Cloudflare Access 配置指南 (2026 最新版 UI)
版本: 2026.1
最后更新: 2026-04-04
适用: Zero Trust Dashboard 新版 UI
🎯 目标
为知识库网站 nanobot-knowledge-base.pages.dev 配置 Cloudflare Access 访问控制,实现:
- ✅ 仅限授权邮箱访问
- ✅ 强制双因素认证 (MFA)
- ✅ 完整的访问审计日志
📋 前提条件
| 项目 | 要求 |
|---|---|
| Cloudflare 账号 | 已登录 (custerpeng@foxmail.com) |
| 账号权限 | Zero Trust 管理员权限 |
| 域名 | 已部署到 Cloudflare Pages |
| API Token | 已配置到 GitHub Secrets (可选) |
🔧 完整配置步骤
步骤 1:登录 Cloudflare Dashboard
- 访问:https://dash.cloudflare.com
- 使用授权邮箱登录
截图位置:
docs/assets/screenshots/01-dashboard-login.png
步骤 2:进入 Zero Trust 控制台
2026 UI 变化说明:
旧版入口在左侧菜单,新版已移至顶部导航栏。
- 点击顶部导航栏的 Zero Trust 按钮
- 或直连:https://one.dash.cloudflare.com/
截图位置:
docs/assets/screenshots/02-zero-trust-entry.png
步骤 3:导航到 Access 配置
2026 UI 菜单结构:
Zero Trust Dashboard
├── Access (左侧主菜单)
│ ├── Applications
│ ├── Groups
│ ├── Service Auth
│ └── Access Control
├── Network
├── Devices
└── Reports- 点击左侧 Access 主菜单
- 选择 Applications 子菜单
- 点击右上角 Add an application 按钮
截图位置:
docs/assets/screenshots/03-access-applications.png
步骤 4:创建 Access 应用
应用类型选择:
| 类型 | 适用场景 |
|---|---|
| Self-hosted | 自有域名应用 (推荐) |
| SaaS | 第三方 SaaS 应用 |
| Bookmarks | 内部书签链接 |
配置 Self-hosted 应用:
- 选择 Self-hosted 类型
- 填写应用信息:
Application name: Nanobot Knowledge Base
Subdomain: nanobot-knowledge-base
Domain: pages.dev
Session duration: 24 hours- 点击 Next 继续
截图位置:
docs/assets/screenshots/04-create-application.png
步骤 5:配置访问策略
策略配置界面:
- 点击 Add a policy 按钮
- 填写策略基本信息:
Policy name: Allow Authorized Users
Action: Allow- 配置访问规则:
| Field | Operator | Value |
|---|---|---|
| Equals | custerpeng@foxmail.com |
添加 MFA 要求(推荐):
- 点击 Require 下拉菜单
- 选择 Login method
- 勾选 Email Code
点击 Save policy
截图位置:
docs/assets/screenshots/05-policy-configuration.png
步骤 6:配置 Authentication(关键步骤)
2026 UI 重要变化:
Authentication 配置已从 Application 设置移至 Access Control 独立菜单。
返回 Access 主菜单
点击 Access Control → Authentication
配置登录方法:
- ✅ Email Code (启用)
- ⬜ GitHub (可选)
- ⬜ Google (可选)
- ⬜ SAML (企业版)
设置 Session 策略:
- Default duration: 24h
- Force re-authentication: 7d
截图位置:
docs/assets/screenshots/06-authentication-settings.png
步骤 7:保存并激活
- 返回 Applications 页面
- 确认应用状态为 Active
- 记录 Application ID(用于 API 调用)
✅ 验证步骤
验证 1:访问测试
- 打开新浏览器窗口(无痕模式)
- 访问:https://nanobot-knowledge-base.pages.dev
- 应看到 Cloudflare Access 登录页面
预期结果: 显示邮箱输入框和 Cloudflare 品牌标识
验证 2:邮箱验证
- 输入授权邮箱:custerpeng@foxmail.com
- 点击 Send code
- 检查邮箱收件箱
- 输入 6 位验证码
预期结果: 成功跳转到知识库首页
验证 3:未授权访问测试
- 使用未授权邮箱尝试登录
- 应看到 Access denied 错误
预期结果: 显示 403 Forbidden 或自定义拒绝页面
验证 4:访问日志检查
- 返回 Zero Trust Dashboard
- 点击 Reports → Logs
- 筛选 Application: Nanobot Knowledge Base
- 查看最近的访问记录
预期结果: 显示成功的访问事件和尝试记录
📸 截图清单
| 编号 | 文件名 | 说明 |
|---|---|---|
| 01 | 01-dashboard-login.png | Dashboard 登录页面 |
| 02 | 02-zero-trust-entry.png | Zero Trust 入口 |
| 03 | 03-access-applications.png | Access Applications 页面 |
| 04 | 04-create-application.png | 创建应用表单 |
| 05 | 05-policy-configuration.png | 策略配置界面 |
| 06 | 06-authentication-settings.png | Authentication 设置 |
| 07 | 07-login-page.png | Access 登录页面 |
| 08 | 08-access-granted.png | 访问成功页面 |
❓ 常见问题解答
Q1: 为什么看不到 Access 菜单?
原因: 账号权限不足或不在 Zero Trust 组织中
解决:
- 确认账号已加入 Zero Trust 组织
- 联系管理员授予 Access 管理权限
- 检查是否在正确的账号下登录
Q2: 应用创建后访问仍无限制?
原因: 域名未正确绑定或策略未生效
解决:
- 检查 Application 的 Subdomain 和 Domain 配置
- 确认策略状态为 Active
- 清除浏览器缓存后重试
- 等待 1-2 分钟让配置生效
Q3: 如何添加多个授权用户?
方法 1 - 修改现有策略:
Policy: Allow Authorized Users
Rules:
- Email Equals custerpeng@foxmail.com
- Email Equals user2@example.com # 添加 OR 规则方法 2 - 创建用户组:
- Access → Groups → Create Group
- 添加多个邮箱到组
- 在策略中引用该组
Q4: Session duration 设置多少合适?
| 场景 | 推荐时长 |
|---|---|
| 个人使用 | 24 小时 |
| 团队共享 | 8 小时 |
| 高安全需求 | 1 小时 |
| 公共终端 | 30 分钟 |
🔐 安全最佳实践
1. 最小权限原则
- 仅授权必要的邮箱
- 定期审查授权列表
- 及时移除离职用户
2. 强制 MFA
- 始终启用 Email Code 验证
- 考虑添加硬件密钥支持
- 对敏感应用启用设备信任
3. 监控与审计
- 定期检查访问日志
- 设置异常访问告警
- 导出日志进行离线分析
4. 配置备份
# 使用 API 导出配置
curl -X GET "https://api.cloudflare.com/client/v4/accounts/$ACCOUNT_ID/access/apps" \
-H "Authorization: Bearer $API_TOKEN" \
-H "Content-Type: application/json"📚 相关文档
🔗 相关文档
文档状态: ✅ 已发布
最后验证: 2026-04-04