通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:通过 Azure Active Directory B2C 配置 Zscaler Private Access

  • 项目

在本教程中,了解如何将 Azure Active Directory B2C (Azure AD B2C) 身份验证与 Zscaler Private Access (ZPA) 集成。 ZPA 提供对专用应用程序和资产的基于策略的安全访问,而不会带来虚拟专用网络 (VPN) 的开销或安全风险。 Zscaler 安全混合访问产品/服务与 Azure AD B2C 结合使用时,可减少面向使用者的应用程序的攻击面。

了解详细信息:转到 Zscaler 并选择“产品”&“解决方案”、“产品”。

先决条件

在开始之前,你需要:

方案描述

ZPA 集成包括以下组件:

  • Azure AD B2C - 验证用户凭据的标识提供者 (IdP)
  • ZPA - 通过强制零信任访问来保护 Web 应用程序
  • Web 应用程序 - 承载用户访问的服务

下图显示了 ZPA 如何与 Azure AD B2C 集成。

Zscaler 体系结构、ZPA 和 Azure AD B2C 集成示意图。

  1. 用户到达 ZPA 门户或 ZPA 浏览器访问应用程序以请求访问权限
  2. ZPA 收集用户属性。 ZPA 执行 SAML 重定向以重定向到 Azure AD B2C 登录页。
  3. 新用户注册并创建帐户。 当前用户使用凭据登录。 Azure AD B2C 验证用户身份。
  4. Azure AD B2C 使用 ZPA 验证的 SAML 断言将用户重定向到 ZPA。 ZPA 设置用户上下文。
  5. ZPA 评估访问策略。 允许或不允许请求。

加入到 ZPA

本教程假定 ZPA 已安装且正在运行。

若要开始使用 ZPA,请转到 help.zscaler.com,了解 ZPA 的分步配置指南

将 ZPA 与 Azure AD B2C 集成

将 Azure AD B2C 配置为 ZPA 上的 IdP

将 Azure AD B2C 配置为 ZPA 上的 IdP。

有关详细信息,请参阅为单一登录配置 IdP

  1. 登录到 ZPA 管理门户

  2. 转到“管理”>“IdP 配置”。

  3. 选择“添加 IdP 配置”。

  4. 此时会打开“添加 IdP 配置”窗格。

    “添加 IdP 配置”窗格中的“IdP 信息”选项卡的屏幕截图。

  5. 选择“IdP 信息”选项卡

  6. 在“名称”框中,输入“Azure AD B2C”。

  7. 在“单一登录”下选择“用户”。

  8. 在“域”下拉列表中,选择要与此 IdP 相关联的身份验证域。

  9. 选择“下一页”。

  10. 选择“SP 元数据”选项卡。

  11. 在“服务提供程序 URL”下,复制值以供稍后使用。

  12. 在“服务提供程序实体 ID”下,复制值以供稍后使用。

    “SP 元数据”选项卡上的“服务提供程序实体 ID”选项的屏幕截图。

  13. 选择“暂停”。

在 Azure AD B2C 中配置自定义策略

重要

如果尚未配置自定义策略,请在 Azure AD B2C 中配置自定义策略。

详细信息请参阅教程:在 Azure Active Directory B2C 中创建用户流和自定义策略

在 Azure AD B2C 中将 ZPA 注册为 SAML 应用程序

  1. 在 Azure AD B2C 中注册 SAML 应用程序

  2. 在注册过程中,在“上传策略”中,复制 Azure AD B2C 使用的 IdP SAML 元数据 URL,供稍后使用。

  3. 按照说明完成“在 Azure AD B2C 中配置应用程序”。

  4. 步骤 4.2,更新应用清单属性

    • 对于“identifierUris”,请输入复制的服务提供商实体 ID
    • 对于“samlMetadataUrl”,请跳过此项
    • 对于“replyUrlsWithType”,请输入复制的服务提供商 URL
    • 对于“logoutUrl”,请跳过此项

其余步骤不是必需的。

从 Azure AD B2C 中提取 IdP SAML 元数据

  1. 获取以下格式的 SAML 元数据 URL:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

注意

<tenant-name> 是 Azure AD B2C 租户,而 <policy-name> 是创建的自定义 SAML 策略。 URL 可能是:https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata

  1. 打开 Web 浏览器。
  2. 转到 SAML 元数据 URL。
  3. 右键单击页面。
  4. 选择“另存为”。
  5. 将文件保存到计算机以供稍后使用。

完成 ZPA 上的 IdP 配置

若要完成 IdP 配置:

  1. 转到 ZPA 管理门户

  2. 选择“管理”>“IdP 配置”。

  3. 选择配置的 IdP,然后选择“继续”。

  4. 在“添加 IdP 配置”窗格中,选择“创建 IdP”选项卡。

  5. 在“IdP 元数据文件”下,上传保存的元数据文件。

  6. 在“状态”下,验证配置是否为“已启用”。

  7. 选择“保存”。

    “添加 IdP 配置”窗格上“SAML 属性”下的“已启用”状态的屏幕截图。

测试解决方案

若要确认 SAML 身份验证,请转到某个 ZPA 用户门户或某个通过浏览器进行访问的应用程序,测试注册或登录过程。

后续步骤