教學課程:使用 Microsoft Entra ID 設定 Cloudflare 以安全混合式存取

  • 發行項

在本教學課程中,瞭解如何整合 Microsoft Entra ID 與 Cloudflare 零信任。 根據使用者身分識別和群組成員資格建置規則。 使用者會使用 Microsoft Entra 認證進行驗證,並聯機到零信任受保護的應用程式。

必要條件

整合組織識別提供者與 Cloudflare Access

Cloudflare 零信任 Access 可協助強制執行預設拒絕、零信任規則,以限制存取公司應用程式、私人 IP 空間和主機名稱。 這項功能可讓使用者比虛擬私人網路 (VPN) 更快且更安全地連線。 組織可以使用多個識別提供者(IdP),在與合作夥伴或承包商合作時減少摩擦。

若要將 IdP 新增為登入方法,請在 Cloudflare 登入頁面 和 Microsoft Entra ID 上 登入 Cloudflare。

下列架構圖顯示整合。

Diagram of the Cloudflare and Microsoft Entra integration architecture.

整合 Cloudflare 零信任 帳戶與 Microsoft Entra ID

整合 Cloudflare 零信任 帳戶與 Microsoft Entra 識別碼的實例。

  1. 在 Cloudflare 登入頁面上 登入 Cloudflare 零信任儀表板

  2. 流覽至 [設定 ]。

  3. 選取驗證

  4. 針對 [登入方法 ],選取 [ 新增 ]。

    Screenshot of the Login methods option on Authentication.

  5. 在 [選取識別提供者] 底 下,選取 [Microsoft Entra ID ]。

    Screenshot of the Microsoft Entra option under Select an identity provider.

  6. [ 新增 Azure 識別碼 ] 對話方塊隨即出現。

  7. 輸入 Microsoft Entra 實例認證,然後進行所需的選擇。

    Screenshot of options and selections for Add Microsoft Entra ID.

  8. 選取 [儲存]。

使用 Microsoft Entra 識別碼註冊 Cloudflare

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

使用下列三節中的指示,向 Microsoft Entra ID 註冊 Cloudflare。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別應用程式 > 應用程式註冊]。
  3. 選取新增註冊
  4. 輸入應用程式 名稱
  5. 在路徑結尾輸入具有 回呼 的小組名稱。 例如,https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. 選取註冊

請參閱 Cloudflare 詞彙中的小組網域 定義。

Screenshot of options and selections for Register an application.

憑證 & 秘密

  1. 在 Cloudflare Access 畫面的 [基本資訊 ] 底下 ,複製並儲存應用程式 (用戶端) 識別碼和目錄 (租使用者) 識別碼。

    Screenshot of the Cloudflare Access screen.

  2. 在左側功能表中,於 [管理] 下,選取 [憑證和祕密]

    Screenshot of the certificates and secrets screen.

  3. 在 [用戶端密碼] 底下 ,選取 [+ 新增用戶端密碼 ]。

  4. [描述] 中,輸入用戶端密碼。

  5. 在 [到期] 底下 ,選取到期日。

  6. 選取新增

  7. [用戶端密碼] 底下 ,從 [ ] 欄位複製值。 請考慮應用程式密碼的值。 範例值隨即出現,Azure 值會出現在 Cloudflare Access 設定中。

    Screenshot of Client secrets input.

權限

  1. 在左側功能表中,選取 [API 許可權 ]。

  2. 選取 + 新增權限

  3. 在 [選取 API ] 下 ,選取 [Microsoft Graph ]。

    Screenshot of the Microsoft Graph option under Request API permissions.

  4. 針對下列許可權選取 [委派的許可權 ]:

    • 電子郵件
    • openid
    • 設定檔
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. 在 [管理] 底下 ,選取 [ + 新增許可權 ]。

    Screenshot options and selections for Request API permissions.

  6. 選取 [ 授與管理員 ...的同意 ]。

    Screenshot of configured permissions under API permissions.

  7. 在 Cloudflare 零信任 儀表板上,流覽至 [設定 > 驗證 ]。

  8. 在 [登入方法] 底下 ,選取 [ 新增 ]。

  9. 選取 [Microsoft Entra ID ]。

  10. 輸入 [應用程式識別碼 ]、[ 應用程式密碼 ] 和 [ 目錄識別碼 ] 的值。

  11. 選取 [儲存]

注意

針對 Microsoft Entra 群組,在 [編輯您的 Microsoft Entra 識別提供者 ] 中,針對 [支援群組 ] 選取 [ 開啟 ]。

測試整合

  1. 在 Cloudflare 零信任 儀表板上,流覽至 設定 > Authentication。

  2. 在 [登入方法 ] 底 下,針對 [Microsoft Entra ID] 選取 [ 測試 ]。

    Screenshot of login methods.

  3. 輸入 Microsoft Entra 認證。

  4. [ 您的連線工作] 訊息隨即出現。

    Screenshot of the Your connection works message.

下一步