Andreas Krisby

IAM • Cloud • Security

Projects

Entra ID + Cloudflare Access

Setup av Entra ID som IdP mot Cloudflare Access med OIDC federation, SCIM provisioning och gruppbaserad accesshantering.

Conditional Access Lab

Testar MFA policies, device-based access och Zero Trust-flöden i Entra ID.

KQL & Log Analytics

Arbetar med KQL queries och logganalys för att förstå sign-ins, autentiseringar och security events.

Writeup — Entra ID + Cloudflare Access + SCIM

Satte upp Entra ID som IdP mot Cloudflare Access för min privata domän för att förstå hur federation, provisioning och Zero Trust fungerar i praktiken.

Målet var att få:

Arkitektur

Entra ID → OIDC → Cloudflare Access

Entra ID → SCIM → Cloudflare

Steg 1 — Skapa App Registration i Entra ID

Första steget var att skapa en App Registration i Entra ID.

Redirect URI sattes till:

https://team.cloudflareaccess.com/cdn-cgi/access/callback

Här fastnade jag först eftersom redirect URI måste matcha exakt mellan Entra och Cloudflare.

Steg 2 — API Permissions

Efter app registration behövdes rätt Microsoft Graph permissions.

Efter detta behövde admin consent godkännas för tenant.

Steg 3 — Client Secret

Sedan skapades en Client Secret under:

Certificates & secrets

Viktigt här var att kopiera själva VALUE och inte Secret ID. Detta orsakade auth-problem innan jag upptäckte felet.

Steg 4 — Cloudflare Access

I Cloudflare Zero Trust lades Entra ID till som Identity Provider.

Följande användes:

När allt var korrekt konfigurerat fungerade OIDC-auth mot Cloudflare Access.

Steg 5 — SCIM Provisioning

Efter att auth fungerade sattes SCIM provisioning upp mellan systemen.

I Cloudflare genererades:

Dessa användes sedan i Entra under:

Enterprise Applications → Provisioning

Provisioning sattes till:

Automatic

Efter detta började users och grupper syncas automatiskt mellan systemen.

Problem under setup

Resultat

Lärdomar