Partager via

Tutoriel : Configurer Zscaler Private Access avec Azure Active Directory B2C

  • Article

Dans ce tutoriel, apprenez à intégrer l’authentification Azure Active Directory B2C (Azure AD B2C) à Zscaler Private Access (ZPA). ZPA est un accès sécurisé, basé sur des stratégies, aux applications privées et aux ressources, sans la charge ou les risques de sécurité d’un réseau privé virtuel (VPN). L’accès hybride sécurisé de Zscaler réduit la surface d’attaque des applications accessibles aux consommateurs lorsqu’il est associé à Azure AD B2C.

En savoir plus : Accédez à Zscaler et sélectionnez Produits et solutions, puis Produits.

Prérequis

Avant de commencer, vous avez besoin des éléments suivants :

Description du scénario

L’intégration ZPA inclut les composants suivants :

  • Azure AD B2C - Fournisseur d’identité (IdP) qui vérifie les informations d’identification utilisateur
  • ZPA - Sécurise les applications web en appliquant l’accès Confiance Zéro
  • Application web - Héberge l’accès des utilisateurs du service

Le diagramme suivant décrit comment ZPA s’intègre à Azure AD B2C.

Schéma de l’architecture Zscaler et de l’intégration de ZPA et d’Azure AD B2C.

  1. Un utilisateur arrive sur le portail ZPA ou sur une application ZPA via un navigateur pour demander l’accès
  2. ZPA collecte les attributs utilisateur. ZPA effectue une redirection SAML vers la page de connexion Azure AD B2C.
  3. Les nouveaux utilisateurs s’inscrivent et créent un compte. Les utilisateurs actuels se connectent avec des informations d’identification. Azure AD B2C valide l’identité des utilisateurs.
  4. Azure AD B2C redirige l’utilisateur vers ZPA avec l’assertion SAML, que ZPA vérifie. ZPA définit par le contexte utilisateur.
  5. ZPA évalue les stratégies d’accès. La demande est autorisée ou non.

Intégration à ZPA

Ce tutoriel suppose que ZPA est installé et exécuté.

Pour commencer à utiliser ZPA, accédez à help.zscaler.com pour consulter le Guide de configuration pas à pas de ZPA.

Intégrer ZPA avec Azure AD B2C

Configurer Azure AD B2C en tant que fournisseur d’identité sur ZPA

Configurez Azure AD B2C en tant que fournisseur d’identité sur ZPA.

Pour plus d’informations, consultez Configuration d’un fournisseur d’identité pour l’authentification unique.

  1. Connectez-vous au portail d’administration ZPA.

  2. Accédez à Administration>Configuration du fournisseur d’identité.

  3. Sélectionnez à Ajouter une configuration de fournisseur d’identité.

  4. Le volet Add IdP Configuration s’ouvre.

    Capture d’écran de l’onglet IdP Information dans le volet Add IdP Configuration.

  5. Sélectionnez l’onglet IdP Information.

  6. Dans la boîte Nom, entrez Azure AD B2C.

  7. Sous Authentification unique, sélectionnez Utilisateur.

  8. Dans la liste déroulante Domains, sélectionnez les domaines d’authentification à associer à l’IdP.

  9. Sélectionnez Suivant.

  10. Sélectionnez l’onglet SP Metadata.

  11. Sous Service Provider URL, copiez la valeur à utiliser ultérieurement.

  12. Sous Service Provider Entity ID, copiez la valeur à utiliser ultérieurement.

    Capture d’écran de l’option Service Provider Entity ID sous l’onglet SP Metadata.

  13. Sélectionnez Suspendre.

Configurer les stratégies personnalisées dans Azure AD B2C

Important

Configurez des stratégies personnalisées dans Azure AD B2C si cela n’est pas déjà fait.

Pour plus d’informations, consultez Tutoriel : Créer des flux d’utilisateurs et des stratégies personnalisées dans Azure Active Directory B2C.

Inscrire ZPA en tant qu’application SAML dans Azure AD B2C

  1. Inscrire une application SAML dans Azure AD B2C.

  2. Lors de l’inscription, dans Charger votre stratégie, copiez l’URL des métadonnées SAML de l’IdP utilisée par Azure AD B2C pour vous en servir ultérieurement.

  3. Suivez les instructions jusqu’à Configurer votre application dans Azure AD B2C.

  4. À l’étape 4.2, mettez à jour les propriétés du manifeste de l’application.

    • Pour identifierUris, entrez l’ID d’entité du fournisseur de services que vous avez copié
    • Pour samlMetadataUrl, ignorez cette entrée
    • Pour replyUrlsWithType, entrez l’URL du fournisseur de services que vous avez copiée
    • Pour logoutUrl, ignorez cette entrée

Les étapes restantes ne sont pas obligatoires.

Extraire des métadonnées SAML du fournisseur d’identité à partir d’Azure AD B2C

  1. Obtenez une URL de métadonnées SAML au format suivant :

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Notes

<tenant-name> est votre locataire Azure AD B2C et <policy-name> est la stratégie SAML personnalisée que vous avez créée. L’URL pourrait être la suivante : https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

  1. Ouvrez un navigateur web.
  2. Accédez à l’URL des métadonnées SAML.
  3. Cliquez avec le bouton droit sur la page.
  4. Sélectionnez Enregistrer sous.
  5. Enregistrez le fichier sur votre ordinateur pour l’utiliser ultérieurement.

Effectuer la configuration de l’IdP sur ZPA

Pour effectuer la configuration de l’IdP :

  1. Accédez au portail d’administration ZPA.

  2. Sélectionnez Administration>IdP Configuration.

  3. Sélectionnez l’IdP que vous avez configuré, puis Resume.

  4. Dans le volet Add IdP Configuration, sélectionnez l’onglet Create IdP.

  5. Sous IdP Metadata File, chargez le fichier de métadonnées que vous avez enregistré.

  6. Sous Status, vérifiez que la configuration est Enabled.

  7. Sélectionnez Enregistrer.

    Capture d’écran de l’état Enabled, sous SAML Attributes, dans le volet Add IdP Configuration.

Test de la solution

Pour confirmer l’authentification SAML, accédez à un portail utilisateur ZPA ou à une application accessible via un navigateur et testez le processus d’inscription ou de connexion.

Étapes suivantes