Introduction

開発メモその452 Debian に cloudflared をインストールして LAN 内のサーバーに外部からアクセスできるようにするの続き。

数日放置していたら、外国からのアクセスが多くて肝が冷えたので。

How to do?

Cloudflare Access という機能で Web サービス側に修正を加えることなく追加の認証機能を追加できる。
仕組みとして、外部から Cloudflare Tunnel にアクセスしようとすると、 Cloudflare Access が介入し、指定された認証をパスしないと Cloudflare Tunnel の先のサービス (今回は自宅サーバ) にアクセスできないようにしてくれるわけ。
認証機能として外部の IDプロバイダー（IdP） を統合することができ、今回は GitHUb を使ってみる。

1. IdP として GitHUb を連携させる

Cloudflare ダッシュボードを開き、左側の Zero Trust を押下

左側の設定を押下

右側の認証を押下

ログイン方法 内の 新規追加 を押下

GitHub を押下

セットアップ手順 が表示されるので、一度 GitHub を開く

右上のアカウントメニューから Settings を押下

左側のメニュー最下部にある Developer settings を押下

左側のメニューの OAuth Apps を押下

New OAuth app を押下

Application name を入力 (自由記述)
Homepage URL に https://<your-team-name>.cloudflareaccess.com を入力
Authorization callback URL に https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback を入力
上記の <your-team-name> は Zero Trust -> 設定 -> カスタムページ にある チームドメイン を参照

入力後、 Register application を押下

アプリケーションが作成される。
Client ID を控えておく
右側の Generate a new client secret を押下

MFA 認証が行われる (設定次第) ので、認証コードを入力して Verify を押下

Client secret が生成されるので控えておく

Cloudflare のページに戻り、左側の名前を入力 (自由記述)
アプリ ID に先程 GitHub のページで入手した Client ID を入力
クライアントシークレット に先程 GitHub のページで入手した Client secret を入力
保存を押下