你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure Active Directory B2C 配置 Akamai Web Application Protector
了解如何为使用自定义域的 Azure Active Directory B2C (Azure AD B2C) 租户启用 Akamai Web Application Protector。 Akamai WAP 可帮助组织防范其 Web 应用程序受到旨在利用安全漏洞进行的恶意攻击,如 SQL 注入和跨站点脚本。
详细了解 akamai.com:什么是 Web 应用程序防火墙 (WAF)?
使用 WAF 的好处:
- 控制服务的流量管理
- 在 Azure AD B2C 租户前进行配置
- 操作流量以保护和保障标识基础结构
本文适用于:
WAP:Web Application Protector KSD:Kona Site Defender
先决条件
- Azure 订阅
- 如果没有,获取一个 Azure 免费帐户
- 一个已关联到你的 Azure 订阅的 Azure AD B2C 租户
- Akamai WAP 帐户
- 转到 akamai.com,浏览所有 Akamai 产品和试用版
方案描述
Akamai WAP 集成包括以下组件:
- Azure AD B2C - 使用租户中的自定义策略来验证用户凭据的授权服务器。 也称为标识提供者 (IdP)。
-
Azure Front Door - 为 Azure B2C 租户启用自定义域
- 流量从 Akamai WAP 流向 Azure Front Door,然后进入 Azure AD B2C 租户
- 什么是 Azure Front Door?
- Akamai WAP - Web 应用程序防火墙,用于管理发送到授权服务器的流量
与 Azure AD B2C 集成
对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。
使用 Azure Front Door 配置 Azure AD B2C 的自定义域时,请使用以下说明测试自定义域。
请参阅测试自定义域,然后继续下一部分。
创建 Akamai 帐户
- 转到 akamai.com。
- 选择“了解详细信息”。
- 在“云计算服务”页上,选择“创建帐户”。
创建并配置属性
属性是一个配置文件,用于告知边缘服务器如何处理和响应来自最终用户的传入请求。 属性在属性管理器中创建和维护。
若要了解详细信息,请转到 techdocs.akamai.com 并查看什么是属性?
- 转到 control.akamai.com 并登录:Akamai 控制中心登录页面。
- 转到“属性管理器”。
- 对于“属性版本”,请选择“标准”或“增强的 TLS(推荐)”。
- 对于“属性主机名”,请添加属性主机名,即你的自定义域。 例如,
login.domain.com
。
重要
使用正确的自定义域名设置创建或修改证书。
转到 techdocs.akamai.com 配置 HTTPS 主机名。
源服务器属性配置设置
对源服务器使用以下设置。
- 对于“源类型”,请输入你的类型。
- 对于“源服务器主机名”,请输入主机名。 例如:
yourafddomain.azurefd.net
- 对于“转发主机头”,请使用“传入主机头”。
- 对于“缓存键主机名”,请使用“传入主机头”。
配置 DNS
在 DNS(如 login.domain.com
)中创建一条指向“属性主机名”字段中的 Edge 主机名的规范名称 (CNAME) 记录。
配置 Akamai WAP
若要开始使用 WAP 配置,请转到 techdocs.akamai.com 并查看应用 & API Protector。
在配置期间,对于“攻击组”中的项,在“规则操作”下,选择“拒绝”。
测试设置
要确保流向 Azure AD B2C 的流量经过自定义域:
- 确认 WAP 会将传入请求路由到 Azure AD B2C 自定义域
- 确保 TLS 连接有效
- 确保 Azure AD B2C 正确为自定义域设置 Cookie
- Defender for Cloud 控制台中的 WAP 仪表板具有 WAP 流量图表
- 攻击流量也会显示