你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:为 Azure Active Directory B2C 配置 Cloudflare Web 应用程序防火墙

在此教程中,可了解如何为使用自定义域的 Azure Active Directory B2C (Azure AD B2C) 租户配置 Cloudflare Web 应用程序防火墙 (WAF) 解决方案。 使用 Cloudflare WAF 帮助保护组织免遭恶意攻击,这些恶意攻击可能会利用漏洞,例如 SQL 注入和跨站脚本 (XSS)。

先决条件

若要开始,需要:

方案描述

Cloudflare WAF 集成包括以下组件:

  • Azure AD B2C 租户 - 使用该租户中定义的自定义策略来验证用户凭据的授权服务器。 它称为标识提供者
  • Azure Front Door - 为 Azure B2C 租户启用自定义域。 Cloudflare WAF 中的流量在路由到 Azure Front Door 后,才能到达 Azure AD B2C 租户。
  • Cloudflare - Web 应用程序防火墙,用于管理发送到授权服务器的流量。

与 Azure AD B2C 集成

对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。 了解如何启用 Azure AD B2C 自定义域

使用 Azure Front Door 配置 Azure AD B2C 的自定义域后,请先测试自定义域,再继续执行操作。

创建 Cloudflare 帐户

在 cloudflare.com 上,可以创建帐户。 要启用 WAF,请在应用程序服务中选择“Pro”(必需)。

配置 DNS

  1. 要为域启用 WAF,请在 CNAME 条目的 DNS 控制台中,从 CNAME 条目的 DNS 控制台启用代理设置,如下所示。

    代理设置的屏幕截图。

  2. 在 DNS 窗格下,将“代理状态”选项切换为“已设置代理”。 该选项变成橙色。

设置如下图所示。

“已设置代理”状态的屏幕截图。

配置 Web 应用程序防火墙

转到 Cloudflare 设置,然后使用 Cloudflare 内容配置 WAF 并了解其他安全工具。

配置防火墙规则

在控制台顶部窗格中,使用“防火墙”选项添加、更新或删除防火墙规则。 例如,在请求到达 Azure Front Door 之前,以下防火墙设置将对 contosobank.co.uk 域的传入请求启用 CAPTCHA。

强制执行 captcha 的屏幕截图。

了解详细信息:Cloudflare 防火墙规则

测试设置

  1. 请求访问自定义域时完成 CAPTCHA。

    Cloudflare WAF 强制执行 CAPTCHA 的屏幕截图。

注意

Cloudflare 具有自定义块页的功能。 请参阅配置自定义页面(错误和质询)

  1. 此时会显示“Azure AD B2C 策略登录”对话框。

    Azure AD B2C 策略登录的屏幕截图。

资源

后续步骤

在 Azure AD B2C 中配置自定义域