Freigeben über


Tutorial: Konfigurieren von Cloudflare mit Microsoft Entra ID für sicheren Hybridzugriff

In diesem Tutorial erfahren Sie, wie Sie Microsoft Entra ID mit Cloudflare Zero Trust integrieren. Erstellen Sie Regeln auf der Grundlage von Benutzeridentität und Gruppenmitgliedschaft. Benutzer authentifizieren sich mit Microsoft Entra-Anmeldeinformationen und verbinden sich mit durch Zero Trust geschützten Anwendungen.

Voraussetzungen

Integrieren von Organisationsidentitätsanbietern und Cloudflare Access

Cloudflare Zero Trust Access hilft bei der Erzwingung des Standardwerts „Verweigern“ und von Zero-Trust-Regeln, die den Zugriff auf Unternehmensanwendungen, private IP-Adressen und Hostnamen beschränken. Dieses Feature verbindet Benutzer schneller und sicherer als ein virtuelles privates Netzwerk (VPN). Organisationen können mehrere Identitätsanbieter (Identity Providers, IdPs) verwenden und so Reibungsverluste bei der Zusammenarbeit mit Partnern oder Auftragnehmern verringern.

Um einen IdP als Anmeldemethode hinzufügen, melden Sie sich auf der Cloudflare-Anmeldeseite und Microsoft Entra ID bei Cloudflare an.

Das folgende Architekturdiagramm zeigt die Implementierung.

Diagramm der Cloudflare- und Microsoft Entra-Integrationsarchitektur.

Integrieren eines Cloudflare Zero Trust-Kontos in Microsoft Entra ID

Integrieren Sie ein Cloudflare Zero Trust-Konto mit einer Instanz von Microsoft Entra ID.

  1. Melden Sie sich beim Cloudflare Zero Trust-Dashboard auf der Cloudflare-Anmeldeseite an.

  2. Navigieren zu Einstellungen.

  3. Wählen Sie Authentifizierung aus.

  4. Wählen Sie für Anmeldemethoden die Option Neu hinzufügen aus.

    Screenshot der Anmeldemethodenoption in Authentifizierung.

  5. Wählen Sie unter Identitätsanbieter auswählen die Option Microsoft Entra ID aus.

  6. Das Dialogfeld Azure-ID hinzufügen wird angezeigt.

  7. Geben Sie die Anmeldeinformationen für die Microsoft Entra-Instanz ein, und treffen Sie die notwendigen Auswahlen.

  8. Wählen Sie Speichern aus.

Registrieren von Cloudflare mit Microsoft Entra ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Befolgen Sie die Anweisungen in den folgenden drei Abschnitten, um Cloudflare bei Microsoft Entra ID zu registrieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>App-Registrierungen.
  3. Wählen Sie Neue Registrierung aus.
  4. Geben Sie unter Name einen Anwendungsnamen ein.
  5. Geben Sie einen Teamnamen mit Rückruf am Ende des Pfads ein. Beispiel: https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
  6. Wählen Sie Registrieren.

Weitere Informationen finden Sie in der Definition für die Teamdomäne im Cloudflare-Glossar.

Screenshot mit Optionen und Auswahlmöglichkeiten für das Registrieren einer Anwendung.

Zertifikate und Geheimnisse

  1. Kopieren Sie auf dem Bildschirm Cloudflare Access unter Grundlagen die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID).

    Screenshot des Bildschirms „Cloudflare Access“.

  2. Wählen Sie im linken Menü unter Verwalten die Option Zertifikate und Geheimnisse aus.

    Screenshot des Bildschirms „Zertifikate und Geheimnisse“.

  3. Wählen Sie unter Geheime Clientschlüssel die Option + Neuer geheimer Clientschlüssel.

  4. Geben Sie unter Beschreibung den geheimen Clientschlüssel ein.

  5. Wählen Sie unter Ablauf ein Ablaufdatum aus.

  6. Wählen Sie Hinzufügen.

  7. Kopieren Sie unter Geheimer Clientschlüssel den Wert aus dem Feld Wert. Betrachten Sie den Wert als ein Anwendungskennwort. Der Beispielwert wird angezeigt, Azure-Werte werden in der Cloudflare Access-Konfiguration angezeigt.

Berechtigungen

  1. Wählen Sie im linken Menü API-Berechtigungen aus.

  2. Wählen Sie + Berechtigung hinzufügen aus.

  3. Wählen Sie unter API auswählen die Option Microsoft Graph aus.

    Screenshot der Option „Microsoft Graph“ unter „API-Berechtigungen anfordern“.

  4. Wählen Sie Delegierte Berechtigungen für die folgenden Berechtigungen aus:

    • E-Mail
    • openid
    • profile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all
  5. Wählen Sie unter Verwalten die Option + API-Berechtigungen aus.

    Screenshot mit Optionen und Auswahlmöglichkeiten für „API-Berechtigungen anfordern.

  6. Wählen Sie Administratoreinwilligung erteilen für aus.

    Screenshot der konfigurierten Berechtigungen unter API-Berechtigungen.

  7. Navigieren Sie im Cloudflare Zero Trust-Dashboard zu Einstellungen > Authentifizierung.

  8. Wählen Sie unter Anmeldemethoden die Option Neu hinzufügen aus.

  9. Wählen Sie Microsoft Entra ID aus.

  10. Geben Sie die Werte für Anwendungs-ID, Anwendungsgeheimnis und Verzeichnis-ID ein.

  11. Wählen Sie Speichern aus.

Hinweis

Wählen Sie für Microsoft Entra-Gruppen unter Microsoft Entra-Identitätsanbieter bearbeiten, für Gruppen unterstützen die Option Ein aus.

Testen der Integration

  1. Navigieren Sie im Cloudflare Zero Trust-Dashboard zu Einstellungen>Authentifizierung.

  2. Wählen Sie unter Anmeldemethoden für Microsoft Entra ID die Option Test aus.

  3. Geben Sie die Microsoft Entra-Anmeldeinformationen ein.

  4. Die Meldung Ihre Verbindung funktioniert wird angezeigt.

    Screenshot der Meldung „Ihre Verbindung funktioniert“.

Nächste Schritte