Tutorial: Konfigurieren von Azure Active Directory B2C mit Azure Web Application Firewall

Erfahren Sie, wie Sie den Azure Web Application Firewall(WAF)-Dienst für einen Azure Active Directory B2C(Azure AD B2C)-Mandanten mit einer benutzerdefinierten Domäne aktivieren. WAF schützt Webanwendung vor gängigen Exploits und Sicherheitsrisiken.

Hinweis

Dieses Feature befindet sich in der Phase der öffentlichen Vorschau.

Weitere Informationen finden Sie unter Was ist Azure Web Application Firewall?

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Azure-Abonnement
• Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
• Azure AD B2C-Mandant – Autorisierungsserver, der die Anmeldeinformationen von Benutzern gemäß den im Mandanten festgelegten benutzerdefinierten Richtlinien verifiziert
  • Er wird auch als Identitätsanbieter bezeichnet
  • Weitere Informationen finden Sie unter Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten.
• Azure Front Door – aktiviert benutzerdefinierte Domänen für Azure AD B2C-Mandanten
  • Weitere Informationen finden Sie in der Dokumentation zu Azure Front Door und CDN
• WAF – verwaltet Datenverkehr, der an den Autorisierungsserver gesendet wird
  • Azure Web Application Firewall

Benutzerdefinierte Domänen in Azure AD B2C

Verwenden Sie für benutzerdefinierte Domänen in Azure AD B2C das Feature „Benutzerdefinierte Domänen“ in Azure Front Door (AFD). Weitere Informationen finden Sie unter Aktivieren von benutzerdefinierten Domänen für Azure AD B2C.

Wichtig

Nachdem Sie die benutzerdefinierte Domäne konfiguriert haben, finden Sie weitere Informationen unter Testen Ihrer benutzerdefinierten Domäne.

Aktivieren der WAF

Um WAF zu aktivieren, konfigurieren Sie eine WAF-Richtlinie, und ordnen Sie diese Richtlinie zu Schutzzwecken AFD zu.

Erstellen einer WAF-Richtlinie

Erstellen Sie mithilfe des von Azure verwalteten Standardregelsatzes (Default Rule Set, DRS) eine WAF-Richtlinie. Weitere Informationen finden Sie unter DRS-Regelgruppen und -Regeln von Web Application Firewall.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie Ressource erstellen.
3. Suche nach Azure WAF.
4. Wählen Sie Azure Web Application Firewall (WAF) aus.
5. Klicken Sie auf Erstellen.
6. Wechseln Sie zur Seite WAF-Richtlinie erstellen.
7. Klicken Sie auf die Registerkarte Grundlagen.
8. Wählen Sie für Richtlinie für die Option Globale WAF (Front Door) aus.
9. Wählen Sie für Front Door-SKU zwischen den SKUs Basic, Standard oder Premium aus.
10. Wählen Sie für Abonnement den Namen Ihres Front Door-Abonnements aus.
11. Wählen Sie für Ressourcengruppe den Namen Ihrer Front Door-Ressourcengruppe aus.
12. Geben Sie für Richtlinienname einen eindeutigen Namen für Ihre WAF-Richtlinie ein.
13. Wählen Sie für Richtlinienstatus die Option Aktiviert aus.
14. Wählen Sie für Richtlinienmodus die Option Erkennung aus.
15. Klicken Sie auf Überprüfen + erstellen.
16. Wechseln Sie auf der Seite „WAF-Richtlinie erstellen“ zur Registerkarte Zuordnung.
17. Wählen Sie + Ein Front Door-Profil zuordnen aus.
18. Wählen Sie für Front Door Ihren Front Door-Namen aus, der der benutzerdefinierten Azure AD B2C-Domäne zugeordnet ist.
19. Wählen Sie für Domänen die benutzerdefinierten Azure AD B2C-Domänen aus, denen Sie die WAF-Richtlinie zuordnen möchten.
20. Wählen Sie Hinzufügen.
21. Klicken Sie auf Überprüfen + erstellen.
22. Klicken Sie auf Erstellen.

Erkennungs- und Präventionsmodi

Wenn Sie eine WAF-Richtlinie erstellen, befindet sich diese im Erkennungsmodus. Es wird empfohlen, den Erkennungsmodus nicht zu deaktivieren. In diesem Modus blockiert WAF keine Anforderungen. Stattdessen werden Anforderungen, die den WAF-Regeln entsprechen, in WAF-Protokollen aufgezeichnet.

Weitere Informationen zur Azure Web Application Firewall-Überwachung und -Protokollierung

Die folgende Abfrage zeigt die Anforderungen, die in den letzten 24 Stunden durch die WAF-Richtlinie blockiert wurden. Die Details umfassen Regelname, Anforderungsdaten, von der Richtlinie ausgeführte Aktionen und den Richtlinienmodus.

Überprüfen Sie die WAF-Protokolle, um zu ermitteln, ob die Richtlinienregeln falsch positive Ergebnisse verursachen. Anschließend schließen Sie die WAF-Regeln basierend auf den WAF-Protokollen aus.

Weitere Informationen zum Definieren von Ausschlussregeln basierend auf Web Application Firewall-Protokollen

Wechseln von Modi

Um WAF in Aktion zu sehen, wählen Sie Zum Präventionsmodus wechseln aus, wodurch der Modus von Erkennung in Prävention geändert wird. Alle Anforderungen, die mit im Standardregelsatz definierten Regeln übereinstimmen, werden blockiert und in WAF-Protokollen aufgezeichnet.

Um zum Erkennungsmodus zurückzukehren, wählen Sie Zum Erkennungsmodus wechseln aus.

Nächste Schritte

• Überwachung und Protokollierung von Azure Web Application Firewall
• Web Application Firewall (WAF) mit Ausschlusslisten für Front Door