Konfigurovat Cloudflare s externím identifikátorem Microsoft Entra

Platí pro: Externí nájemci (další informace)

Řešení firewallu webových aplikací (WAF) třetích stran můžete integrovat s externím ID Microsoft Entra, abyste zlepšili celkové zabezpečení. WAF pomáhá chránit vaši organizaci před útoky, jako jsou distribuované odepření služby (DDoS), škodlivé boty a deseti nejvýznamnějšími bezpečnostními riziky dle projektu Open Worldwide Application Security Project (OWASP) Top-10.

Cloudflare Firewall webových aplikací (Cloudflare WAF) chrání vaše webové aplikace před běžným zneužitím a ohrožením zabezpečení. Integrací Cloudflare WAF s externím ID Microsoft Entra přidáte další vrstvu zabezpečení pro vaše aplikace.

Tento článek obsahuje podrobné pokyny ke konfiguraci externího tenanta pomocí WaF Cloudflare.

Přehled řešení

Řešení používá tři hlavní komponenty:

• Externí tenant – funguje jako zprostředkovatel identity (IdP) a autorizační server a vynucuje vlastní zásady pro ověřování.
• Azure Front Door (AFD) – zpracovává vlastní směrování domény a předává provoz do externího ID Microsoft Entra.
• Cloudflare WAF – WAF, který spravuje provoz odesílaný na autorizační server.

Požadavky

Abyste mohli začít, potřebujete:

• Externí nájemce.
• Konfigurace služby Microsoft Azure Front Door (AFD). Provoz z Cloudflare WAF směřuje k Službě Azure Front Door, a ten pak směřuje k externímu tenantovi.
• Cloudflare WAF, který spravuje provoz odesílaný na autorizační server.
• Vlastní doména ve vašem externím tenantovi, která je povolená pomocí služby Azure Front Door (AFD).

Seznamte se s tenanty a zabezpečením aplikací pro uživatele a zákazníky pomocí Microsoft Entra External ID.

Kroky nastavení Cloudflare

Nejprve nastavte Cloudflare WAF tak, aby chránil vaše vlastní domény URL pro externí ID Microsoft Entra. Podle těchto kroků nakonfigurujte Cloudflare WAF.

Povolení vlastních domén URL

Prvním krokem je povolení vlastních domén pomocí AFD. Postupujte podle pokynů v tématu Povolení vlastních domén URL pro aplikace v externích tenantech.

Vytvoření účtu Cloudflare

1. Přejděte na Cloudflare.com/plans a vytvořte účet.
2. Pokud chcete povolit WAF, na kartě Aplikační služby vyberte Pro.

Konfigurace serveru DNS (Domain Name Server)

Povolte WAF pro doménu.

1. V konzole DNS pro CNAME povolte nastavení proxy serveru.

   

2. V části DNS, pro stav proxy, vyberte Proxied.

3. Stav se přepne na oranžový.

   

Poznámka:

Certifikáty spravované službou Azure Front Door se automaticky neprodlouží, pokud záznam CNAME vaší vlastní domény odkazuje na jiný záznam DNS než doména koncového bodu služby Azure Front Door (například při použití služby DNS jiného výrobce, jako je Cloudflare). Pokud chcete certifikát v takových případech obnovit, postupujte podle pokynů v článku o obnovení certifikátů spravovaných službou Azure Front Door .

Ovládací prvky zabezpečení Cloudflare

Pokud chcete zajistit optimální ochranu, povolte bezpečnostní prvky Cloudflare.

ochrana před útoky DDoS

1. Přejděte na řídicí panel Cloudflare.
2. Rozbalte oddíl Zabezpečení.
3. Vyberte DDoS.
4. Zobrazí se zpráva.

Ochrana před roboty

1. Přejděte na řídicí panel Cloudflare.
2. Rozbalte oddíl Zabezpečení.
3. V části Konfigurovat superbot bojový režim, pro rozhodně automatizované, vyberte Blokovat.
4. Pro Pravděpodobně automatizované vyberte Spravovanou výzvu.
5. U ověřených robotů vyberte Povolit.

Pravidla brány firewall: Datový tok ze sítě Tor

Zablokujte provoz, který pochází ze sítě proxy tor, pokud vaše organizace nepotřebuje podporovat provoz.

