このチュートリアルでは、Microsoft Entra ID と Cloudflare ゼロ トラストを統合する方法について説明します。 ユーザー ID とグループ メンバーシップに基づいてルールを作成します。 ユーザーは、Microsoft Entra 資格情報を使用して認証し、ゼロ トラストで保護されたアプリケーションに接続します。
前提条件
- Microsoft Entra サブスクリプション
- お持ちでない場合は、Azure 無料アカウントを入手してください
- Microsoft Entra サブスクリプションにリンクされている Microsoft Entra テナント
- 「クイック スタート: Microsoft Entra ID で新しいテナントを作成する」を参照してください
- Cloudflare ゼロ トラスト アカウント
- お持ちでない場合は、「Cloudflare のゼロ トラスト プラットフォームの使用を開始する」に進みます
- クラウド アプリケーション管理者ロール、アプリケーション管理者ロールのいずれか。
組織の ID プロバイダーと Cloudflare Access を統合する
Cloudflare ゼロ トラスト アクセスは、企業アプリケーション、プライベート IP スペース、およびホスト名へのアクセスを制限する既定の拒否、ゼロ トラスト ルールを適用するのに役立ちます。 この機能では、仮想プライベート ネットワーク (VPN) よりも高速かつ安全にユーザーを接続します。 組織で複数の ID プロバイダー (IdP) を使用できるため、パートナーや請負業者と連携するときの煩わしさを軽減できます。
サインイン方法として IdP を追加するには、Cloudflare サインイン ページと Microsoft Entra ID で Cloudflare にサインイン します。
次のアーキテクチャの図は統合を示しています。
Cloudflare ゼロ トラスト アカウントと Microsoft Entra ID の統合
Cloudflare Zero Trust アカウントを Microsoft Entra ID のインスタンスと統合します。
Cloudflare サインイン ページの Cloudflare Zero Trust ダッシュボードにサインインします。
[設定] に移動します。
[ 認証] を選択します。
Login メソッドの場合は、[新規追加] を選択します。
![[認証] の [ログイン方法] オプションのスクリーンショット。](media/cloudflare-integration/login-methods.png)
[ ID プロバイダーの選択] で、[ Microsoft Entra ID] を選択します。
[ Azure ID の追加] ダイアログが表示されます。
Microsoft Entra インスタンスの資格情報を入力して、必要に応じて選択を行います。
[保存] を選択します。
Cloudflare を Microsoft Entra ID に登録する
Cloudflare を Microsoft Entra ID に登録するには、次の 3 つのセクションの手順を使用します。
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- Entra ID>App 登録に移動します。
- [ 新しい登録] を選択します。
- アプリケーション名を入力 します。
- パスの末尾に コールバック があるチーム名を入力します。 たとえば、「
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback」のように入力します。 - [ 登録] を選択します。
Cloudflare 用語集の チーム ドメイン 定義を参照してください。
![[アプリケーションの登録] のオプションと選択のスクリーンショット。](media/cloudflare-integration/register-application.png)
証明書とシークレット
Cloudflare Access 画面の [要点] で、アプリケーション (クライアント) ID とディレクトリ (テナント) ID をコピーして保存します。
左側のメニューの [ 管理] で、[ 証明書とシークレット] を選択します。
![[証明書とシークレット] 画面のスクリーンショット。](media/cloudflare-integration/add-client-secret.png)
[ クライアント シークレット] で、[ + 新しいクライアント シークレット] を選択します。
[ 説明] に、クライアント シークレットを入力します。
[ 有効期限] で、有効期限を選択します。
追加 を選択します。
[ クライアント シークレット] の [ 値 ] フィールドから値をコピーします。 アプリケーションのパスワードの値を考えてください。 この例の値が表示され、Azure の値は [Cloudflare Access の構成] に表示されます。
アクセス許可
左側のメニューで、[ API のアクセス許可] を選択します。
[ + アクセス許可の追加] を選択します。
[ API の選択] で、 Microsoft Graph を選択します。
![[API アクセス許可の要求] の [Microsoft Graph] オプションのスクリーンショット。](media/cloudflare-integration/microsoft-graph.png)
委任されたアクセス許可 を次のアクセス許可に対して選択します。
- openid(オープンID認証プロトコル)
- プロフィール
- オフラインアクセス
- user.read
- directory.read.all
- group.read.all
[ 管理] で、[ + アクセス許可の追加] を選択します。
管理者の同意を付与する... を選択します。
![[API のアクセス許可] で構成されたアクセス許可のスクリーンショット。](media/cloudflare-integration/grant-admin-consent.png)
Cloudflare ゼロ トラスト ダッシュボードで、[ 設定] > [認証] に移動します。
[ Login methods]\(ログインメソッド\) で、[ Add new]\(新規追加\) を選択します。
Microsoft Entra ID を選択します。
アプリケーション ID、アプリケーション シークレット、およびディレクトリ ID の値を入力します。
[保存] を選択します。
![[API のアクセス許可] で構成されたアクセス許可のスクリーンショット。](media/cloudflare-integration/grant-admin-consent.png#lightbox)
注
Microsoft Entra グループの場合は、[ Microsoft Entra ID プロバイダーの編集] の [サポート グループ ] で [オン] を選択します。
統合をテストする
Cloudflare Zero Trust ダッシュボードで、 設定>Authentication に移動します。
[ログイン方法] で、[Microsoft Entra ID] で [テスト] を選択します。
Microsoft Entra の資格情報を入力します。
[接続が機能します] メッセージが表示されます。
![[接続が機能します] メッセージのスクリーンショット。](media/cloudflare-integration/connection-success-screen.png)
関連コンテンツ
- シングルサインオンを統合するには、developer.cloudflare.com にアクセスしてください。
- チュートリアル: Cloudflare Access の条件付きアクセス ポリシーを構成する