一般的なOIDCアプリケーション
ベータこのページでは、OpenID Connect (OIDC) 認証プロトコルを使用して、Cloudflare Access で SaaS アプリケーションを設定するための一般的な手順を提供します。
- Cloudflare Zero Trust に設定された アイデンティティプロバイダー
- SaaS アプリケーションのアカウントへの管理者アクセス
SaaS アプリケーションのアカウントで、リダイレクト URL(コールバック URL とも呼ばれます)を取得します。これは、ユーザーが Cloudflare Access で認証した後にリダイレクトされる SaaS エンドポイントです。
一部の SaaS アプリケーションでは、SSO プロバイダーを設定した後にリダイレクト URL を提供します。
-
Zero Trust ↗ に移動し、Access > Applications に進みます。
-
アプリケーションを追加を選択します。
-
SaaS を選択します。
-
ドロップダウンメニューから アプリケーション を選択します。アプリケーションがリストにない場合は、アプリケーション フィールドにカスタム名を入力し、下に表示されるテキストボックスを選択します。
-
OIDC を選択します。
-
アプリケーションを追加を選択します。
-
スコープで、Access が ID トークンに送信する属性を選択します。
スコープ 説明 openidユーザーの一意の識別子を含める(必須)。 emailユーザーのメールアドレスを含める。 profileIdP からのすべてのカスタム OIDC クレームを含める。 groupsユーザーの IdP グループメンバーシップを含める。 -
リダイレクト URL に、SaaS アプリケーションから取得したコールバック URL を入力します。
-
(オプション)IdP がサポートしている場合は、Proof of Key Exchange (PKCE) ↗ を有効にします。PKCE はすべてのログイン試行で実行されます。
-
次の値をコピーして、SaaS アプリケーションに入力します。異なる SaaS アプリケーションでは、異なる入力値のセットが必要な場合があります。
フィールド 説明 Client secret Access を SSO プロバイダーとして認証するために使用される資格情報 Client ID この Access アプリケーションの一意の識別子 Configuration endpoint SaaS アプリケーションがサポートしている場合、このエンドポイントを使用して OIDC を構成できます。手動で以下の URL を入力する代わりに。
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>/.well-known/openid-configurationIssuer この OIDC 統合のベース URL
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>Token endpoint ユーザーの ID トークンを返します
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>/tokenAuthorization endpoint ユーザーが Access で認証するための URL
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>/authorizationKey endpoint Access JWT を検証するために使用される現在の公開鍵を返します
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>/jwksUser info endpoint JSON 形式でユーザーのすべてのクレームを返します
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/sso/oidc/<client-id>/userinfo -
(オプション)App Launcher でアプリを有効にするをオンにし、App Launcher URL に、ユーザーがタイルを選択したときに送信されるべき URL を入力して、App Launcher 設定を構成します。
-
Under Block pages, choose what end users will see when they are denied access to the application:
- Cloudflare default: Reload the login page and display a block message below the Cloudflare Access logo. The default message is
That account does not have access, or you can enter a custom message. - Redirect URL: Redirect to the specified website.
- Custom page template: Display a custom block page hosted in Zero Trust.
- Cloudflare default: Reload the login page and display a block message below the Cloudflare Access logo. The default message is
-
Next, configure how users will authenticate:
-
Select the Identity providers you want to enable for your application.
-
(Recommended) If you plan to only allow access via a single IdP, turn on Instant Auth. End users will not be shown the Cloudflare Access login page. Instead, Cloudflare will redirect users directly to your SSO login event.
-
(Optional) Under WARP authentication identity, allow users to authenticate to the application using their WARP session identity.
-
-
設定を保存を選択します。
-
SaaS アプリケーションにアクセスできるユーザーを制御するために、Access ポリシーを作成します。
-
完了を選択します。
次に、SaaS アプリケーションを構成して、ユーザーが Cloudflare Access を通じてログインすることを要求します。サードパーティの OIDC SSO プロバイダーを構成する方法については、SaaS アプリケーションのドキュメントを参照してください。
シークレットブラウザウィンドウを開き、SaaS アプリケーションのログイン URL に移動します。Cloudflare Access のログイン画面にリダイレクトされ、アイデンティティプロバイダーでサインインするように求められます。