Poznámka:

Pokud nemůžete blokovat provoz Tor, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze sítě Tor

1. Přejděte na řídicí panel Cloudflare.
2. Rozbalte oddíl Zabezpečení.
3. Vyberte WAF.
4. Vyberte Vytvořit pravidlo.
5. Jako název pravidla zadejte příslušný název.
6. Pokud se příchozí požadavky shodují, jako pole vyberte Kontinent.
7. V části Operátor vyberte rovná se.
8. Jako hodnotu vyberte Tor.
9. Pokud zvolíte možnost Poté proveďte akci, vyberte Blokovat.
10. Jako umístění vyberte První.
11. Vyberte Nasadit.

Poznámka:

Pro návštěvníky můžete přidat vlastní stránky HTML.

Pravidla brány firewall: Provoz ze zemí nebo oblastí

Pokud vaše organizace nemá obchodní důvod podporovat provoz ze všech zemí nebo oblastí, doporučujeme přísné bezpečnostní kontroly provozu ze zemí nebo oblastí, ve kterých není pravděpodobné, že by vaše organizace podporovala provoz ze všech zemí nebo oblastí.

Poznámka:

Pokud nemůžete blokovat provoz ze země nebo oblasti, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze zemí nebo oblastí

Pro následující pokyny můžete přidat vlastní stránky HTML pro návštěvníky.

1. Přejděte na řídicí panel Cloudflare.
2. Rozbalte oddíl Zabezpečení.
3. Vyberte WAF.
4. Vyberte Vytvořit pravidlo.
5. Jako název pravidla zadejte příslušný název.
6. Pokud se příchozí požadavky shodují, v poli vyberte Země/oblast nebo kontinent.
7. V části Operátor vyberte rovná se.
8. Jako hodnotu vyberte zemi/oblast nebo kontinent, který chcete blokovat.
9. Pokud zvolíte možnost Poté proveďte akci, vyberte Blokovat.
10. V části Umístění na vyberte Poslední.
11. Vyberte Nasadit.

Pravidla OWASP a spravovaná pravidla

1. Vyberte spravovaná pravidla.
2. V sadě spravovaných pravidel Cloudflare vyberte Povoleno.
3. V sadě základních pravidel cloudflare OWASP vyberte Povoleno.

Ověřte WAF Cloudflare v externím ID

Po nastavení účtu Cloudflare ho připojte k externímu ID Microsoft Entra. K dokončení připojení použijte token rozhraní API Cloudflare a ID zóny . Můžete to udělat v Centru pro správu nebo pomocí rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra

Konfigurace zprostředkovatele WAF

1. Přihlaste se do Centra pro správu Microsoft Entra minimálně jako Čtenář zabezpečení.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na externího tenanta, který jste vytvořili dříve z nabídky Adresáře a předplatná.

3. Přejděte do Entra ID>Security Store.

4. Výběrem možnosti Začínáme vyberte dlaždici Chránit aplikace před útoky DDoS pomocí WAF.

5. V části Zvolte poskytovatele WAF vyberte Cloudflare a pak vyberte Další.

   

6. V části Konfigurovat Cloudflare WAF můžete vybrat existující konfiguraci nebo vytvořit novou. Pokud vytváříte novou konfiguraci, přidejte následující informace:

   • Název konfigurace: Název konfigurace WAF.
   • Token rozhraní API: Token rozhraní API z řídicího panelu Cloudflare.
   • ID zóny: ID zóny pro vaši doménu z řídicího panelu Cloudflare.

   

7. Výběrem možnosti Další uložte provedené změny.

Ověření domény

Vyberte vlastní domény URL, které Azure Front Door (AFD) umožňuje ověřit a připojit je ke konfiguraci Cloudflare WAF. Tento krok zajistí ochranu vybraných domén pomocí pokročilých funkcí zabezpečení.

1. Vyberte Ověřit doménu a spusťte proces ověření.

2. Vyberte vlastní domény URL, které chcete chránit pomocí WAF Cloudflare, a pak vyberte Ověřit.

   

3. Po ověření vyberte Hotovo.

Microsoft Graph API

Rozhraní Microsoft Graph API můžete použít prostřednictvím Graph Exploreru ke konfiguraci integrace WAF Cloudflare.

