Tutorial: Configuración de Cloudflare con Microsoft Entra ID para el acceso híbrido seguro

  • Artículo

En este tutorial, aprenderá a integrar Microsoft Entra ID con Cloudflare Zero Trust. Compile reglas basadas en la identidad de usuario y la pertenencia a grupos. Los usuarios pueden autenticarse con sus credenciales de Microsoft Entra y conectarse a aplicaciones protegidas con Confianza cero.

Requisitos previos

Integración de los proveedores de identidades de la organización con Cloudflare Access

Cloudflare Zero Trust Access ayuda a aplicar reglas de denegación predeterminada y Confianza cero que limitan el acceso a aplicaciones corporativas, espacios IP privados y nombres de host. Esta característica conecta a los usuarios más rápido y seguro que una red privada virtual (VPN). Las organizaciones pueden usar varios proveedores de identidades (IdP), lo que reduce la fricción al trabajar con asociados o contratistas.

Para agregar un IdP como método de inicio de sesión, inicie sesión en Cloudflare en la página de inicio de sesión de Cloudflare y en Microsoft Entra ID.

En el siguiente diagrama de arquitectura se muestra la integración.

Diagram of the Cloudflare and Microsoft Entra integration architecture.

Integración de una cuenta de Cloudflare Zero Trust con Microsoft Entra ID

Integre una cuenta de Cloudflare Zero Trust con una instancia de Microsoft Entra ID.

  1. Inicie sesión en el panel de Cloudflare Zero Trust en la página de inicio de sesión de Cloudflare.

  2. Navegue a Settings (Configuración).

  3. Seleccione Autenticación.

  4. En Login methods (Métodos de inicio de sesión), seleccione Add new (Agregar nuevo).

    Screenshot of the Login methods option on Authentication.

  5. En Seleccionar un proveedor de identidades, seleccione Microsoft Entra ID.

    Screenshot of the Microsoft Entra option under Select an identity provider.

  6. Aparece el cuadro de diálogo Add Azure ID (Agregar identificador de Azure).

  7. Escriba las credenciales de la instancia de Microsoft Entra y realice las selecciones necesarias.

    Screenshot of options and selections for Add Microsoft Entra ID.

  8. Seleccione Guardar.

Configuración de Cloudflare con Microsoft Entra ID

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Utilice las instrucciones de las tres secciones siguientes para registrar Cloudflare con Microsoft Entra ID.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones en la nube.
  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
  3. Seleccione Nuevo registro.
  4. Escriba un nombre para la aplicación.
  5. Escriba un nombre de equipo con devolución de llamada al final de la ruta de acceso. Por ejemplo: https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. Seleccione Registrar.

Consulte la definición de dominio de equipo en el glosario de Cloudflare.

Screenshot of options and selections for Register an application.

Certificados y secretos

  1. En la pantalla Cloudflare Access, en Información esencial, copie y guarde el identificador de aplicación (cliente) y el identificador de directorio (inquilino).

    Screenshot of the Cloudflare Access screen.

  2. En el menú de la izquierda, en Administrar, seleccione Certificados y secretos.

    Screenshot of the certificates and secrets screen.

  3. En Secretos de cliente, seleccione +Nuevo secreto de cliente.

  4. En Descripción, introduzca la descripción del secreto de cliente.

  5. En Expira, seleccione una expiración.

  6. Seleccione Agregar.

  7. En Secretos de cliente, en el campo Valor, copie el valor. Considere el valor como una contraseña de aplicación. Se muestra el valor de este ejemplo y los valores de Azure aparecen en la configuración de Cloudflare Access.

    Screenshot of Client secrets input.

Permisos

  1. Seleccione Permisos de API en el menú izquierdo.

  2. Seleccione + Agregar un permiso.

  3. En Seleccionar una API, seleccione Microsoft Graph.

    Screenshot of the Microsoft Graph option under Request API permissions.

  4. Seleccione Permisos delegados para los permisos siguientes:

    • Correo electrónico
    • openid
    • perfile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. En Administrar, seleccione + Agregar permisos.

    Screenshot options and selections for Request API permissions.

  6. Seleccione Conceder consentimiento de administrador para ....

    Screenshot of configured permissions under API permissions.

  7. En el panel de Cloudflare Zero Trust, vaya a Configuración > Autenticación.

  8. En Login methods (Métodos de inicio de sesión), seleccione Add new (Agregar nuevo).

  9. Seleccione Microsoft Entra ID.

  10. Escriba los valores del identificador de aplicación, el secreto de aplicación y el identificador de directorio.

  11. Seleccione Guardar.

Nota:

Para los grupos de Microsoft Entra, en Editar el proveedor de identidades de Microsoft Entra, en Soporte técnico de grupos seleccione Activado.

Prueba de la integración

  1. En el panel de Cloudflare Zero Trust vaya a Configuración>Autenticación.

  2. En Métodos de inicio de sesión para Microsoft Entra ID seleccione Probar.

    Screenshot of login methods.

  3. Escriba las credenciales de Microsoft Entra.

  4. Aparece el mensaje Your connection works (La conexión funciona).

    Screenshot of the Your connection works message.

Pasos siguientes