教學課程:使用 Microsoft Entra ID 設定 Cloudflare 來進行安全的混合式存取
在本教學課程中,瞭解如何整合 Microsoft Entra ID 與 Cloudflare 零信任。 根據使用者身分識別和群組成員資格來建置規則。 使用者使用 Microsoft Entra 認證進行驗證,並連接到受零信任保護的應用程式。
必要條件
- Microsoft Entra 訂用帳戶
- 如果沒有訂用帳戶,請取得 Azure 免費帳戶
- 連結至 Microsoft Entra 訂用帳戶的 Microsoft Entra 租用戶
- Cloudflare 零信任帳戶
- 如果您沒有帳戶,請前往開始使用 Cloudflare 零信任平台
- 下列其中一個角色:雲端應用程式管理員或應用程式管理員。
整合組織的身分識別提供者與 Cloudflare存取
Cloud 零信任存取有助於強制執行預設拒絕、零信任規則,以限制對公司應用程式、私人 IP 空間和主機名稱的存取。 這項功能可讓使用者與虛擬私人網路 (VPN) 的連結更快、更安全。 組織可以使用多個識別提供者 (IdP),以減少與合作夥伴或承包商合作時的衝突。
若要將 IdP 新增為登入方法,請在 Cloudflare登入頁面 上登入 Cloudflare 與 Microsoft Entra ID。
下列結構圖顯示該整合。
整合 Cloudflare 零信任帳戶與 Microsoft Entra ID
整合 Cloudflare 零信任帳戶與 Microsoft Entra ID 實例。
在 Cloudflare 登入頁面 上登入 Cloudflare 零信任儀表板。
瀏覽至 [設定]。
選取驗證。
為 [登入方法] 選取 [新增]。
在 [選取識別提供者] 底下,選取 [Microsoft Entra ID]。
[新增 Azure 識別碼] 的對話方塊隨即顯示。
輸入 Microsoft Entra 實例認證,然後進行所需的選擇。
選取 [儲存]。
使用 Microsoft Entra ID 註冊 Cloudflare
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
使用下列三個小節中的指示,使用 Microsoft Entra ID 註冊 Cloudflare。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]。
- 選取新增註冊。
- 輸入應用程式名稱。
- 在路徑結尾輸入具有回呼的小組名稱。 例如,
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback - 選取註冊。
請參閱 Cloudflare 詞彙中的小組網域定義。
憑證及祕密
在 [Cloudflare Access] 畫面的 [基本資訊] 底下,複製並儲存應用程式 (用戶端) 識別碼和目錄 (租用戶) 識別碼。
在左側功能表的 [管理] 下,選取 [驗證和密碼]。
在 [用戶端密碼] 底下,選取 [+ 新增用戶端密碼]。
在 [說明] 中,輸入用戶端密碼。
在 [到期] 底下,選取到期日。
選取 [新增]。
在 [用戶端密碼] 的 [值] 欄位中複製值。 請考慮應用程式密碼的值。 這個範例的值會顯示,Azure 值會顯示在 Cloudflare Access 設定中。
權限
從左側選單中選取 [API 權限]。
選取 + 新增權限。
在 [選取 API] 底下選取 [Microsoft Graph]。
![[要求 API 權限] 底下的 [Microsoft Graph] 選項的螢幕擷取畫面。](media/cloudflare-integration/microsoft-graph.png)
針對下列權限選取 [委派權限]:
- 電子郵件
- openid
- 設定檔
- offline_access
- user.read
- directory.read.all
- group.read.all
在 [管理] 底下,選取 [+新增權限]。
![[要求 API 權限] 的選項和選取項目的螢幕擷取畫面。](media/cloudflare-integration/request-api-permissions.png)
選取 [授與管理員同意給...]。
![在 [API 權限] 底下已設定權限的螢幕擷取畫面。](media/cloudflare-integration/grant-admin-consent.png)
在 Cloudflare 零信任儀表板上,瀏覽至 [設定]>[驗證]。
在 [登入方法] 底下選取 [新增]。
選取 [Microsoft Entra ID]。
輸入應用程式識別碼、應用程式密碼,和目錄識別碼的值。
選取 [儲存]。
![[要求 API 權限] 的選項和選取項目的螢幕擷取畫面。](media/cloudflare-integration/request-api-permissions.png#lightbox)
![在 [API 權限] 底下已設定權限的螢幕擷取畫面。](media/cloudflare-integration/grant-admin-consent.png#lightbox)
注意
針對 Microsoft Entra 群組,在 [編輯您的 Microsoft Entra 識別提供者] 中,為 [支援群組] 選取 [開啟]。
測試整合
在 Cloudflare 零信任儀表板上,瀏覽至 [設定]>[驗證]。
在 [登入方法] 底下,針對 [Microsoft Entra ID] 選取 [測試]。
輸入 Microsoft Entra 認證。
[您的連線運作] 訊息隨即出現。
![[您的連線運作] 訊息的螢幕擷取畫面。](media/cloudflare-integration/connection-success-screen.png)
下一步
- 移至整合 SSO 的 developer.cloudflare.com
- 教學課程:設定 Cloudflare Access 的條件式存取原則
- 教學課程:使用 Azure AD B2C 設定 Cloudflare Web 應用程式防火牆