Ujistěte se, že volající má roli Čtenář zabezpečení a dal souhlas s oprávněním RiskPreventionProviders.Read.All.

Toto oprávnění umožňuje volat POST .../riskPrevention/webApplicationFirewallProviders k vytvoření poskytovatele a pak volat POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify k ověření.

Krok 1: Vytvoření poskytovatele CLOUDflare WAF pomocí rozhraní API

Ujistěte se, že máte token rozhraní API , který jste vytvořili v Cloudflare, a ID zóny pro vaši doménu. Tyto informace se vyžadují, aby back-end mohl vaším jménem zavolat Cloudflare, aby si stáhl a ověřil konfiguraci WAF.

Žádost

Následující příklad ukazuje požadavek na vytvoření nového objektu Cloudflare WAF.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111",
    "apiToken": "cf_example_token_123"
}

Odezva

Následující příklad ukazuje odpověď s objektem Cloudflare WAF.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000001",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111"
}

Krok 2: Ověření poskytovatele WAF Cloudflare pomocí rozhraní API

Následující příklad ukazuje, jak ověřit doménu pomocí webApplicationFirewallProvider a hostName.

Žádost

Následující příklad ukazuje požadavek.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}

Odezva

Následující příklad ukazuje odpověď.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "cloudflare",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.cloudFlareVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "CloudFlare Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Poznámka:

Operace CRUD (vytvoření, čtení, aktualizace, odstranění) u podrobností o ověření poskytovatelů můžou mít zpoždění až 15 minut. Pokud doménu odstraníte, ověření může trvat až 15 minut, než ji budete moct přidat zpět.

Otestujte konfiguraci.

Po připojení Cloudflare WAF s externím ID Microsoft Entra otestujte konfiguraci a ujistěte se, že vše funguje podle očekávání.

Řešení problémů

Následující tabulka uvádí běžné problémy, se kterými se můžete setkat při integraci WAF Cloudflare s externím ID Microsoft Entra spolu s podrobnostmi a jejich řešeními.

Issue	Podrobnosti	Resolution
Chybná odpověď požadavku	Zadaný klíč rozhraní API nemá dostatečná oprávnění. Prosím, znovu se autentizujte a zkuste to znovu.\r\n ID požadavku CloudFlare: {CF-Ray-value}\r\n ID korelace: random-id-entry-value\r\n Časové razítko: 2024-08-25 21:32:40Z"	Zkontrolujte úroveň oprávnění uvedenou v předchozích krocích.
Nepodařilo se spojit se známým koncovým bodem externího tenanta	"Nelze se spojit s dobře známým koncovým bodem tenanta prostřednictvím vlastní domény. Zkontrolujte, jestli je vaše vlastní doména správně nakonfigurovaná pro směrování provozu. Na úrovni grafu se může zobrazit HTTP 200 OK se stavem, když Cloudflare vrátí kód chyby 403. Tato kontrola se provádí na naší straně před všemi voláními rozhraní API do Cloudflare.	Zakažte captcha na portálu Cloudflare (změňte zástupný znak na zakázání) a pak znovu spusťte požadavek POST.

Dodatečné zdroje

• Příručka Začínáme s WAF Cloudflare: Obsahuje doporučení, jak nejlépe nakonfigurovat WAF a jaká základní ochrana a pravidla můžete nasadit.
• Nejčastější dotazy související s přehledem externího tenanta – Externí ID Microsoft Entra | Microsoft Learn pro další osvědčené postupy a důležité informace.
• Kontrola výsledků provozu na řídicím panelu Cloudflare: Analýza zabezpečení · Dokumentace ke cloudflare WAF
• Další osvědčené postupy pro Azure Front Door – Domény ve službě Azure Front Door | Microsoft Learn
• Řešení potíží s rozhraním API · Dokumentace ke cloudflare fundamentals
• Řešení potíží · Dokumentace podpory cloudflare

Související obsah

• Co je Azure Web Application Firewall ve službě Azure Application Gateway?
• Kurz: Konfigurace Cloudflare WAF pomocí Azure AD B2C