HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGoogle認証に必要な情報を作成する
2024年08月25日

Cloudflare ZeroTrustのGoogle認証に必要な情報を作成する


ここではCloudflareのZero Trustの[Google認証]に必要な[クライアントID]と[クライアントシークレット]を作成する方法を解説します。

尚、上記は[管理者用Gmailアドレス]に設定します。

 

1.Google Cloudへのログイン

①[console.developers.google.com]にアクセスします。

管理者用のGmailアドレスでない場合は、管理者用に切替えてください。

②始めてGoogle Cloudを利用する時は利用規約の同意画面が表示されるので同意して下さい。

 

2.プロジェクトの作成

表示された下記画面の中にある[プロジェクトの作成]をクリックします。

表示された下記画面で[作成]ボタンを挿入します。

以上でプロジェクト名の作成が完了しました。

 

3.OAuth 同意画面の設定

OAuth 同意画面とはGoogle CloudのどのAPIを利用するか?を設定します。

左側のメニュの「OAuth 同意画面」をクリックするとUser Typeの設定画面が表示されます。

①User Typeの設定

下図で[外部(External)]を選択し、作成ボタンを挿入します。

 

②OAuth 同意画面

下図の[アプリ情報]には下記を設定します。

・[アプリ名]:cloudflare-user ※任意名称です。

・[サポートメール]は▼から管理者メールアドレスを選択します。

画面の下にある[デベロッパーの連絡先]は連絡用のメールアドレスを入力し[保存して次へ]を実行します。

 

③[スコープ]の設定

画面に表示された下図のボタンを挿入します。

表示された画面から後ろに[/auth/userinfo.email]が付いたスコープに✓を付け、画面の下にある[更新]ボタンを挿入します。

下図の様な[非機密のスコープ]が追加されます。

画面の下にある[保存して次へ]を実行します。

 

④テストユーザの設定

何も指定せずに画面の下にある[保存して次へ]をクリックします。

 

⑤概要画面の表示

画面の下にある[ダッシュボードに戻る]をクリックします。

[BACK TO DASHBOARD]と表示される事もあります。

 

以上でOAuth 同意画面に指定した[cloudflare-user]というGoogle認証に利用するアプリが作成されました。

 

4.認証情報の作成

次はCloudflareに設定する[クライアントID]と[クライアントシークレット]の作成です。

左側のメニュの「認証情報」をクリックすると下記画面が表示されます。

 

①OAuthクライアントIDを起動します。

上記画面の[認証情報作成OAuthクライアントID]をクリックします。

 

②OAuthクライアントIDに必要事項を入力します

下図の所に下記を入力します。

■アプリケーションの種類は▼を挿入して[ウェブアプリケーション]を選択します。

■名前は任意名称です。例)Cloudflare client

承認済みのJavaScript生成先に下記を入力します。

■[URL追加]で[https://貴方のチーム名.cloudflareaccess.com]を入力します。

承認済みのリダイレクトURLの所に下記を入力します。

■[URL追加]で[https://貴方のチーム名.cloudflareaccess.com/cdn-cgi/access/callback]を入力します。

画面の下にある[作成]ボタンを挿入します。

確認画面が表示されますのでOKで終了です。

 

以上でGoogle認証に利用する情報の準備は整いました。

[クライアントID]と[クライアントシークレット]の取得は下記画面から行います。

■[クライアントID]は上記画面からコピーできます。

■[クライアントシークレット]は、上記の名前をクリックし表示された下記画面からコピーできます。

上記で設定した[クライアントID]と[クライアントシークレット]は[Google認証]で利用するので、メモ帳に保存しておいて下さい。

 

5.終了

ブラウザを閉じて終了です。

 

[クライアントID]と[クライアントシークレット]の作成が完了したので次は[Google認証]の作成です。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。