共用方式為

教學課程:使用 Azure Active Directory B2C 設定 Zscaler Private Access

這很重要

自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解

在本教學課程中,瞭解如何整合 Azure Active Directory B2C (Azure AD B2C) 驗證與 Zscaler Private Access (ZPA)。 ZPA 是以原則為基礎、安全存取私人應用程式和資產,而不會有虛擬專用網 (VPN) 的額外負荷或安全性風險。 結合 Azure AD B2C 時,Zscaler 安全的混合式存取可減少取用者面向應用程式的受攻擊面。

深入瞭解:移至 Zscaler 並選取 [產品與解決方案]、[產品]。

先決條件

開始之前,您將需要:

案例描述

ZPA 整合包含下列元件:

  • Azure AD B2C - 驗證使用者認證的識別提供者 (IdP)
  • ZPA - 強制執行零信任存取來保護 Web 應用程式
  • Web 應用程式 - 承載使用者可存取的服務

下圖顯示 ZPA 如何與 Azure AD B2C 整合。

Zscaler 架構、ZPA 和 Azure AD B2C 整合的圖表。

  1. 用戶抵達 ZPA 入口網站或 ZPA 瀏覽器存取應用程式以要求存取權
  2. ZPA 會收集用戶屬性。 ZPA 會執行 SAML 重新導向至 Azure AD B2C 登入頁面。
  3. 新用戶註冊並建立帳戶。 目前的使用者使用認證登入。 Azure AD B2C 會驗證使用者身分識別。
  4. Azure AD B2C 會使用 ZPA 驗證的 SAML 判斷提示,將使用者重新導向至 ZPA。 ZPA 會設定用戶情境。
  5. ZPA 會評估存取原則。 要求允許與否。

上線至 ZPA

本教學課程假設已安裝並執行 ZPA。

若要開始使用 ZPA,請移至 ZPA 的逐步設定指南 help.zscaler.com。

整合 ZPA 與 Azure AD B2C

在 ZPA 上將 Azure AD B2C 設定為 IdP

將 Azure AD B2C 設定為 ZPA 上的 IdP。

如需詳細資訊,請參閱 設定單一登錄的IdP

  1. 登入 ZPA 管理入口網站

  2. 移至 [系統管理>IdP 組態]。

  3. 選取 [新增 IdP 組態]。

  4. [ 新增 IdP 組態 ] 窗格隨即出現。

    [新增 IdP 組態] 窗格上 [IdP 資訊] 索引標籤的螢幕快照。

  5. 選取 [IdP 資訊] 索引標籤

  6. 在 [ 名稱] 方塊中,輸入 Azure AD B2C

  7. [單一登入] 下,選取 [使用者]

  8. 在 [ 網域] 下拉式清單中,選取要與IdP建立關聯的驗證網域。

  9. 選取 下一步

  10. 選取 SP 元數據 頁籤。

  11. [服務提供者 URL] 底下,複製值以供稍後使用。

  12. [服務提供者實體標識符] 下,稍後將值複製到使用者。

    [SP 元數據] 索引標籤上 [服務提供者實體識別符] 選項的螢幕快照。

  13. 選取 [暫停]

在 Azure AD B2C 中設定自定義原則

這很重要

如果您尚未設定自定義原則,請在 Azure AD B2C 中設定自定義原則。

如需詳細資訊,請參閱 教學課程:在 Azure Active Directory B2C 中建立使用者流程和自定義原則

在 Azure AD B2C 中將 ZPA 註冊為 SAML 應用程式

  1. 在 Azure AD B2C 中註冊 SAML 應用程式

  2. 在註冊期間,在 [上傳原則] 中,複製 Azure AD B2C 所使用的 IdP SAML 元數據 URL,以供稍後使用。

  3. 請遵循指示,直到 在 Azure AD B2C 中設定您的應用程式為止。

  4. 針對步驟 4.2,更新應用程式指令清單屬性

    • 針對 identifierUris,輸入您複製的服務提供者實體識別碼
    • 如果是 samlMetadataUrl,請略過這個項目
    • 針對 replyUrlsWithType,輸入您複製的服務提供者 URL
    • 針對 logoutUrl,略過此項目

不需要其餘步驟。

從 Azure AD B2C 擷取 IdP SAML 元數據

  1. 以下列格式取得 SAML 中繼資料 URL:

    https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

備註

<tenant-name> 是您的 Azure AD B2C 租戶,<policy-name> 是您所建立的自訂 SAML 原則。 URL 可能是: https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata

  1. 開啟網頁瀏覽器。
  2. 移至 SAML 元資料 URL。
  3. 在頁面上點擊滑鼠右鍵。
  4. 選取 [另存新檔]
  5. 將檔案儲存到您的電腦,以供稍後使用。

在 ZPA 上完成 IdP 設定

若要完成 IdP 設定:

  1. 移至 ZPA 管理入口網站

  2. 選取 [系統管理>IdP 組態]。

  3. 選取您設定的IdP,然後選取 [繼續]。

  4. 在 [ 新增 IdP 組態 ] 窗格中,選取 [ 建立 IdP] 索引標籤。

  5. [IdP 元數據檔案] 底下,上傳您儲存的元數據檔案。

  6. [狀態] 底下,確認組態 為 [已啟用]。

  7. 選取 [儲存]。

    [新增 IdP 組態] 窗格上 [SAML 屬性] 底下的 [已啟用狀態] 螢幕快照。

測試解決方案

若要確認 SAML 驗證,請移至 ZPA 使用者入口網站或瀏覽器存取應用程式,並測試註冊或登入程式。

後續步驟

  • Last updated on