Självstudie: Konfigurera privat Zscaler-åtkomst med Azure Active Directory B2C

I den här självstudien lär du dig att integrera Azure Active Directory B2C-autentisering (Azure AD B2C) med Zscaler Private Access (ZPA). ZPA levererar principbaserad, säker åtkomst till privata program och tillgångar utan kostnad, problem eller säkerhetsrisker i ett virtuellt privat nätverk (VPN). Zscaler-erbjudandet för säker hybridåtkomst möjliggör en attackyta utan angrepp för konsumentriktade program när de kombineras med Azure AD B2C.

Förutsättningar

Innan du börjar behöver du:

Scenariobeskrivning

ZPA-integreringen innehåller följande komponenter:

  • Azure AD B2C: Den identitetsprovider (IdP) som ansvarar för att verifiera användarens autentiseringsuppgifter. Den ansvarar också för att registrera en ny användare.
  • ZPA: Den tjänst som ansvarar för att skydda webbappen genom att framtvinga åtkomst utan förtroende.
  • Webbprogrammet: Är värd för den tjänst som användaren försöker komma åt.

Följande diagram visar hur ZPA integreras med Azure AD B2C.

Diagram över Zscaler-arkitekturen som visar hur ZPA integreras med Azure AD B2C.

Sekvensen beskrivs i följande tabell:

Steg Beskrivning
1 En användare kommer till en ZPA-användarportal eller ett ZPA-webbläsaråtkomstprogram.
2 ZPA kräver information om användarkontext innan den kan bestämma om användaren ska få åtkomst till webbappen. För att autentisera användaren utför ZPA en SAML-omdirigering till Azure AD B2C inloggningssidan.
3 Användaren kommer till inloggningssidan för Azure AB B2C. Nya användare registrerar sig för att skapa ett konto och befintliga användare loggar in med sina befintliga autentiseringsuppgifter. Azure AD B2C verifierar användarens identitet.
4 Vid lyckad autentisering Azure AD B2C användaren tillbaka till ZPA tillsammans med SAML-försäkran. ZPA verifierar SAML-försäkran och anger användarkontexten.
5 ZPA utvärderar åtkomstprinciper för användaren. Om användaren får åtkomst till webbappen tillåts anslutningen att passera.

Publicera till ZPA

Den här självstudien förutsätter att du redan har en fungerande ZPA-konfiguration. Om du kommer igång med ZPA kan du gå till den stegvisa konfigurationsguiden för ZPA.

Integrera ZPA med Azure AD B2C

Steg 1: Konfigurera Azure AD B2C som en IdP på ZPA

Om du Azure AD B2C som idP på ZPAgör du följande:

  1. Logga in på ZPA-administratörsportalen.

  2. Gå till Administration > IdP-konfiguration.

  3. Välj Lägg till IdP-konfiguration.

    Fönstret Lägg till IdP-konfiguration öppnas.

    Skärmbild av fliken IdP-information i fönstret "Lägg till IdP-konfiguration".

  4. Välj fliken IdP-information och gör sedan följande:

    a. I rutan Namn anger du Azure AD B2C.
    b. Under Enkel inloggning väljer du Användare.
    c. I listrutan Domäner väljer du de autentiseringsdomäner som du vill associera med denna IdP.

  5. Välj Nästa.

  6. Välj fliken SP-metadata och gör sedan följande:

    a. Under Tjänstleverantörs-URL kopierar eller noterar du värdet för senare användning.
    b. Under Entitets-ID för tjänstleverantör kopierar eller noterar du värdet för senare användning.

    Skärmbild av fliken SP-metadata i fönstret "Lägg till IdP-konfiguration".

  7. Välj Pausa.

När du har konfigurerat Azure AD B2C återupptas resten av IdP-konfigurationen.

Steg 2: Konfigurera anpassade principer i Azure AD B2C

Anteckning

Det här steget krävs bara om du inte redan har konfigurerat anpassade principer. Om du redan har en eller flera anpassade principer kan du hoppa över det här steget.

Information om hur du konfigurerar anpassade principer Azure AD B2C klientorganisationen finns i Kom igång med anpassade principer i Azure Active Directory B2C.

Steg 3: Registrera ZPA som ett SAML-program i Azure AD B2C

Information om hur du konfigurerar ett SAML-Azure AD B2C finns i Registrera ett SAML-program i Azure AD B2C.

I steg "Upload din princip"kopierar eller noterar du URL:en för IdP SAML-metadata som används av Azure AD B2C. Du behöver det senare.

Följ instruktionerna i "Konfigurera ditt program i Azure AD B2C". I steg 4.2 uppdaterar du appmanifestegenskaperna på följande sätt:

  • För identifierUris: Använd det entitets-ID för tjänstleverantör som du kopierade eller antecknade tidigare i "Steg 1.6.b".
  • För samlMetadataUrl: Hoppa över den här egenskapen eftersom ZPA inte är värd för en SAML-metadata-URL.
  • För replyUrlsWithType: Använd den tjänstleverantörs-URL som du kopierade eller antecknade tidigare i "Steg 1.6.a".
  • För logoutUrl: Hoppa över den här egenskapen eftersom ZPA inte stöder en utloggnings-URL.

Resten av stegen är inte relevanta för den här självstudien.

Steg 4: Extrahera IdP SAML-metadata från Azure AD B2C

Därefter måste du hämta en URL för SAML-metadata i följande format:

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/Samlp/metadata

Observera att är namnet på din Azure AD B2C klientorganisation och är namnet på den anpassade SAML-princip som du <tenant-name> skapade i föregående <policy-name> steg.

URL:en kan till exempel vara:

https://safemarch.b2clogin.com/safemarch.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.

Öppna en webbläsare och gå till URL:en för SAML-metadata. Högerklicka någonstans på sidan, välj Spara som och spara sedan filen på datorn för användning i nästa steg.

Steg 5: Slutför IdP-konfigurationen på ZPA

Slutför IdP-konfigurationen i ZPA-administratörsportalen som du delvis konfigurerade tidigare i "Steg 1: Konfigurera Azure AD B2C som en IdP på ZPA".

  1. I ZPA-administratörsportalengår du till Administration > IdP-konfiguration.

  2. Välj den IdP som du konfigurerade i "Steg 1" och välj sedan Återuppta.

  3. I fönstret Lägg till IdP-konfiguration väljer du fliken Skapa IdP och gör sedan följande:

    a. Under IdP-metadatafil laddar du upp metadatafilen som du sparade tidigare i "Steg 4: Extrahera IDP SAML-metadata från Azure AD B2C".
    b. Kontrollera att Status för IdP-konfigurationen är Aktiverad.
    c. Välj Spara.

    Skärmbild av fliken "Skapa IdP" i fönstret "Lägg till IdP-konfiguration".

Testa lösningen

Gå till en ZPA-användarportal eller ett program för webbläsaråtkomst och testa registrering eller inloggning. Testet bör resultera i en lyckad SAML-autentisering.

Nästa steg

Mer information finns i följande artiklar: