Поделиться через

Руководство. Настройка Cloudflare с помощью идентификатора Microsoft Entra для безопасного гибридного доступа

  • Статья

В этом руководстве описано, как интегрировать идентификатор Microsoft Entra с Cloudflare Zero Trust. Создание правил на основе удостоверений пользователей и членства в группах. Пользователи проходят проверку подлинности с помощью учетных данных Microsoft Entra и подключаются к защищенным приложениям нулевого доверия.

Необходимые компоненты

Интеграция поставщиков удостоверений организации с Cloudflare Access

Cloudflare Zero Trust Access помогает применять правила запрета по умолчанию и нулевого доверия, которые ограничивают доступ к корпоративным приложениям, частным IP-пространствам и именам узлов. Эта функция подключает пользователей быстрее и безопаснее, чем виртуальная частная сеть (VPN). Организации могут использовать несколько поставщиков удостоверений (поставщиков удостоверений), уменьшая трения при работе с партнерами или подрядчиками.

Чтобы добавить поставщик удостоверений в качестве метода входа, войдите в Cloudflare на странице входа Cloudflare и Идентификатор Microsoft Entra.

На следующей схеме архитектуры показана интеграция.

Схема архитектуры интеграции Cloudflare и Microsoft Entra.

Интеграция учетной записи Cloudflare Zero Trust с идентификатором Microsoft Entra

Интеграция учетной записи Cloudflare Zero Trust с экземпляром идентификатора Microsoft Entra.

  1. Войдите на панель мониторинга Cloudflare Zero Trust на странице входа Cloudflare.

  2. Выберите Settings (Параметры).

  3. Выберите Проверка подлинности.

  4. В разделе Способы входа выберите Добавить.

    Снимок экрана: параметр

  5. В разделе "Выбор поставщика удостоверений" выберите идентификатор Microsoft Entra.

  6. Откроется диалоговое окно Добавление идентификатора Azure.

  7. Введите учетные данные экземпляра Microsoft Entra и укажите необходимые параметры.

  8. Выберите Сохранить.

Регистрация Cloudflare с помощью идентификатора Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Используйте инструкции в следующих трех разделах, чтобы зарегистрировать Cloudflare с идентификатором Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям> удостоверений>Регистрация приложений.
  3. Выберите Создать регистрацию.
  4. Введите имя приложения.
  5. Введите имя команды с обратным вызовом в конце пути. Например: https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. Выберите Зарегистрировать.

См. определение домена группы в глоссарии Cloudflare.

Снимок экрана: параметры и выборы для регистрации приложения.

Сертификаты и секреты

  1. На экране Cloudflare Access в разделе Essentials скопируйте и сохраните идентификатор приложения (клиента) и идентификатор каталога (клиента).

    Снимок экрана: экран Cloudflare Access.

  2. В меню слева в разделе Управление выберите Сертификаты и секреты.

    Снимок экрана: экран сертификатов и секретов.

  3. В разделе Секреты клиента выберите + Новый секрет клиента.

  4. В поле "Описание" введите секрет клиента.

  5. В разделе Срок действия выберите дату для окончания срока действия.

  6. Выберите Добавить.

  7. В разделе Секреты клиента скопируйте значение из поля Значение. Считайте это значение паролем приложения. Появится пример значения Azure в конфигурации Cloudflare Access.

Разрешения

  1. В меню слева выберите Разрешения API.

  2. Выберите + Добавить разрешение.

  3. В разделе Выбор API выберите Microsoft Graph.

    Снимок экрана: параметр Microsoft Graph в разделе

  4. Выберите Делегированные разрешения для следующих разрешений:

    • Эл. почта
    • openid
    • profile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. В разделе "Управление" выберите + Добавить разрешения.

    Снимок экрана: параметры и выбор разрешений API запроса.

  6. Выберите Предоставить согласие администратора для....

    Снимок экрана: настроенные разрешения в соответствии с разрешениями API.

  7. На панели мониторинга Cloudflare Zero Trust перейдите в раздел "Параметры проверки подлинности>".

  8. В разделе Способы входа выберите Добавить.

  9. Выберите Microsoft Entra ID.

  10. Введите значения для идентификатора приложения, секрета приложения и идентификатора каталога.

  11. Выберите Сохранить.

Примечание.

Для групп Microsoft Entra в разделе "Изменение поставщика удостоверений Microsoft Entra" для групп поддержки нажмите кнопку "Вкл.".

Тестирование интеграции

  1. На панели мониторинга Cloudflare Zero Trust перейдите в раздел "Параметры проверки подлинности>".

  2. В разделе "Методы входа" для идентификатора Microsoft Entra выберите "Тест".

  3. Введите учетные данные Microsoft Entra.

  4. Отобразится сообщение Подключение работает.

    Снимок экрана: сообщение о работе подключения.

Следующие шаги