Condividi tramite

Esercitazione: Configurare l'accesso privato Zscaler con Azure Active Directory B2C

  • Articolo

Questa esercitazione descrive come integrare l'autenticazione di Azure Active Directory B2C (Azure AD B2C) con Zscaler Private Access (ZPA). ZPA è basato su criteri, accesso sicuro alle applicazioni private e agli asset senza il sovraccarico o i rischi di sicurezza di una rete privata virtuale (VPN). L'accesso ibrido sicuro di Zscaler riduce la superficie di attacco per le applicazioni con connessione consumer quando si combina con Azure AD B2C.

Altre informazioni: passare a Zscaler e selezionare Soluzioni prodotti, Prodotti & .

Prerequisiti

Prima di iniziare, sarà necessario:

Descrizione dello scenario

L'integrazione ZPA include i componenti seguenti:

  • Azure AD B2C - Provider di identità (IdP) che verifica le credenziali utente
  • ZPA - Protegge le applicazioni Web applicando l'accesso Zero Trust
  • Applicazione Web - Ospita l'accesso degli utenti del servizio

Il diagramma seguente illustra come ZPA si integra con Azure AD B2C.

Diagramma dell'architettura di Zscaler, l'integrazione ZPA e Azure AD B2C.

  1. Un utente arriva al portale ZPA o a un'applicazione di accesso al browser ZPA per richiedere l'accesso
  2. ZPA raccoglie gli attributi utente. ZPA esegue un reindirizzamento SAML alla pagina di accesso di Azure AD B2C.
  3. I nuovi utenti accedono e creano un account. Gli utenti correnti accedono con le credenziali. Azure AD B2C convalida l'identità utente.
  4. Azure AD B2C reindirizza l'utente a ZPA con l'asserzione SAML, che ZPA verifica. ZPA imposta il contesto utente.
  5. ZPA valuta i criteri di accesso. La richiesta è consentita o non è.

Eseguire l'onboarding in ZPA

Questa esercitazione presuppone che ZPA sia installato ed in esecuzione.

Per iniziare a usare ZPA, passare a help.zscaler.com per la Guida alla configurazione dettagliata per ZPA.

Integrare ZPA con Azure AD B2C

Configurare Azure AD B2C come IDP in ZPA

Configurare Azure AD B2C come IDP in ZPA.

Per altre informazioni, vedere Configurazione di un IDP per l'accesso Single Sign-On.

  1. Accedere al portale di Amministrazione ZPA.

  2. Passare aConfigurazione IDPamministrazione>.

  3. Selezionare Aggiungi configurazione IDP.

  4. Viene visualizzato il riquadro Aggiungi configurazione IDP .

    Screenshot della scheda Informazioni IDP nel riquadro Aggiungi configurazione IDP.

  5. Selezionare la scheda Informazioni idP

  6. Nella casella Nome immettere Azure AD B2C.

  7. In Single Sign-On selezionare Utente.

  8. Nell'elenco a discesa Domini selezionare i domini di autenticazione da associare all'IDP.

  9. Selezionare Avanti.

  10. Selezionare la scheda Metadati SP .

  11. In URL del provider di servizi copiare il valore da usare in un secondo momento.

  12. In ID entità provider di servizi copiare il valore nell'utente in un secondo momento.

    Screenshot dell'opzione ID entità provider di servizi nella scheda Metadati SP.

  13. Selezionare Sospendi.

Configurare criteri personalizzati in Azure AD B2C

Importante

Configurare criteri personalizzati in Azure AD B2C se non sono stati configurati criteri personalizzati.

Per altre informazioni, vedere Esercitazione: Creare flussi utente e criteri personalizzati in Azure Active Directory B2C.

Registrare ZPA come applicazione SAML in Azure AD B2C

  1. Registrare un'applicazione SAML in Azure AD B2C.

  2. Durante la registrazione, in Caricare il criterio, copiare l'URL dei metadati SAML IDP usato da Azure AD B2C per l'uso in un secondo momento.

  3. Seguire le istruzioni fino a configurare l'applicazione in Azure AD B2C.

  4. Per il passaggio 4.2, aggiornare le proprietà del manifesto dell'app

    • Per identificatoriUris immettere l'ID entità del provider di servizi copiato
    • Per samlMetadataUrl, ignorare questa voce
    • Per replyUrlsWithType, immettere l'URL del provider di servizi copiato
    • Per logoutUrl, ignorare questa voce

I passaggi rimanenti non sono necessari.

Estrarre i metadati SAML idP da Azure AD B2C

  1. Ottenere un URL dei metadati SAML nel formato seguente:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Nota

<tenant-name> è il tenant di Azure AD B2C ed <policy-name> è il criterio SAML personalizzato creato. L'URL potrebbe essere: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

  1. Aprire un Web browser.
  2. Passare all'URL dei metadati SAML.
  3. Fare clic con il pulsante destro del mouse sulla pagina.
  4. Selezionare Salva come.
  5. Salvare il file nel computer da usare in un secondo momento.

Completare la configurazione IDP in ZPA

Per completare la configurazione IdP:

  1. Passare al portale di Amministrazione ZPA.

  2. SelezionareConfigurazione IDPamministrazione>.

  3. Selezionare l'IDP configurato e quindi selezionare Riprendi.

  4. Nel riquadro Aggiungi configurazione IDP selezionare la scheda Crea IDP .

  5. In File di metadati IDP caricare il file di metadati salvato.

  6. In Stato verificare che la configurazione sia abilitata.

  7. Selezionare Salva.

    Screenshot dello stato Abilitato, in attributi SAML, nel riquadro Aggiungi configurazione IDP.

Testare la soluzione

Per confermare l'autenticazione SAML, passare a un portale utente ZPA o a un'applicazione di accesso al browser e testare il processo di iscrizione o accesso.

Passaggi successivi