Tutorial: Konfigurieren von Cloudflare Web Application Firewall mit Azure Active Directory B2C

In diesem Tutorial erfahren Sie, wie Sie die Lösung Cloudflare Web Application Firewall (WAF) für einen Azure AD B2C-Mandanten (Active Directory) mit einer benutzerdefinierten Domäne konfigurieren. Verwenden Sie Cloudflare WAF, um Organisationen vor böswilligen Angriffen zu schützen, bei denen Sicherheitsrisiken wie die Einschleusung von SQL-Befehlen und Cross-Site Scripting (XSS) ausgenutzt werden.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Azure-Abonnement
  • Wenn Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto anfordern.
• Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist
• Ein Cloudflare-Konto

Beschreibung des Szenarios

Die Cloudflare WAF-Integration umfasst die folgenden Komponenten:

• Azure AD B2C-Mandant: Dabei handelt es sich um den Autorisierungsserver, der die Anmeldeinformationen von Benutzern gemäß den im Mandanten festgelegten benutzerdefinierten Richtlinien verifiziert. Dieser wird als Identitätsanbieter bezeichnet.
• Azure Front Door: Dieser Dienst aktiviert benutzerdefinierte Domänen für Azure AD B2C-Mandanten. Der Datenverkehr von Cloudflare WAF wird an Azure Front Door weitergeleitet, bevor er beim Azure AD B2C-Mandanten eingeht.
• Cloudflare: Diese Webanwendungsfirewall (Web Application Firewall, WAF) verwaltet den Datenverkehr, der an den Autorisierungsserver gesendet wird.

Integration in Azure AD B2C

Verwenden Sie für benutzerdefinierte Domänen in Azure AD B2C das Feature benutzerdefinierter Domänen in Azure Front Door. Lesen Sie den Artikel Aktivieren von benutzerdefinierten Domänen für Azure Active Directory B2C.

Nachdem eine benutzerdefinierte Domäne für Azure AD B2C mit Azure Front Door konfiguriert wurde, testen Sie die benutzerdefinierte Domäne, bevor Sie fortfahren.

Erstellen eines Cloudflare-Kontos

Auf cloudflare.com können Sie ein Konto erstellen. Wählen Sie zum Aktivieren der WAF unter Application Services die Option Pro aus. Diese ist erforderlich.

Konfigurieren des DNS

1. Um WAF für eine Domäne zu ermöglichen, aktivieren Sie die Proxyeinstellung in der DNS-Konsole für den CNAME-Eintrag, wie unten gezeigt.

   

2. Schalten Sie im DNS-Bereich die Option Proxystatus auf Mit Proxy um. Das Symbol wird orange angezeigt.

Die Einstellungen sind in der folgenden Abbildung dargestellt.

Konfigurieren der Web Application Firewall

Wechseln Sie zu Ihren Cloudflare-Einstellungen, und verwenden Sie den Cloudflare-Inhalt, um die WAF zu konfigurieren und sich über andere Sicherheitstools zu informieren.

Konfigurieren der Firewallregel

Mithilfe der im oberen Konsolenbereich verfügbaren Firewalloption können Sie Firewallregeln hinzufügen, aktualisieren oder entfernen. Mit der folgenden Firewalleinstellung wird z. B. ein CAPTCHA für eingehende Anforderungen für die Domäne contosobank.co.uk aktiviert, bevor die Anforderung an Azure Front Door gesendet wird.

Weitere Informationen: Cloudflare Firewall Rules

Testen der Einstellungen

1. Schließen Sie CAPTCHA ab, wenn Zugriff auf die benutzerdefinierte Domäne angefordert wird.

   

Hinweis

Cloudflare verfügt über Funktionen zum Anpassen von Blockseiten. Weitere Informationen finden Sie unter Konfigurieren benutzerdefinierter Seiten (Fehler und Herausforderung).

2. Das Dialogfeld zur Azure AD B2C-Richtlinienanmeldung wird angezeigt.

   

Ressourcen

• Cloudflare: Behandeln häufiger Probleme mit benutzerdefinierten Seiten
• Erste Schritte mit benutzerdefinierten Richtlinien in Azure AD B2C

Nächste Schritte

Konfigurieren einer benutzerdefinierten Domäne in Azure AD B2C