通过

教程:使用 Microsoft Entra ID 配置 Cloudflare 以实现安全混合访问

  • 项目

本教程介绍如何将 Microsoft Entra ID 与 Cloudflare Zero Trust 集成。 基于用户标识和组成员身份生成规则。 用户可使用 Microsoft Entra 凭据进行身份验证,并连接到受 Zero Trust 保护的应用程序。

先决条件

将组织标识提供者与 Cloudflare Access 集成

Cloudflare 零信任访问有助于强制实施默认拒绝的零信任规则来限制对公司应用程序、专用 IP 空间和主机名的访问。 此功能比虚拟专用网络 (VPN) 更快、更安全地连接用户。 组织可使用多个标识提供者 (IdP),从而减少与合作伙伴或承包商合作时的摩擦。

要添加 IdP 作为登录方法,请在 Cloudflare 登录页面和 Microsoft Entra ID 上登录到 Cloudflare。

以下体系结构图显示了集成情况。

Cloudflare 和 Microsoft Entra 集成体系结构关系图。

将 Cloudflare Zero Trust 帐户与 Microsoft Entra ID 集成

将 Cloudflare Zero Trust 帐户与 AMicrosoft Entra ID 集成。

  1. Cloudflare 登录页上登录到 Cloudflare 零信任仪表板。

  2. 导航到“设置”。

  3. 选择“身份验证”。

  4. 对于“登录方法”,请选择“新增”。

    “身份验证”上“登录方法”选项的屏幕截图。

  5. 在“选择标识提供者”下,选择“Microsoft Entra ID”

  6. 此时会显示“添加 Azure ID”对话框。

  7. 输入 Microsoft Entra 实例凭据,并进行所需的选择。

  8. 选择“保存”。

将 Cloudflare 注册到 Microsoft Entra ID

提示

本文中的步骤可能因开始使用的门户而略有不同。

按照后面三节中的说明将 Cloudflare 注册到 Microsoft Entra ID。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“应用注册”。
  3. 选择“新注册”。
  4. 输入应用程序名称
  5. 在路径末尾输入包含回叫的团队名称。 例如: https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. 选择“注册” 。

请参阅 Cloudflare 术语表中的团队域定义。

“注册应用程序”选项和选择情况的屏幕截图。

证书和机密

  1. 在“Cloudflare Access”屏幕上的“概要”下,复制并保存应用程序(客户端)ID 和目录(租户)ID。

    Cloudflare Access 屏幕的屏幕截图。

  2. 在左侧菜单中“管理”下,选择“证书和机密”。

    “证书和机密”屏幕的屏幕截图。

  3. 在“客户端机密”下,选择“+ 新建客户端机密”。

  4. 在“说明”中输入客户端密码。

  5. 在“过期时间”下,选择过期时间。

  6. 选择 添加

  7. 在“客户端密码”下的“值”字段中,复制该值。 请考虑应用程序密码的值。 此时会显示示例值,Azure 值则显示在 Cloudflare Access 配置中。

权限

  1. 在左侧菜单中,选择“API 权限”。

  2. 选择“+ 添加权限”。

  3. 在“选择 API”下选择“Microsoft Graph”。

    “请求 API 权限”下 Microsoft Graph 选项的屏幕截图。

  4. 为以下权限选择“委托的权限”:

    • 电子邮件
    • openid
    • 个人资料
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. 在“管理”下选择“添加权限”。

    “请求 API 权限”选项和选择情况的屏幕截图。

  6. 选择“授予管理员同意...”。

    “API 权限”下已配置权限的屏幕截图。

  7. 在“Cloudflare 零信任”仪表板上,导航到“设置”>“身份验证”。

  8. 在“登录方法”下选择“新增”。

  9. 选择“Microsoft Entra ID”

  10. 输入应用程序 ID应用程序机密目录 ID 值。

  11. 选择“保存”。

注意

对于 Microsoft Entra 组,请在“编辑 Microsoft Entra 标识提供者”中,为“支持组”选择“开”。

测试集成

  1. 在“Cloudflare 零信任”仪表板上,导航到“设置”>“身份验证”。

  2. 在“登录方法”下,为“Microsoft Entra ID”选择“测试”。

  3. 输入 Microsoft Entra 凭据。

  4. 此时会显示“连接已建立”消息。

    “连接正常”消息的屏幕截图。

后续步骤