Sdílet prostřednictvím

Kurz: Konfigurace privátního přístupu Zscaler pomocí Azure Active Directory B2C

  • Článek

V tomto kurzu se dozvíte, jak integrovat ověřování Azure Active Directory B2C (Azure AD B2C) se Zscaler Private Access (ZPA). ZPA je zabezpečený přístup k privátním aplikacím a prostředkům založeným na zásadách bez režijních nákladů nebo bezpečnostních rizik virtuální privátní sítě (VPN). Zabezpečený hybridní přístup Zscaler v kombinaci s Azure AD B2C snižuje prostor pro útoky na aplikace určené uživatelům.

Další informace: Přejděte na Zscaler a vyberte Produkty & Řešení, Produkty.

Požadavky

Než začnete, budete potřebovat:

Popis scénáře

Integrace ZPA zahrnuje následující komponenty:

  • Azure AD B2C – zprostředkovatel identity, který ověřuje přihlašovací údaje uživatele
  • ZPA – Zabezpečení webových aplikací vynucením přístupu nulová důvěra (Zero Trust)
  • Webová aplikace – hostuje přístup uživatelů služby.

Následující diagram znázorňuje integraci ZPA s Azure AD B2C.

Diagram architektury Zscaler, ZPA a integrace Azure AD B2C

  1. Uživatel přijde na portál ZPA nebo do aplikace pro přístup k prohlížeči ZPA, aby požádal o přístup.
  2. ZPA shromažďuje atributy uživatelů. ZPA provede přesměrování SAML na přihlašovací stránku Azure AD B2C.
  3. Noví uživatelé se zaregistrují a vytvoří účet. Aktuální uživatelé se přihlašují pomocí přihlašovacích údajů. Azure AD B2C ověřuje identitu uživatele.
  4. Azure AD B2C přesměruje uživatele na ZPA pomocí kontrolního výrazu SAML, který ZPA ověří. ZPA nastaví kontext uživatele.
  5. ZPA vyhodnocuje zásady přístupu. Žádost je povolená nebo není.

Onboarding do ZPA

V tomto kurzu se předpokládá, že je ZPA nainstalovaný a spuštěný.

Pokud chcete začít používat ZPA, přejděte na help.zscaler.com podrobného průvodce konfigurací ZPA.

Integrace ZPA s Azure AD B2C

Konfigurace Azure AD B2C jako zprostředkovatele identity ve ZPA

Nakonfigurujte Azure AD B2C jako zprostředkovatele identity na ZPA.

Další informace najdete v tématu Konfigurace zprostředkovatele identity pro jednotné přihlašování.

  1. Přihlaste se k portálu Správa ZPA.

  2. Přejděte do části Správa>Konfigurace zprostředkovatele identity.

  3. Vyberte Přidat konfiguraci zprostředkovatele identity.

  4. Zobrazí se podokno Přidat konfiguraci zprostředkovatele identity.

    Snímek obrazovky s kartou Informace o zprostředkovateli identity v podokně Přidat konfiguraci zprostředkovatele identity

  5. Vyberte kartu Informace o zprostředkovateli identity .

  6. Do pole Název zadejte Azure AD B2C.

  7. V části Jednotné přihlašování vyberte Uživatel.

  8. V rozevíracím seznamu Domény vyberte domény ověřování, které chcete přidružit k zprostředkovateli identity.

  9. Vyberte Další.

  10. Vyberte kartu Metadata služby SP .

  11. V části Adresa URL poskytovatele služeb zkopírujte hodnotu, kterou chcete použít později.

  12. V části ID entity poskytovatele služeb zkopírujte hodnotu uživateli později.

    Snímek obrazovky s možností ID entity poskytovatele služeb na kartě Metadata služby

  13. Vyberte Pozastavit.

Konfigurace vlastních zásad v Azure AD B2C

Důležité

Pokud jste nenakonfigurovali vlastní zásady, nakonfigurujte vlastní zásady v Azure AD B2C.

Další informace najdete v tématu Kurz: Vytváření toků uživatelů a vlastních zásad v Azure Active Directory B2C.

Registrace ZPA jako aplikace SAML v Azure AD B2C

  1. Registrace aplikace SAML v Azure AD B2C

  2. Během registrace v části Nahrání zásad zkopírujte adresu URL metadat SAML zprostředkovatele identity, kterou používá Azure AD B2C, abyste ji mohli použít později.

  3. Postupujte podle pokynů, dokud nenakonfigurujte aplikaci v Azure AD B2C.

  4. V kroku 4.2 aktualizujte vlastnosti manifestu aplikace.

    • Jako identifikátorUris zadejte ID entity poskytovatele služeb, které jste zkopírovali.
    • V případě samlMetadataUrl přeskočte tuto položku.
    • Jako replyUrlsWithType zadejte adresu URL poskytovatele služeb, kterou jste zkopírovali.
    • V případě logoutUrl přeskočte tuto položku.

Zbývající kroky nejsou povinné.

Extrakce metadat SAML zprostředkovatele identity z Azure AD B2C

  1. Získejte adresu URL metadat SAML v následujícím formátu:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Poznámka

<tenant-name>je váš tenant Azure AD B2C a <policy-name> je to vlastní zásada SAML, kterou jste vytvořili. Adresa URL může být: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

  1. Otevřete webový prohlížeč.
  2. Přejděte na adresu URL metadat SAML.
  3. Klikněte pravým tlačítkem myši na stránku.
  4. Vyberte Uložit jako.
  5. Uložte soubor do počítače, abyste ho mohli použít později.

Dokončení konfigurace zprostředkovatele identity na ZPA

Dokončení konfigurace zprostředkovatele identity:

  1. Přejděte na portál Správa ZPA.

  2. Vyberte Správa>Konfigurace zprostředkovatele identity.

  3. Vyberte zprostředkovatele identity, který jste nakonfigurovali, a pak vyberte Pokračovat.

  4. V podokně Přidat konfiguraci zprostředkovatele identity vyberte kartu Vytvořit zprostředkovatele identity .

  5. V části Soubor metadat zprostředkovatele identity nahrajte soubor metadat, který jste uložili.

  6. V části Stav ověřte, že konfigurace je Povolená.

  7. Vyberte Uložit.

    Snímek obrazovky se stavem Povoleno v části Atributy SAML v podokně Přidat konfiguraci zprostředkovatele identity

Testování řešení

Pokud chcete ověřit ověřování SAML, přejděte na uživatelský portál ZPA nebo aplikaci pro přístup do prohlížeče a otestujte proces registrace nebo přihlášení.

Další kroky