Udostępnij przez

Samouczek: konfigurowanie dostępu prywatnego usługi Zscaler za pomocą usługi Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Z tego samouczka dowiesz się, jak zintegrować uwierzytelnianie usługi Azure Active Directory B2C (Azure AD B2C) z usługą Zscaler Private Access (ZPA). ZPA to rozwiązanie oparte na zasadach polityki, które zapewnia bezpieczny dostęp do prywatnych aplikacji i zasobów bez obciążeń związanych z zagrożeniami bezpieczeństwa VPN. Bezpieczny dostęp hybrydowy Zscaler zmniejsza obszar ataków dla aplikacji przeznaczonych dla konsumentów w połączeniu z usługą Azure AD B2C.

Dowiedz się więcej: Przejdź do Zscaler i wybierz Produkty i rozwiązania, Produkty.

Wymagania wstępne

Przed rozpoczęciem potrzebne są następujące elementy:

Opis scenariusza

Integracja ZPA obejmuje następujące składniki:

  • Azure AD B2C — dostawca tożsamości, który weryfikuje poświadczenia użytkownika
  • ZPA — zabezpiecza aplikacje internetowe poprzez wdrażanie modelu bezpieczeństwa Zero Trust
  • Aplikacja internetowa — hostuje dostęp użytkowników usługi

Na poniższym diagramie pokazano, jak rozwiązanie ZPA integruje się z usługą Azure AD B2C.

Diagram architektury rozwiązania Zscaler, integracji ZPA i usługi Azure AD B2C.

  1. Użytkownik przybywa do portalu ZPA lub aplikacji ZPA z dostępem do przeglądarki w celu żądania dostępu
  2. Usługa ZPA zbiera atrybuty użytkownika. Usługa ZPA wykonuje przekierowanie SAML do strony logowania Azure AD B2C.
  3. Nowi użytkownicy rejestrują się i tworzą konto. Bieżący użytkownicy logują się przy użyciu swoich poświadczeń. Usługa Azure AD B2C weryfikuje tożsamość użytkownika.
  4. Usługa Azure AD B2C przekierowuje użytkownika do usługi ZPA przy użyciu potwierdzenia SAML, które ZPA weryfikuje. ZPA ustawia kontekst użytkownika.
  5. ZPA ocenia zasady dostępu. Żądanie jest dozwolone lub nie.

Dołączanie do usługi ZPA

W tym samouczku założono, że usługa ZPA jest zainstalowana i uruchomiona.

Aby rozpocząć korzystanie z ZPA, przejdź na help.zscaler.com, gdzie znajdziesz Przewodnik konfiguracji ZPA krok po kroku.

Integrowanie aplikacji ZPA z usługą Azure AD B2C

Konfiguracja Azure AD B2C jako IdP w ZPA

Skonfiguruj usługę Azure AD B2C jako dostawcę tożsamości w usłudze ZPA.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostawcy tożsamości na potrzeby jednokrotnego logowania.

  1. Zaloguj się do portalu administracyjnego ZPA.

  2. Przejdź do Administracja>Konfiguracja IdP.

  3. Wybierz Dodaj konfigurację IdP.

  4. Zostanie wyświetlone okienko Dodawanie konfiguracji dostawcy tożsamości .

    Zrzut ekranu karty Informacje o IdP w okienku Dodaj konfigurację IdP.

  5. Wybierz kartę Informacje IdP

  6. W polu Nazwa wprowadź Azure AD B2C.

  7. W obszarze Logowanie jednokrotne wybierz pozycję Użytkownik.

  8. Wybierz domeny uwierzytelniania do skojarzenia z dostawcą tożsamości z listy rozwijanej Domeny.

  9. Wybierz Dalej.

  10. Wybierz kartę Metadane SP.

  11. W obszarze Adres URL dostawcy usług skopiuj wartość do późniejszego użycia.

  12. W obszarze Identyfikator jednostki dostawcy usług skopiuj wartość, aby użyć później.

    Zrzut ekranu przedstawiający opcję Identyfikator jednostki dostawcy usług na karcie Metadane dostawcy usług.

  13. Wybierz pozycję Wstrzymaj.

Konfigurowanie zasad niestandardowych w usłudze Azure AD B2C

Ważne

Skonfiguruj zasady niestandardowe w usłudze Azure AD B2C, jeśli jeszcze ich nie skonfigurowałeś.

Aby uzyskać więcej informacji, zobacz Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure Active Directory B2C.

Rejestrowanie ZPA jako aplikacji SAML w usłudze Azure AD B2C

  1. Rejestrowanie aplikacji SAML w usłudze Azure AD B2C.

  2. Podczas rejestracji w sekcji Przekazywanie zasad skopiuj adres URL metadanych SAML dostawcy tożsamości używany przez usługę Azure AD B2C do późniejszego użycia.

  3. Postępuj zgodnie z instrukcjami, aż skonfiguruj aplikację w usłudze Azure AD B2C.

  4. W kroku 4.2 zaktualizuj właściwości manifestu aplikacji

    • W polu identifierUris wprowadź skopiowany identyfikator jednostki dostawcy usług
    • W przypadku elementu samlMetadataUrl pomiń ten wpis
    • W polu replyUrlsWithType wprowadź skopiowany adres URL dostawcy usług
    • W przypadku logoutUrl pomiń ten wpis

Pozostałe kroki nie są wymagane.

Wyodrębnij metadane SAML dostawcy tożsamości z Azure AD B2C

  1. Uzyskaj adres URL metadanych SAML w następującym formacie:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Uwaga / Notatka

<tenant-name> jest instancją Azure AD B2C, a <policy-name> jest niestandardową zasadą SAML, którą utworzyłeś. Adres URL może być: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

  1. Otwórz przeglądarkę internetową.
  2. Przejdź do adresu URL metadanych SAML.
  3. Kliknij prawym przyciskiem myszy na stronie.
  4. Wybierz Zapisz jako.
  5. Zapisz plik na komputerze do późniejszego użycia.

Ukończ konfigurację IdP na platformie ZPA

Aby ukończyć konfigurację IdP:

  1. Przejdź do portalu administracyjnego ZPA.

  2. Wybierz pozycję Administracja>Konfiguracja dostawcy tożsamości.

  3. Wybierz skonfigurowanego dostawcę tożsamości, a następnie wybierz opcję Wznów.

  4. Na panelu Dodawanie konfiguracji IdP wybierz kartę Utwórz IdP.

  5. Pod Plik metadanych IdP prześlij zapisany plik metadanych.

  6. W obszarze Stan sprawdź, czy konfiguracja jest włączona.

  7. Wybierz Zapisz.

    Zrzut ekranu przedstawiający status Enabled w sekcji SAML attributes, w ramach Add IdP Configuration pane.

Testowanie rozwiązania

Aby potwierdzić uwierzytelnianie SAML, przejdź do portalu użytkowników ZPA lub aplikacji dostępu do przeglądarki i przetestuj proces rejestracji lub logowania.

Dalsze kroki

  • Last updated on