Akamai Web Application Protector を使用して Azure Active Directory B2C を構成する

カスタム ドメインを使用して、Azure Active Directory B2C (Azure AD B2C) テナントに対して Akamai Web Application Protector (WAP) を有効にする方法について説明します。 Akamai WA は、SQL インジェクションやクロス サイト スクリプティングといった脆弱性の悪用を目的とする悪意のある攻撃から、組織が Web アプリケーションを保護するのに役立ちます。

詳細については、akamai.com の「Web Application Firewall (WAF) とは」を参照してください。

WAF を使用する利点:

  • サービスへのトラフィック管理の制御
  • Azure AD B2C テナントの前に構成
  • トラフィックを操作して、ID インフラストラクチャを安全に保護

この記事は以下に適用されます。

WAP: Web Application Protector KSD: Kona Site Defender

前提条件

シナリオの説明

Akamai WAP 統合には、次のコンポーネントが含まれています。

  • Azure AD B2C - テナントのカスタム ポリシーを使用してユーザーの資格情報を検証する承認サーバー。 ID プロバイダー (IdP) とも呼ばれます。
  • Azure Front Door - Azure B2C テナントに対してカスタム ドメインを有効にする
    • Akamai WAP からのトラフィックは Azure Front Door にルーティングされ、その後 Azure AD B2C テナントに送られます
    • Azure Front Door とは
  • Akamai WAP - 承認サーバーに送信されるトラフィックを管理する Web アプリケーション ファイアウォール

Azure AD B2C との統合

Azure AD B2C のカスタム ドメインには、Azure Front Door のカスタム ドメイン機能を使用します。

Azure AD B2C のカスタム ドメインを有効にする方法に関するページを参照してください。

Azure AD B2C のカスタム ドメインが Azure Front Door を使用して構成されている場合、次の手順に従ってカスタム ドメインをテストします。

次のセクションに進むには、「カスタム ドメインをテストする」を参照します。

Akamai アカウントを作成する

  1. [akamai.com] に移動します。
  2. [詳細情報] を選択します。
  3. [クラウド コンピューティング サービス] ページで、[アカウントの作成] を選択します。

プロパティの作成と構成

プロパティとは、エンド ユーザーからの受信要求を処理して応答する方法をエッジ サーバーに指示する構成ファイルです。 プロパティは、[プロパティ マネージャー] で作成および管理されます。

詳細については、 techdocs.akamai.com で「プロパティとは」を参照してください。

  1. [Akamai Control Center] のサインイン ページで、control.akamai.com にアクセスしてサインインします。
  2. [プロパティ マネージャー] に移動します。
  3. [プロパティのバージョン] で、[Standard] または [拡張 TLS] (推奨) を選択します。
  4. [プロパティのホスト名] には、カスタム ドメインであるプロパティ ホスト名を追加します。 たとえば、「 login.domain.com 」のように入力します。

重要

正しいカスタム ドメイン名設定を使用して証明書を作成または変更します。
[HTTPS ホスト名の構成] の techdocs.akamai.com に移動します。

配信元サーバーのプロパティ構成

配信元サーバーには、次の設定を使用します。

  1. [配信元の種類] には、種類を入力します。
  2. [配信元サーバーのホスト名] には、ホスト名を入力します。 たとえば、yourafddomain.azurefd.net のように指定します。
  3. [ホスト ヘッダーの転送] には、 受信ホスト ヘッダーを使用します。
  4. [キャッシュ キーのホスト名] には、受信ホスト ヘッダーを使用します。

DNS を構成する

[プロパティのホスト名] フィールドで Edge ホスト名を参照する login.domain.com など、DNS に Canonical Name (CNAME) レコードを作成します。

Akamai WAF を構成する

  1. WAP 構成の使用を開始するには、 [App & API Protector] の techdocs.akamai.com に移動します。

  2. 構成中、 [攻撃グループ] 内の項目の [ルールのアクション][拒否] を選択します。

    [ルール アクション] 列の拒否された攻撃グループのスクリーンショット。

設定のテスト

Azure AD B2C へのトラフィックがカスタム ドメインを通過するようにするには、次のようにします。

  • WAP が受信要求を Azure AD B2C カスタム ドメインにルーティングすることを確認する
    • 有効な TLS 接続を確認する
  • Azure AD B2C がカスタム ドメインの Cookie を正しく設定していることを確認する
  • Defender for Cloud コンソールの WAP ダッシュボードには、WAP トラフィック チャートがあります
    • また、攻撃トラフィックも表示されます

次の手順