教學課程：使用 Azure Active Directory B2C 設定 Zscaler 私人存取

在本教學課程中，瞭解如何整合 Azure Active Directory B2C (Azure AD B2C) 驗證與 Zscaler Private Access (ZPA) 。 ZPA 是以原則為基礎、安全地存取私人應用程式和資產，而不需要虛擬私人網路的額外負荷或安全性風險， (VPN) 。 結合 Azure AD B2C 時，Zscaler 安全混合式存取可減少取用者面向應用程式的受攻擊面。

深入瞭解：移至 Zscaler ，然後選取 [產品 & 解決方案]、[產品]。

必要條件

在開始之前，您必須：

• Azure 訂用帳戶
  • 如果沒有訂用帳戶，您可以取得 Azure 免費帳戶
• 連結至 Azure 訂用帳戶的Azure AD B2C 租使用者
• ZPA 訂用帳戶
  • 移至Azure Marketplace Zscaler Private Access

案例描述

ZPA 整合包括下列元件：

• Azure AD B2C - 驗證使用者認證的識別提供者 (IdP)
• ZPA - 藉由強制執行零信任存取來保護 Web 應用程式
  • 請參閱零信任定義
• Web 應用程式 - 裝載服務使用者存取權

下圖顯示 ZPA 如何與 Azure AD B2C 整合。

1. 使用者抵達 ZPA 入口網站或 ZPA 瀏覽器存取應用程式以要求存取權
2. ZPA 會收集使用者屬性。 ZPA 會執行 SAML 重新導向至 Azure AD B2C 登入頁面。
3. 新使用者註冊並建立帳戶。 目前的使用者使用認證登入。 Azure AD B2C 會驗證使用者身分識別。
4. Azure AD B2C 會使用 ZPA 驗證的 SAML 判斷提示，將使用者重新導向至 ZPA。 ZPA 會設定使用者內容。
5. ZPA 會評估存取原則。 允許或不允許要求。

上線至 ZPA

本教學課程假設 ZPA 已安裝並執行。

若要開始使用 ZPA，請移至 適用于 ZPA 的逐步設定指南help.zscaler.com。

將 ZPA 與 Azure AD B2C 整合

在 ZPA 上將 Azure AD B2C 設定為 IdP

在 ZPA 上將 Azure AD B2C 設定為 IdP。

如需詳細資訊，請參閱 設定 IdP 以進行單一登入。

1. 登入ZPA 管理員入口網站。

2. 移至 [管理員]>[IdP 設定]。

3. 選取 [新增 IdP 設定]。

4. [ 新增 IdP 組態 ] 窗格隨即出現。

   

5. 選取 [ IdP 資訊] 索引 標籤

6. 在 [名稱] 方塊中，輸入[Azure AD B2C]。

7. 在 [單一登入] 底下，選取 [使用者]。

8. 在 [ 網域] 下拉式清單中，選取要與 IdP 建立關聯的驗證網域。

9. 選取 [下一步]。

10. 選取 [SP 中繼資料] 索引 標籤。

11. 在 [服務提供者 URL] 下，複製值以供稍後使用。

12. 在 [服務提供者實體識別碼] 下，稍後將值複製到使用者。

    

13. 選取 [暫停]。

在 Azure AD B2C 中設定自訂原則

重要

如果您尚未設定自訂原則，請在 Azure AD B2C 中設定自訂原則。

如需詳細資訊，請參閱 教學課程：在 Azure Active Directory B2C 中建立使用者流程和自訂原則。

在 Azure AD B2C 中將 ZPA 註冊為 SAML 應用程式

1. 在 Azure AD B2C 中註冊 SAML 應用程式。

2. 在註冊期間，在 [上傳原則] 中，複製 Azure AD B2C 所使用的 IdP SAML 中繼資料 URL，以供稍後使用。

3. 遵循指示，直到 在 Azure AD B2C 中設定您的應用程式為止。

4. 針對步驟 4.2，更新應用程式資訊清單屬性

   • 針對 identifierUris，輸入您複製的服務提供者實體識別碼
   • 針對 samlMetadataUrl，請略過這個專案
   • 針對 replyUrlsWithType，輸入您複製的服務提供者 URL
   • 針對 logoutUrl，請略過這個專案

不需要其餘步驟。

從 Azure AD B2C 擷取 IdP SAML 中繼資料

1. 以下列格式取得 SAML 中繼資料 URL：

   https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

注意

<tenant-name> 是您 Azure AD B2C 租使用者，而且 <policy-name> 是您建立的自訂 SAML 原則。 URL 可能是： https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata 。

2. 請開啟網頁瀏覽器。
3. 移至 SAML 中繼資料 URL。
4. 以滑鼠右鍵按一下頁面。
5. 選取 [ 另存新檔]。
6. 將檔案儲存到您的電腦以供稍後使用。

在 ZPA 上完成 IdP 設定

若要完成 IdP 設定：

1. 移至ZPA 管理員入口網站。

2. 選取[系統管理>IdP 組態]。

3. 選取您設定的 IdP，然後選取 [ 繼續]。

4. 在 [ 新增 IdP 組態] 窗格中，選取 [ 建立 IdP] 索引標籤。

5. 在 [IdP 中繼資料檔案] 底下，上傳您儲存的中繼資料檔案。

6. 在 [狀態] 底下，確認 組態為 [已啟用]。

7. 選取 [儲存]。

   

測試解決方案

若要確認 SAML 驗證，請移至 ZPA 使用者入口網站或瀏覽器存取應用程式，並測試註冊或登入程式。

下一步

• 教學課程：在 Azure Active Directory B2C 中建立使用者流程和自訂原則
• 在 Azure AD B2C 中註冊 SAML 應用程式
• ZPA 的逐步設定指南
• 設定 IdP 以進行單一登入