Руководство. Настройка Cloudflare с помощью идентификатора Microsoft Entra для безопасного гибридного доступа

  • Статья

В этом руководстве описано, как интегрировать идентификатор Microsoft Entra с Cloudflare Zero Trust. Создание правил на основе удостоверений пользователей и членства в группах. Пользователи проходят проверку подлинности с помощью учетных данных Microsoft Entra и подключаются к защищенным приложениям нулевого доверия.

Необходимые компоненты

Интеграция поставщиков удостоверений организации с Cloudflare Access

Cloudflare Zero Trust Access помогает применять правила запрета по умолчанию и нулевого доверия, которые ограничивают доступ к корпоративным приложениям, частным IP-пространствам и именам узлов. Эта функция подключает пользователей быстрее и безопаснее, чем виртуальная частная сеть (VPN). Организации могут использовать несколько поставщиков удостоверений (поставщиков удостоверений), уменьшая трения при работе с партнерами или подрядчиками.

Чтобы добавить поставщик удостоверений в качестве метода входа, войдите в Cloudflare на странице входа Cloudflare и Идентификатор Microsoft Entra.

На следующей схеме архитектуры показана интеграция.

Diagram of the Cloudflare and Microsoft Entra integration architecture.

Интеграция учетной записи Cloudflare Zero Trust с идентификатором Microsoft Entra

Интеграция учетной записи Cloudflare Zero Trust с экземпляром идентификатора Microsoft Entra.

  1. Войдите на панель мониторинга Cloudflare Zero Trust на странице входа Cloudflare.

  2. Выберите Settings (Параметры).

  3. Выберите Проверка подлинности.

  4. В разделе Способы входа выберите Добавить.

    Screenshot of the Login methods option on Authentication.

  5. В разделе "Выбор поставщика удостоверений" выберите идентификатор Microsoft Entra.

    Screenshot of the Microsoft Entra option under Select an identity provider.

  6. Откроется диалоговое окно Добавление идентификатора Azure.

  7. Введите учетные данные экземпляра Microsoft Entra и укажите необходимые параметры.

    Screenshot of options and selections for Add Microsoft Entra ID.

  8. Выберите Сохранить.

Регистрация Cloudflare с помощью идентификатора Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Используйте инструкции в следующих трех разделах, чтобы зарегистрировать Cloudflare с идентификатором Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям> удостоверений>Регистрация приложений.
  3. Выберите Создать регистрацию.
  4. Введите имя приложения.
  5. Введите имя команды с обратным вызовом в конце пути. Например https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback.
  6. Выберите Зарегистрировать.

См. определение домена группы в глоссарии Cloudflare.

Screenshot of options and selections for Register an application.

Сертификаты и секреты

  1. На экране Cloudflare Access в разделе Essentials скопируйте и сохраните идентификатор приложения (клиента) и идентификатор каталога (клиента).

    Screenshot of the Cloudflare Access screen.

  2. В меню слева в разделе Управление выберите Сертификаты и секреты.

    Screenshot of the certificates and secrets screen.

  3. В разделе Секреты клиента выберите + Новый секрет клиента.

  4. В поле "Описание" введите секрет клиента.

  5. В разделе Срок действия выберите дату для окончания срока действия.

  6. Выберите Добавить.

  7. В разделе Секреты клиента скопируйте значение из поля Значение. Считайте это значение паролем приложения. Появится пример значения Azure в конфигурации Cloudflare Access.

    Screenshot of Client secrets input.

Разрешения

  1. В меню слева выберите Разрешения API.

  2. Выберите + Добавить разрешение.

  3. В разделе Выбор API выберите Microsoft Graph.

    Screenshot of the Microsoft Graph option under Request API permissions.

  4. Выберите Делегированные разрешения для следующих разрешений:

    • Адрес электронной почты
    • openid
    • profile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. В разделе "Управление" выберите + Добавить разрешения.

    Screenshot options and selections for Request API permissions.

  6. Выберите Предоставить согласие администратора для....

    Screenshot of configured permissions under API permissions.

  7. На панели мониторинга Cloudflare Zero Trust перейдите к Параметры > аутентификации.

  8. В разделе Способы входа выберите Добавить.

  9. Выберите идентификатор Microsoft Entra.

  10. Введите значения для идентификатора приложения, секрета приложения и идентификатора каталога.

  11. Выберите Сохранить.

Примечание.

Для групп Microsoft Entra в разделе "Изменение поставщика удостоверений Microsoft Entra" для групп поддержки нажмите кнопку "Вкл.".

Тестирование интеграции

  1. На панели мониторинга Cloudflare Zero Trust перейдите к Параметры> Authentication.

  2. В разделе "Методы входа" для идентификатора Microsoft Entra выберите "Тест".

    Screenshot of login methods.

  3. Введите учетные данные Microsoft Entra.

  4. Отобразится сообщение Подключение работает.

    Screenshot of the Your connection works message.

Следующие шаги