Tutoriel : configurer Azure Active Directory B2C avec Azure Web Application Firewall

Découvrez comment activer le service Azure Web Application Firewall (WAF) pour un locataire Azure Active Directory B2C (Azure AD B2C), avec un domaine personnalisé. WAF protège les applications web contre les attaques et les codes malveillants exploitant une faille de sécurité courants.

Notes

Cette fonctionnalité est en version préliminaire publique.

Si vous souhaitez en savoir plus, veuillez consulter la rubrique Qu’est-ce qu’Azure Web Application Firewall ?

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

• Un abonnement Azure
• Si vous n’en avez pas déjà un, procurez-vous un compte Azure gratuit.
• Locataire Azure AD B2C : serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur à l’aide des stratégies personnalisées définies dans le locataire.
  • Aussi connu sous le nom de fournisseur d’identité (IdP)
  • Voir, Tutoriel : Créer un locataire Azure Active Directory B2C
• Azure Front Door : active des domaines personnalisés pour le locataire Azure B2C.
  • Si vous souhaitez en savoir plus, veuillez consulter la documentation Azure Front Door et CDN.
• WAF : gère le trafic envoyé au serveur d’autorisation.
  • Pare-feu d’applications web Azure

Domaines personnalisés dans Azure AD B2C

Pour utiliser des domaines personnalisés dans Azure AD B2C, utilisez la fonctionnalité de domaine personnalisé dans AFD. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Activer les domaines personnalisés pour Azure AD B2C.

Important

Après avoir configuré le domaine personnalisé, veuillez consulter la rubrique Tester votre domaine personnalisé.

Activer WAF

Pour activer WAF, configurez une stratégie WAF, puis associez-la à AFD pour la protection.

Créer une stratégie de pare-feu d’applications web (WAF).

Créez une stratégie WAF de base avec un ensemble de règles par défaut (DRS) managé par Azure. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Règles et groupes de règles DRS de Web Application Firewall.

1. Connectez-vous au portail Azure.
2. Sélectionnez Créer une ressource.
3. Recherchez Azure WAF.
4. Sélectionnez Azure Web Application Firewall (WAF).
5. Sélectionnez Create (Créer).
6. Accédez à la page Créer une stratégie WAF.
7. Sélectionnez l’onglet Fonctions de base.
8. Pour Stratégie pour, sélectionnez WAF (Front Door) global.
9. Pour Référence SKU Front Door, sélectionnez la référence SKU De base, Standard ou Premium.
10. Pour Abonnement, sélectionner le nom de votre abonnement Front Door.
11. Pour Groupe de ressources, sélectionnez le nom de votre groupe de ressources Front Door.
12. Pour Nom de stratégie, entrez un nom unique pour votre stratégie WAF.
13. Pour État de la stratégie, sélectionnez Activé.
14. Pour Mode de la stratégie, sélectionnez Détection.
15. Sélectionnez Revoir + créer.
16. Accédez à l’onglet Association de la page Créer une stratégie WAF.
17. Sélectionnez + Associer un profil Front Door.
18. Pour Front Door, sélectionnez votre nom Front Door associé au domaine personnalisé Azure AD B2C.
19. Pour Domaines, sélectionnez les domaines personnalisés Azure AD B2C auxquels associer la stratégie WAF.
20. Sélectionnez Ajouter.
21. Sélectionnez Revoir + créer.
22. Sélectionnez Create (Créer).

Modes de détection et de prévention

Quand vous créez une stratégie WAF, celle-ci est en mode Détection. Nous vous recommandons de ne pas désactiver le mode Détection. Dans ce mode, WAF ne bloque pas les requêtes. Au lieu de cela, les requêtes correspondant aux règles de WAF sont consignées dans les journaux d’activité WAF.

En savoir plus : Surveillance et journalisation d’Azure Web Application Firewall

La requête suivante affiche toutes les requêtes qui ont été bloquées par la stratégie WAF au cours des 24 dernières heures. Les détails incluent le nom de la règle, les données de la requête, l’action effectuée par la stratégie et le mode de stratégie.

Vérifiez les journaux d’activité WAF pour déterminer si les règles de stratégie provoquent des faux positifs. Ensuite, excluez les règles WAF basées sur les journaux d’activité WAF.

En savoir plus : Définir des règles d’exclusion basées sur les journaux Web Application Firewall

Changement de mode

Pour observer le fonctionnement de WAF, sélectionnez Passer au mode Prévention, ce qui permet de passer du mode Détection au mode Prévention. Les requêtes qui correspondent aux règles définies dans l’ensemble de règles par défaut (DRS) sont bloquées, puis enregistrées dans les journaux d’activité WAF.

Pour revenir au mode Détection, sélectionnez Passer au mode Détection.

Étapes suivantes

• Surveillance et journalisation du pare-feu d’applications web Azure
• Listes d’exclusions WAF (Web Application Firewall) avec Front Door