教學課程:使用 Microsoft Entra ID 設定 Cloudflare 以安全混合式存取
在本教學課程中,瞭解如何整合 Microsoft Entra ID 與 Cloudflare 零信任。 根據使用者身分識別和群組成員資格建置規則。 使用者會使用 Microsoft Entra 認證進行驗證,並聯機到零信任受保護的應用程式。
必要條件
- Microsoft Entra 訂用帳戶
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- 連結到 Microsoft Entra 訂用帳戶的 Microsoft Entra 租使用者
- Cloudflare 零信任 帳戶
- 如果您沒有帳戶,請移至 開始使用 Cloudflare 的 零信任 平臺
- 下列其中一個角色:Global 管理員istrator、Cloud Application 管理員istrator 或 Application 管理員istrator。
整合組織識別提供者與 Cloudflare Access
Cloudflare 零信任 Access 可協助強制執行預設拒絕、零信任規則,以限制存取公司應用程式、私人 IP 空間和主機名稱。 這項功能可讓使用者比虛擬私人網路 (VPN) 更快且更安全地連線。 組織可以使用多個識別提供者(IdP),在與合作夥伴或承包商合作時減少摩擦。
若要將 IdP 新增為登入方法,請在 Cloudflare 登入頁面 和 Microsoft Entra ID 上 登入 Cloudflare。
下列架構圖顯示整合。
整合 Cloudflare 零信任 帳戶與 Microsoft Entra ID
整合 Cloudflare 零信任 帳戶與 Microsoft Entra 識別碼的實例。
在 Cloudflare 登入頁面上 登入 Cloudflare 零信任儀表板 。
流覽至 [設定 ]。
選取驗證。
針對 [登入方法 ],選取 [ 新增 ]。
在 [選取識別提供者] 底 下,選取 [Microsoft Entra ID ]。
[ 新增 Azure 識別碼 ] 對話方塊隨即出現。
輸入 Microsoft Entra 實例認證,然後進行所需的選擇。
選取 [儲存]。
使用 Microsoft Entra 識別碼註冊 Cloudflare
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
使用下列三節中的指示,向 Microsoft Entra ID 註冊 Cloudflare。
- 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 身分 > 識別應用程式 > 應用程式註冊]。
- 選取新增註冊。
- 輸入應用程式 名稱 。
- 在路徑結尾輸入具有 回呼 的小組名稱。 例如,
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
- 選取註冊。
憑證 & 秘密
在 Cloudflare Access 畫面的 [基本資訊 ] 底下 ,複製並儲存應用程式 (用戶端) 識別碼和目錄 (租使用者) 識別碼。
在左側功能表中,於 [管理] 下,選取 [憑證和祕密]。
在 [用戶端密碼] 底下 ,選取 [+ 新增用戶端密碼 ]。
在 [描述] 中,輸入用戶端密碼。
在 [到期] 底下 ,選取到期日。
選取新增。
在 [用戶端密碼] 底下 ,從 [ 值 ] 欄位複製值。 請考慮應用程式密碼的值。 範例值隨即出現,Azure 值會出現在 Cloudflare Access 設定中。
權限
在左側功能表中,選取 [API 許可權 ]。
選取 + 新增權限。
在 [選取 API ] 下 ,選取 [Microsoft Graph ]。
針對下列許可權選取 [委派的許可權 ]:
- 電子郵件
- openid
- 設定檔
- offline_access
- user.read
- directory.read.all
- group.read.all
在 [管理] 底下 ,選取 [ + 新增許可權 ]。
選取 [ 授與管理員 ...的同意 ]。
在 Cloudflare 零信任 儀表板上,流覽至 [設定 > 驗證 ]。
在 [登入方法] 底下 ,選取 [ 新增 ]。
選取 [Microsoft Entra ID ]。
輸入 [應用程式識別碼 ]、[ 應用程式密碼 ] 和 [ 目錄識別碼 ] 的值。
選取 [儲存]。
注意
針對 Microsoft Entra 群組,在 [編輯您的 Microsoft Entra 識別提供者 ] 中,針對 [支援群組 ] 選取 [ 開啟 ]。
測試整合
在 Cloudflare 零信任 儀表板上,流覽至 設定 > Authentication。
在 [登入方法 ] 底 下,針對 [Microsoft Entra ID] 選取 [ 測試 ]。
輸入 Microsoft Entra 認證。
[ 您的連線工作] 訊息隨即出現。
下一步
- 移至整合 SSO 的 developer.cloudflare.com
- 教學課程:設定 Cloudflare 存取的條件式存取原則
- 教學課程:使用 Azure AD B2C 設定 Cloudflare Web 應用程式防火牆