Tutorial: Konfigurieren von Cloudflare mit Microsoft Entra ID für sicheren Hybridzugriff

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Microsoft Entra ID mit Cloudflare Zero Trust integrieren. Erstellen Sie Regeln auf der Grundlage von Benutzeridentität und Gruppenmitgliedschaft. Benutzer authentifizieren sich mit Microsoft Entra-Anmeldeinformationen und verbinden sich mit durch Zero Trust geschützten Anwendungen.

Voraussetzungen

Integrieren von Organisationsidentitätsanbietern und Cloudflare Access

Cloudflare Zero Trust Access hilft bei der Erzwingung des Standardwerts „Verweigern“ und von Zero-Trust-Regeln, die den Zugriff auf Unternehmensanwendungen, private IP-Adressen und Hostnamen beschränken. Dieses Feature verbindet Benutzer schneller und sicherer als ein virtuelles privates Netzwerk (VPN). Organisationen können mehrere Identitätsanbieter (Identity Providers, IdPs) verwenden und so Reibungsverluste bei der Zusammenarbeit mit Partnern oder Auftragnehmern verringern.

Um einen IdP als Anmeldemethode hinzufügen, melden Sie sich auf der Cloudflare-Anmeldeseite und Microsoft Entra ID bei Cloudflare an.

Das folgende Architekturdiagramm zeigt die Implementierung.

Diagram of the Cloudflare and Microsoft Entra integration architecture.

Integrieren eines Cloudflare Zero Trust-Kontos in Microsoft Entra ID

Integrieren Sie ein Cloudflare Zero Trust-Konto mit einer Instanz von Microsoft Entra ID.

  1. Melden Sie sich beim Cloudflare Zero Trust-Dashboard auf der Cloudflare-Anmeldeseite an.

  2. Navigieren zu Einstellungen.

  3. Wählen Sie Authentifizierung aus.

  4. Wählen Sie für Anmeldemethoden die Option Neu hinzufügen aus.

    Screenshot of the Login methods option on Authentication.

  5. Wählen Sie unter Identitätsanbieter auswählen die Option Microsoft Entra ID aus.

    Screenshot of the Microsoft Entra option under Select an identity provider.

  6. Das Dialogfeld Azure-ID hinzufügen wird angezeigt.

  7. Geben Sie die Anmeldeinformationen für die Microsoft Entra-Instanz ein, und treffen Sie die notwendigen Auswahlen.

    Screenshot of options and selections for Add Microsoft Entra ID.

  8. Wählen Sie Speichern aus.

Registrieren von Cloudflare mit Microsoft Entra ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Befolgen Sie die Anweisungen in den folgenden drei Abschnitten, um Cloudflare bei Microsoft Entra ID zu registrieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>App-Registrierungen.
  3. Wählen Sie Neue Registrierung aus.
  4. Geben Sie unter Name einen Anwendungsnamen ein.
  5. Geben Sie einen Teamnamen mit Rückruf am Ende des Pfads ein. Beispiel: https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. Wählen Sie Registrieren.

Weitere Informationen finden Sie in der Definition für die Teamdomäne im Cloudflare-Glossar.

Screenshot of options and selections for Register an application.

Zertifikate und Geheimnisse

  1. Kopieren Sie auf dem Bildschirm Cloudflare Access unter Grundlagen die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID).

    Screenshot of the Cloudflare Access screen.

  2. Wählen Sie im linken Menü unter Verwalten die Option Zertifikate und Geheimnisse aus.

    Screenshot of the certificates and secrets screen.

  3. Wählen Sie unter Geheime Clientschlüssel die Option + Neuer geheimer Clientschlüssel.

  4. Geben Sie unter Beschreibung den geheimen Clientschlüssel ein.

  5. Wählen Sie unter Ablauf ein Ablaufdatum aus.

  6. Wählen Sie Hinzufügen.

  7. Kopieren Sie unter Geheimer Clientschlüssel den Wert aus dem Feld Wert. Betrachten Sie den Wert als ein Anwendungskennwort. Der Beispielwert wird angezeigt, Azure-Werte werden in der Cloudflare Access-Konfiguration angezeigt.

    Screenshot of Client secrets input.

Berechtigungen

  1. Wählen Sie im linken Menü API-Berechtigungen aus.

  2. Wählen Sie + Berechtigung hinzufügen aus.

  3. Wählen Sie unter API auswählen die Option Microsoft Graph aus.

    Screenshot of the Microsoft Graph option under Request API permissions.

  4. Wählen Sie Delegierte Berechtigungen für die folgenden Berechtigungen aus:

    • E-Mail
    • openid
    • profile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. Wählen Sie unter Verwalten die Option + API-Berechtigungen aus.

    Screenshot options and selections for Request API permissions.

  6. Wählen Sie Administratoreinwilligung erteilen für aus.

    Screenshot of configured permissions under API permissions.

  7. Navigieren Sie im Cloudflare Zero Trust-Dashboard zu Einstellungen > Authentifizierung.

  8. Wählen Sie unter Anmeldemethoden die Option Neu hinzufügen aus.

  9. Wählen Sie Microsoft Entra ID aus.

  10. Geben Sie die Werte für Anwendungs-ID, Anwendungsgeheimnis und Verzeichnis-ID ein.

  11. Wählen Sie Speichern aus.

Hinweis

Wählen Sie für Microsoft Entra-Gruppen unter Microsoft Entra-Identitätsanbieter bearbeiten, für Gruppen unterstützen die Option Ein aus.

Testen der Integration

  1. Navigieren Sie im Cloudflare Zero Trust-Dashboard zu Einstellungen>Authentifizierung.

  2. Wählen Sie unter Anmeldemethoden für Microsoft Entra ID die Option Test aus.

    Screenshot of login methods.

  3. Geben Sie die Microsoft Entra-Anmeldeinformationen ein.

  4. Die Meldung Ihre Verbindung funktioniert wird angezeigt.

    Screenshot of the Your connection works message.

Nächste Schritte