Поделиться через

Учебник. Настройка Azure Active Directory B2C для работы с Zscaler Private Access

  • Статья

В этом руководстве описано, как интегрировать проверку подлинности Azure Active Directory B2C (Azure AD B2C) с Zscaler Private Access (ZPA). ZPA — это безопасный доступ к частным приложениям и ресурсам на основе политик без накладных расходов или рисков безопасности виртуальной частной сети (VPN). Безопасный гибридный доступ Zscaler сокращает уязвимые области для приложений для потребителей в сочетании с Azure AD B2C.

Дополнительные сведения: Перейдите в Zscaler и выберите Продукты & Решения, Продукты.

Предварительные требования

Перед тем как начать, вам понадобятся:

Описание сценария

Интеграция с ZPA включает в себя следующие компоненты:

  • Azure AD B2C — поставщик удостоверений (IdP), который проверяет учетные данные пользователя.
  • ZPA — защита веб-приложений путем применения доступа "Никому не доверяй"
  • Веб-приложение — размещает доступ пользователей службы

На следующей схеме показано, как ZPA интегрируется с Azure AD B2C.

Схема архитектуры Zscaler, ZPA и Azure AD интеграции B2C.

  1. Пользователь приходит на портал ZPA или в приложение для доступа к браузеру ZPA, чтобы запросить доступ.
  2. ZPA собирает атрибуты пользователя. ZPA выполняет перенаправление SAML на страницу входа Azure AD B2C.
  3. Регистрация новых пользователей и создание учетной записи. Текущие пользователи входят с учетными данными. Azure AD B2C проверяет удостоверение пользователя.
  4. Azure AD B2C перенаправляет пользователя в ZPA с утверждением SAML, которое проверяет ZPA. ZPA задает контекст пользователя.
  5. ZPA оценивает политики доступа. Запрос разрешен или нет.

Подключение к ZPA

В этом руководстве предполагается, что ZPA установлен и запущен.

Чтобы приступить к работе с ZPA, перейдите к help.zscaler.com пошагового руководства по настройке ZPA.

Интеграция ZPA с Azure AD B2C

Настройка Azure AD B2C в качестве поставщика удостоверений в ZPA

Настройте Azure AD B2C в качестве поставщика удостоверений в ZPA.

Дополнительные сведения см. в статье Настройка поставщика удостоверений для единого входа.

  1. Войдите на портал Администратор ZPA.

  2. Перейдите в раздел Administration>IdP Configuration (Администрирование > Конфигурация IdP).

  3. Выберите Add IdP Configuration (Добавить конфигурацию IdP).

  4. Откроется панель Добавление конфигурации поставщика удостоверений .

    Снимок экрана: вкладка

  5. Выберите вкладку "Сведения о поставщике удостоверений "

  6. В поле Name (Имя) введите Azure AD B2C.

  7. В разделе Single Sign-On (Единый вход) выберите User (Пользователь).

  8. В раскрывающемся списке Домены выберите домены проверки подлинности, которые нужно связать с поставщиком удостоверений.

  9. Выберите Далее.

  10. Выберите вкладку Sp Metadata (Метаданные sp).

  11. В разделе SERVICE PROVIDER URL (URL-адрес поставщика услуг) скопируйте значение для последующего использования.

  12. В разделе Идентификатор сущности поставщика услуг скопируйте значение пользователю позже.

    Снимок экрана: параметр

  13. Нажмите кнопку Pause (Приостановить).

Настройка настраиваемых политик в Azure AD B2C

Важно!

Настройте настраиваемые политики в Azure AD B2C, если вы еще не настроили настраиваемые политики.

Дополнительные сведения см. в статье Руководство по созданию потоков пользователей и настраиваемых политик в Azure Active Directory B2C.

Регистрация ZPA в качестве приложения SAML в Azure AD B2C

  1. Зарегистрируйте приложение SAML в Azure AD B2C.

  2. Во время регистрации в разделе Отправка политики скопируйте URL-адрес метаданных SAML поставщика удостоверений, используемый Azure AD B2C для последующего использования.

  3. Следуйте инструкциям до настройки приложения в Azure AD B2C.

  4. На шаге 4.2 обновите свойства манифеста приложения.

    • В поле identifierUris введите скопированный идентификатор сущности поставщика услуг.
    • Для samlMetadataUrl пропустите эту запись.
    • В поле replyUrlsWithType введите СКОПИРОВАНный URL-адрес поставщика услуг.
    • Для logoutUrl пропустите эту запись.

Остальные действия не требуются.

Извлечение метаданных SAML поставщика удостоверений из Azure AD B2C

  1. Получите URL-адрес метаданных SAML в следующем формате:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Примечание

<tenant-name>— это клиент Azure AD B2C и <policy-name> пользовательская политика SAML, которую вы создали. URL-адрес может быть: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

  1. Откройте веб-браузер.
  2. Перейдите по URL-адресу метаданных SAML.
  3. Щелкните страницу правой кнопкой мыши.
  4. Выберите Сохранить как.
  5. Сохраните файл на компьютере для последующего использования.

Полная настройка поставщика удостоверений в ZPA

Чтобы завершить настройку поставщика удостоверений, выполните следующие действия.

  1. Перейдите на портал ZPA Администратор.

  2. Выберите Администрирование>Конфигурация поставщика удостоверений.

  3. Выберите поставщика удостоверений, который вы настроили, а затем щелкните Возобновить.

  4. На панели Добавление конфигурации поставщика удостоверений выберите вкладку Создание поставщика удостоверений .

  5. В разделе IdP Metadata File (Файл метаданных поставщика удостоверений) отправьте сохраненный файл метаданных.

  6. В разделе Состояние убедитесь, что конфигурация включена.

  7. Щелкните Сохранить.

    Снимок экрана: состояние Включено в разделе Атрибуты SAML на панели Добавление конфигурации поставщика удостоверений.

Тестирование решения

Чтобы подтвердить проверку подлинности SAML, перейдите на пользовательский портал ZPA или в приложение с доступом к браузеру и протестируйте процесс регистрации или входа.

Дальнейшие действия