiguration erst, wenn Sie bereits Zscaler haben und auf diese Konfiguration wechseln wollen. Im Unterschied zur SAML On-Premises Anbindung arbeitet das Azure AD bei Benutzern und Gruppen nicht mit den Namen sondern mit IDs. Dies bedeutet, dass in Zscaler eine Gruppe gleich aussehen kann wie bei Azure AD, es jedoch nicht die Azure AD Gruppe ist. Wieso ist dies gefährlich?

Dies ist dann gefährlich, wenn beispielsweise für die Policies die Zuweisung für ZAPP oder ZPA Gruppen verwendet werden. Dann kann es sein, dass die Benutzer durch veraltete Gruppen ihre Rechte verlieren. Dies hat zur Folge, dass die Benutzer nicht mehr wie gewünscht surfen können oder im Falle von ZPA der Zugriff auf Ressourcen nicht mehr möglich ist. Weiter arbeitet SCIM inkrementell in der Benutzer und Gruppen Synchronisation. Entsprechend kann es sein, dass bestehende oder neue Benutzer nicht alle Gruppen erhalten, da diese für den SCIM Dienst nicht neu sind und somit nicht synchronisiert werden. Erst durch das Verwenden des Buttons «Clear current state and restart synchronization» (im Bild ersichtlich) werden alle Benutzer nochmals vollständig mit allen zugewiesenen Gruppen synchronisiert.

Somit aufgepasst bei Änderungen der Authentication Settings, wie beispielsweise der Migration auf SCIM. Denn ohne das nötige Fachwissen können diese Dienste doch sehr «cloudy» erscheinen und eine Fehlkonfiguration zu grösseren Ausfällen führen.


Links

Weitere Infos zu Zscaler gibt es auch auf der AVANTEC Website: www.avantec.ch/loesungen/zscaler/

Zscaler Big Picture (Deutsch) von AVANTEC auf YouTube: youtu.be/kWfpuF494TA