ZPA einrichten¶
Diese Anleitung führt Sie durch die Einrichtung der Zscaler Private Access (ZPA) Anbindung in TCM365. Nach Abschluss kann TCM365 Ihre ZPA-Konfigurationen erfassen, vergleichen und bei Bedarf zurücksetzen.
Voraussetzungen¶
- Zscaler Private Access Lizenz für Ihren Zscaler-Tenant
- Zugriff auf das ZPA Admin Portal
- Customer ID (zu finden unter Administration > Company im ZPA Admin Portal)
Schritt 1: Customer ID ermitteln¶
Die Customer ID identifiziert Ihren ZPA-Tenant gegenüber der API.
- Öffnen Sie das ZPA Admin Portal
- Navigieren Sie zu Administration > Company
- Notieren Sie die angezeigte Customer ID (numerischer Wert)
Schritt 2: ZPA API Client erstellen¶
ZPA verwendet OAuth 2.0 Client Credentials für die API-Authentifizierung. Sie müssen einen API Client im Admin Portal erstellen.
- Öffnen Sie das ZPA Admin Portal
- Navigieren Sie zu Administration > API Credentials
- Klicken Sie auf "Add API Client"
- Vergeben Sie einen aussagekräftigen Namen, z.B. "TCM365 Integration"
- Weisen Sie die passende Rolle zu (siehe Tabelle unten)
- Kopieren Sie Client ID und Client Secret und bewahren Sie beide sicher auf
Wichtig
Das Client Secret wird nur einmal vollständig angezeigt. Speichern Sie es sofort in einem Passwort-Manager oder einem sicheren Speicher. Falls Sie das Secret verlieren, müssen Sie einen neuen API Client erstellen.
Schritt 3: Erforderliche ZPA Rollen prüfen¶
| TCM365-Operation | Mindest-Rolle | Beschreibung |
|---|---|---|
| Snapshots | Read Only Admin | Application Segments, Policies, Connectors lesen |
| Drift-Erkennung | Read Only Admin | Konfigurationsvergleich durchführen |
| Compliance-Check | Read Only Admin | Baselines gegen aktuelle Konfiguration auswerten |
| Rollback | Admin | Application Segments und Policies ändern |
Principle of Least Privilege
Falls Sie nur Snapshots, Drift-Erkennung und Compliance-Checks nutzen möchten, genügt die Rolle Read Only Admin. Die Rolle Admin ist nur erforderlich, wenn Sie auch Rollback-Operationen durchführen wollen.
Schritt 4: In TCM365 verbinden¶
- Öffnen Sie in TCM365 die Sidebar > Tenants
- Klicken Sie auf "Neuen Tenant hinzufügen" (oder öffnen Sie einen bestehenden Zscaler-Tenant)
- Wählen Sie als Vendor-Typ Zscaler
- Wechseln Sie zum Tab "ZPA"
- Geben Sie die Customer ID aus Schritt 1 ein
- Geben Sie die Vanity Domain ein -- das ist der Präfix Ihrer ZPA Login-URL (z.B.
meinefirmawenn Ihre Login-URLmeinefirma.zslogin.netlautet) - Geben Sie die Client ID aus Schritt 2 ein
- Geben Sie das Client Secret aus Schritt 2 ein
- Klicken Sie auf "Verbindung testen"
- Bei erfolgreicher Verbindung klicken Sie auf "Speichern"
ZIA und ZPA kombinieren
Falls Sie bereits ZIA für diesen Zscaler-Tenant eingerichtet haben, können Sie ZPA auf demselben Tenant hinzufügen. Öffnen Sie den bestehenden Tenant und füllen Sie den Tab "ZPA" aus.
Was wird überwacht?¶
TCM365 erfasst 11 ZPA Resource Types in den folgenden Kategorien:
| Kategorie | Resource Type | Severity | Rollback |
|---|---|---|---|
| Application Access | Application Segments | Kritisch | Ja |
| Access Policy | Access Policies | Kritisch | Ja |
| Traffic | Forwarding Policies | Hoch | Ja |
| Inspection | Inspection Policies | Hoch | Ja |
| Infrastruktur | Server Groups | Hoch | Nein |
| Infrastruktur | Connectors | Mittel | Nein |
| Infrastruktur | Service Edges | Mittel | Nein |
| Identity | Identity Providers | Mittel | Nein |
| Compliance | Posture Profiles | Mittel | Nein |
| Netzwerk | Trusted Networks | Niedrig | Nein |
| Logging | LSS Config | Niedrig | Nein |
Rollback-Einschränkungen
Infrastruktur-Ressourcen wie Server Groups, Connectors und Service Edges unterstützen keinen Rollback, da Änderungen an diesen Komponenten physische Auswirkungen auf die Netzwerk-Konnektivität haben können. Policies und Application Segments können hingegen sicher zurückgesetzt werden.
Rate Limits¶
ZPA API Rate Limits
ZPA erlaubt maximal 15 Anfragen pro 10 Sekunden -- unabhängig davon, ob es Lese- oder Schreibzugriffe sind. TCM365 drosselt automatisch mit einem integrierten Rate Limiter. Die OAuth-Tokens werden im Hintergrund erneuert, bevor sie ablaufen.
Fehlerbehebung¶
| Problem | Mögliche Ursache | Lösung |
|---|---|---|
| Verbindungstest schlägt fehl | Falsche Client ID oder Secret | Zugangsdaten prüfen, ggf. neuen API Client erstellen |
| "Invalid Customer ID" | Customer ID falsch | Im ZPA Admin Portal unter Administration > Company prüfen |
| "Unauthorized" | API Client hat keine Rolle | Im ZPA Admin Portal dem API Client eine Rolle zuweisen |
| Snapshot unvollständig | Read Only Admin fehlt | Dem API Client die Rolle Read Only Admin zuweisen |
| Rollback fehlgeschlagen | Nur Read Only Admin | Dem API Client zusätzlich die Rolle Admin zuweisen |
Nächste Schritte¶
- ZIA einrichten -- Falls Sie auch Zscaler Internet Access überwachen möchten
- Ersten Snapshot erstellen -- ZPA-Konfiguration erfassen
- Compliance-Baselines anwenden -- Zscaler-spezifische Baselines nutzen