你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure Active Directory B2C 配置 Akamai Web Application Protector

了解如何为使用自定义域的 Azure Active Directory B2C (Azure AD B2C) 租户启用 Akamai Web Application Protector。 Akamai WAP 可帮助组织防范其 Web 应用程序受到旨在利用安全漏洞进行的恶意攻击,如 SQL 注入和跨站点脚本。

详细了解 akamai.com:什么是 Web 应用程序防火墙 (WAF)?

使用 WAF 的好处:

  • 控制服务的流量管理
  • 在 Azure AD B2C 租户前进行配置
  • 操作流量以保护和保障标识基础结构

本文适用于:

WAP:Web Application Protector KSD:Kona Site Defender

先决条件

方案描述

Akamai WAP 集成包括以下组件:

  • Azure AD B2C - 使用租户中的自定义策略来验证用户凭据的授权服务器。 也称为标识提供者 (IdP)。
  • Azure Front Door - 为 Azure B2C 租户启用自定义域
  • Akamai WAP - Web 应用程序防火墙,用于管理发送到授权服务器的流量

与 Azure AD B2C 集成

对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。

请参阅为 Azure AD B2C 启用自定义域

使用 Azure Front Door 配置 Azure AD B2C 的自定义域时,请使用以下说明测试自定义域。

请参阅测试自定义域,然后继续下一部分。

创建 Akamai 帐户

  1. 转到 akamai.com
  2. 选择“了解详细信息”。
  3. 在“云计算服务”页上,选择“创建帐户”。

创建并配置属性

属性是一个配置文件,用于告知边缘服务器如何处理和响应来自最终用户的传入请求。 属性在属性管理器中创建和维护。

若要了解详细信息,请转到 techdocs.akamai.com 并查看什么是属性?

  1. 转到 control.akamai.com 并登录:Akamai 控制中心登录页面
  2. 转到“属性管理器”。
  3. 对于“属性版本”,请选择“标准”或“增强的 TLS(推荐)”。
  4. 对于“属性主机名”,请添加属性主机名,即你的自定义域。 例如,login.domain.com

重要

使用正确的自定义域名设置创建或修改证书。
转到 techdocs.akamai.com 配置 HTTPS 主机名

源服务器属性配置设置

对源服务器使用以下设置。

  1. 对于“源类型”,请输入你的类型。
  2. 对于“源服务器主机名”,请输入主机名。 例如: yourafddomain.azurefd.net
  3. 对于“转发主机头”,请使用“传入主机头”。
  4. 对于“缓存键主机名”,请使用“传入主机头”。

配置 DNS

在 DNS(如 login.domain.com)中创建一条指向“属性主机名”字段中的 Edge 主机名的规范名称 (CNAME) 记录。

配置 Akamai WAP

  1. 若要开始使用 WAP 配置,请转到 techdocs.akamai.com 并查看应用 & API Protector

  2. 在配置期间,对于“攻击组”中的项,在“规则操作”下,选择“拒绝”。

    规则操作列中被拒绝的攻击组的屏幕截图。

测试设置

要确保流向 Azure AD B2C 的流量经过自定义域:

  • 确认 WAP 会将传入请求路由到 Azure AD B2C 自定义域
    • 确保 TLS 连接有效
  • 确保 Azure AD B2C 正确为自定义域设置 Cookie
  • Defender for Cloud 控制台中的 WAP 仪表板具有 WAP 流量图表
    • 攻击流量也会显示

后续步骤