Samouczek: konfigurowanie usługi Azure Active Directory B2C przy użyciu usługi Azure Web Application Firewall

Dowiedz się, jak włączyć usługę Azure Web Application Firewall (WAF) dla dzierżawy usługi Azure Active Directory B2C (Azure AD B2C) z domeną niestandardową. Zapora aplikacji internetowych chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach.

Uwaga

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Zobacz Co to jest usługa Azure Web Application Firewall?

Wymagania wstępne

Aby rozpocząć pracę, potrzebne będą następujące elementy:

• Subskrypcja platformy Azure
• Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Dzierżawa usługi Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych zdefiniowanych w dzierżawie
  • Znany również jako dostawca tożsamości (IdP)
  • Zobacz Samouczek: tworzenie dzierżawy usługi Azure Active Directory B2C
• Azure Front Door (AFD) — umożliwia domeny niestandardowe dla dzierżawy usługi Azure AD B2C
  • Zobacz dokumentację usługi Azure Front Door i CDN
• Zapora aplikacji internetowej — zarządza ruchem wysyłanym do serwera autoryzacji
  • Azure Web Application Firewall

Domeny niestandardowe w usłudze Azure AD B2C

Aby używać domen niestandardowych w usłudze Azure AD B2C, użyj niestandardowych funkcji domeny w usłudze AFD. Zobacz Włączanie domen niestandardowych dla Azure AD B2C.

Ważne

Po skonfigurowaniu domeny niestandardowej zobacz Testowanie domeny niestandardowej.

Włączanie zapory aplikacji internetowej

Aby włączyć zaporę aplikacji internetowej, skonfiguruj zasady zapory aplikacji internetowej i skojarz ją z usługą AFD w celu ochrony.

Tworzenie zasad zapory aplikacji internetowej

Utwórz zasady zapory aplikacji internetowej przy użyciu domyślnego zestawu reguł zarządzanych przez platformę Azure (DRS). Zobacz Web Application Firewall grupy reguł i reguły odzyskiwania po awarii.

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz pozycję Utwórz zasób.
3. Wyszukaj pozycję Zapora aplikacji internetowej platformy Azure.
4. Wybierz pozycję Azure Web Application Firewall (WAF).
5. Wybierz przycisk Utwórz.
6. Przejdź do strony Tworzenie zasad zapory aplikacji internetowej .
7. Wybierz kartę Podstawowe.
8. W obszarze Zasady wybierz pozycję Global WAF (Front Door).
9. W polu Jednostka SKU usługi Front Door wybierz jednostki SKU w warstwie Podstawowa, Standardowa lub Premium .
10. W polu Subskrypcja wybierz nazwę subskrypcji usługi Front Door.
11. W polu Grupa zasobów wybierz nazwę grupy zasobów usługi Front Door.
12. W polu Nazwa zasad wprowadź unikatową nazwę zasad zapory aplikacji internetowej.
13. W obszarze Stan zasad wybierz pozycję Włączone.
14. W obszarze Tryb zasad wybierz pozycję Wykrywanie.
15. Wybierz pozycję Przejrzyj i utwórz.
16. Przejdź do karty Skojarzenie na stronie Tworzenie zasad zapory aplikacji internetowej.
17. Wybierz pozycję + Skojarz profil usługi Front Door.
18. W polu Front Door wybierz nazwę usługi Front Door skojarzoną z domeną niestandardową usługi Azure AD B2C.
19. W obszarze Domeny wybierz domeny niestandardowe Azure AD B2C, do których mają być skojarzone zasady zapory aplikacji internetowej.
20. Wybierz pozycję Dodaj.
21. Wybierz pozycję Przejrzyj i utwórz.
22. Wybierz pozycję Utwórz.

Tryby wykrywania i zapobiegania

Podczas tworzenia zasad zapory aplikacji internetowej zasady są w trybie wykrywania. Zalecamy wyłączenie trybu wykrywania. W tym trybie zapora aplikacji internetowej nie blokuje żądań. Zamiast tego żądania zgodne z regułami zapory aplikacji internetowej są rejestrowane w dziennikach zapory aplikacji internetowej.

Dowiedz się więcej: Monitorowanie i rejestrowanie w usłudze Azure Web Application Firewall

Poniższe zapytanie pokazuje żądania zablokowane przez zasady zapory aplikacji internetowej w ciągu ostatnich 24 godzin. Szczegóły obejmują, nazwę reguły, dane żądania, akcję podjętą przez zasady i tryb zasad.

Przejrzyj dzienniki zapory aplikacji internetowej, aby ustalić, czy reguły zasad powodują fałszywie dodatnie wyniki. Następnie wyklucz reguły zapory aplikacji internetowej na podstawie dzienników zapory aplikacji internetowej.

Dowiedz się więcej: Definiowanie reguł wykluczania na podstawie dzienników Web Application Firewall

Tryby przełączania

Aby wyświetlić działanie zapory aplikacji internetowej, wybierz pozycję Przełącz do trybu zapobiegania, który zmienia tryb z pozycji Wykrywanie na Zapobieganie. Żądania zgodne z regułami w usłudze DRS są blokowane i rejestrowane w dziennikach zapory aplikacji internetowej.

Aby przywrócić tryb wykrywania, wybierz pozycję Przełącz do trybu wykrywania.

Następne kroki

• Monitorowanie i rejestrowanie na platformie Azure Web Application Firewall
• Usługa Web Application Firewall (WAF) z listami wykluczeń usługi Front Door