你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:为 Azure Active Directory B2C 配置 Cloudflare Web 应用程序防火墙
在此教程中,可了解如何为使用自定义域的 Azure Active Directory B2C (Azure AD B2C) 租户配置 Cloudflare Web 应用程序防火墙 (WAF) 解决方案。 使用 Cloudflare WAF 帮助保护组织免遭恶意攻击,这些恶意攻击可能会利用漏洞,例如 SQL 注入和跨站脚本 (XSS)。
先决条件
若要开始,需要:
- Azure 订阅
- 如果没有,可以获取一个 Azure 免费帐户
- 一个已关联到你的 Azure 订阅的 Azure AD B2C 租户
- 一个 Cloudflare 帐户
方案描述
Cloudflare WAF 集成包括以下组件:
- Azure AD B2C 租户 - 使用该租户中定义的自定义策略来验证用户凭据的授权服务器。 它称为标识提供者
- Azure Front Door - 为 Azure B2C 租户启用自定义域。 Cloudflare WAF 中的流量在路由到 Azure Front Door 后,才能到达 Azure AD B2C 租户。
- Cloudflare - Web 应用程序防火墙,用于管理发送到授权服务器的流量。
与 Azure AD B2C 集成
对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。 了解如何启用 Azure AD B2C 自定义域。
使用 Azure Front Door 配置 Azure AD B2C 的自定义域后,请先测试自定义域,再继续执行操作。
创建 Cloudflare 帐户
在 cloudflare.com 上,可以创建帐户。 要启用 WAF,请在应用程序服务中选择“Pro”(必需)。
配置 DNS
要为域启用 WAF,请在 CNAME 条目的 DNS 控制台中,从 CNAME 条目的 DNS 控制台启用代理设置,如下所示。
在 DNS 窗格下,将“代理状态”选项切换为“已设置代理”。 该选项变成橙色。
设置如下图所示。
配置 Web 应用程序防火墙
转到 Cloudflare 设置,然后使用 Cloudflare 内容配置 WAF 并了解其他安全工具。
配置防火墙规则
在控制台顶部窗格中,使用“防火墙”选项添加、更新或删除防火墙规则。 例如,在请求到达 Azure Front Door 之前,以下防火墙设置将对 contosobank.co.uk 域的传入请求启用 CAPTCHA。
了解详细信息:Cloudflare 防火墙规则
测试设置
请求访问自定义域时完成 CAPTCHA。
注意
Cloudflare 具有自定义块页的功能。 请参阅配置自定义页面(错误和质询)。
此时会显示“Azure AD B2C 策略登录”对话框。
资源
- Cloudflare:排查常见的自定义页面问题
- Azure AD B2C 中的自定义策略入门