Tutorial: Configuración de Zscaler Private Access con Azure Active Directory B2C
En este tutorial, aprenderá a integrar la autenticación de Azure Active Directory B2C (Azure AD B2C) con Zscaler Private Access (ZPA). ZPA ofrece acceso seguro y basado en directivas a aplicaciones y recursos privados sin la sobrecarga o los riesgos de seguridad que presenta una red privada virtual (VPN). El acceso híbrido seguro de Zscaler, cuando se combina con Azure AD B2C, reduce la superficie expuesta a ataques en aplicaciones orientadas al consumidor.
Para obtener más información, vaya a Zscaler y seleccione Productos y soluciones > Productos.
Requisitos previos
Antes de comenzar, va a necesitar:
- Una suscripción de Azure
- Si no tiene una, puede obtener una cuenta gratuita de Azure
- Un inquilino de Azure AD B2C vinculado a la suscripción de Azure
- Una suscripción a ZPA
Descripción del escenario
La integración de ZPA incluye los siguientes componentes:
- Azure AD B2C: el proveedor de identidades (IdP) que comprueba las credenciales de usuario.
-
ZPA: protege las aplicaciones web exigiendo el acceso de Confianza cero.
- Consulte la definición de Confianza cero.
- Aplicación web: hospeda el acceso de los usuarios del servicio.
En el diagrama siguiente se muestra cómo ZPA se integra con Azure AD B2C.
- Un usuario llega al portal de ZPA, o a una aplicación de acceso mediante el explorador a ZPA, para solicitar acceso.
- ZPA recopila los atributos del usuario. ZPA realiza una redirección SAML a la página de inicio de sesión de Azure AD B2C.
- Si es un nuevo usuario, se registra y crea una cuenta. Si se trata de un usuario existente, inicia sesión con sus credenciales. Azure AD B2C valida la identidad del usuario.
- Azure AD B2C redirige al usuario a ZPA con la aserción SAML, que ZPA comprueba. ZPA establece el contexto del usuario.
- ZPA evalúa las directivas de acceso. La solicitud de acceso se concede o se rechaza.
Incorporación a ZPA
En este tutorial se da por supuesto que ZPA está instalado y en ejecución.
Para empezar a usar ZPA, vaya a help.zscaler.com para consultar la Guía de configuración paso a paso de ZPA.
Integración de ZPA con Azure AD B2C
Configuración de Azure AD B2C como un IdP en ZPA
Configure Azure AD B2C como un IdP en ZPA.
Para obtener más información, consulte Configuración de un IdP para el inicio de sesión único.
Inicie sesión en el portal de administración de ZPA.
Vaya a Administration>IdP Configuration (Administración > Configuración del IdP).
Seleccione Add IdP Configuration (Agregar configuración del IdP).
Se abrirá el panel Add IdP Configuration (Agregar configuración del IdP).
Seleccione la pestaña IdP Information (Información del IdP).
En el cuadro Name (Nombre), escriba Azure AD B2C.
En Single Sign-On (Inicio de sesión único), seleccione User (Usuario).
En la lista desplegable Domains (Dominios), seleccione los dominios de autenticación que se asociarán al IdP.
Seleccione Next (Siguiente).
Seleccione la pestaña SP Metadata (Metadatos del SP).
En Service Provider URL (Dirección URL del proveedor de servicios), copie el valor para su uso posterior.
En Service Provider Entity ID (Id. de entidad del proveedor de servicios), copie el valor para su uso posterior.
Seleccione Pause(Pausar).
Configuración de directivas personalizadas en Azure AD B2C
Importante
Configure directivas personalizadas en Azure AD B2C si aún no lo ha hecho.
Para obtener más información, vea Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure Active Directory B2C.
Registro de ZPA como aplicación SAML en Azure AD B2C
Durante el registro, en el paso Carga de la directiva, copie la dirección URL de metadatos de SAML del IdP que se usa en Azure AD B2C para usarla más adelante.
Siga las instrucciones hasta llegar al paso Configuración de la aplicación en Azure AD B2C.
En el paso 4.2, actualice las propiedades del manifiesto de la aplicación:
- En identifierUris, escriba el identificador de entidad del proveedor de servicios que ha copiado anteriormente.
- En samlMetadataUrl, omita esta entrada.
- En replyUrlsWithType, escriba la dirección URL del proveedor de servicios que ha copiado anteriormente.
- En logoutUrl, omita esta entrada.
El resto de pasos no son necesarios.
Extracción de los metadatos de SAML del IdP de Azure AD B2C
Obtenga una dirección URL de metadatos de SAML con el siguiente formato:
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata
Nota:
<tenant-name> es su inquilino de Azure AD B2C y <policy-name> es la directiva de SAML personalizada que ha creado.
La dirección URL puede ser: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.
- Abra un explorador web.
- Vaya a la dirección URL de metadatos de SAML.
- Haga clic con el botón derecho en la página.
- Seleccione Guardar como.
- Guarde el archivo en su equipo para usarlo más adelante.
Finalización de la configuración del IdP en ZPA
Para completar la configuración del IdP:
Vaya al portal de administración de ZPA.
Seleccione Administration>IdP Configuration (Administración > Configuración del IdP).
Seleccione el IdP que ha configurado y, a continuación, seleccione Resume (Reanudar).
En el panel Add IdP Configuration (Agregar configuración del IdP), seleccione la pestaña Create IdP (Crear IdP).
En IdP Metadata File (Archivo de metadatos del IdP), cargue el archivo de metadatos que ha guardado anteriormente.
En Status (Estado), compruebe que la configuración es Enabled (Habilitado).
Seleccione Guardar.
Probar la solución
Para confirmar la autenticación SAML, vaya a un portal de usuarios de ZPA o a una aplicación de acceso mediante el explorador y pruebe el proceso de registro o de inicio de sesión.