チュートリアル: Azure Web Application Firewall を使用して Azure Active Directory B2C を構成する
カスタム ドメインで、Azure Active Directory B2C (Azure AD B2C) テナントに対して Azure Web Application Firewall (WAF) サービスを有効にする方法について説明します。 WAF は、Web アプリケーションを一般的な悪用と脆弱性から保護します。
注意
この機能はパブリック プレビュー段階にあります。
「Azure Web アプリケーション ファイアウォールとは」を参照してください
前提条件
開始するには、以下が必要です。
- Azure サブスクリプション
- お持ちでない場合は、Azure 無料アカウントを取得してください。
- Azure AD B2C テナント - テナントで定義されているカスタム ポリシーを使用してユーザーの資格情報を検証する承認サーバー
- ID プロバイダー (IdP) とも呼ばれます
- 「チュートリアル: Azure Active Directory B2C テナントを作成する」をご覧ください
- Azure Front Door - Azure AD B2C テナントに対してカスタム ドメインを有効にします
- 「Azure Front Door と CDN のドキュメント」を参照してください
- WAF – 承認サーバーに送信されるトラフィックを管理します
Azure AD B2C のカスタム ドメイン
Azure AD B2C のカスタム ドメインを使用するには、AFD のカスタム ドメイン機能を使用します。 Azure AD B2C のカスタム ドメインを有効にする方法に関するページを参照してください。
重要
カスタム ドメインを構成したら、「カスタム ドメインのテスト」を参照してください。
WAF を有効にする
WAF を有効にするには、WAF ポリシーを構成し、それを保護のために AFD と関連付けます。
WAF ポリシーを作成する
Azure マネージドの既定のルール セット (DRS) を含む WAF ポリシーを作成します。 「Web Application Firewall の DRS 規則グループと規則」を参照してください。
- Azure portal にサインインします。
- [リソースの作成] を選択します。
- Azure WAF を検索します。
- [Azure Web Application Firewall (WAF)] を選択します。
- [作成] を選択します
- [WAF ポリシーを作成する] ページに移動します。
- [基本] タブを選択します。
- [次に対するポリシー] で、[グローバル WAF (フロント ドア)] を選択します。
- [フロント ドア SKU] で、[Basic]、[Standard]、または [Premium] SKU を選択します。
- [サブスクリプション] で、Front Door のサブスクリプション名を選択します。
- [リソース グループ] で、Front Door のリソース グループ名を選択します。
- [ポリシー名] で、WAF ポリシーの一意の名前を入力します。
- [ポリシーの状態] で、[有効済み] を選択します。
- [ポリシー モード] で、[検出] を選択します。
- [Review + create](レビュー + 作成) を選択します。
- [WAF ポリシーを作成する] ページの [関連付け] タブに移動します。
- [+ フロント ドア プロファイルを関連付ける] を選択します。
- [フロント ドア] で、Azure AD B2C カスタムドメインに関連付けられているフロント ドアの名前を選択します。
- [ドメイン] で、WAF ポリシーを関連付ける Azure AD B2C カスタム ドメインを選択します。
- [追加] を選択します。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
検出と防止のモード
WAF ポリシーを作成したとき、ポリシーは [検出] モードです。 [検出] モードは無効にしないことをお勧めします。 このモードでは、WAF は要求をブロックしません。 代わりに、WAF ルールと一致する要求が WAF ログに記録されます。
詳細情報: Azure Web アプリケーション ファイアウォールの監視とログ記録
次のクエリでは、過去 24 時間に WAF ポリシーによってブロックされた要求が示されます。 詳細には、ルール名、要求データ、ポリシーによって実行されたアクション、ポリシー モードが含まれます。
WAF ログを確認して、ポリシー ルールによって誤検知が発生したかどうかを判断します。 次に、WAF ログに基づいて WAF ルールを除外します。
詳細情報: Web Application Firewall のログに基づいて除外ルールを定義する
モードの切り替え
WAF の動作を確認するには、[防止モードに切り替える] を選択します。これにより、モードが [検出] から [防止] に変わります。 DRS のルールと一致する要求はブロックされ、WAF ログに記録されます。
![[Web Application Firewall ポリシー] の DefaultRuleSet のオプションと選択のスクリーンショット。](media/partner-web-application-firewall/switch-to-prevention-mode.png)
[検出] モードに戻すには、[検出モードに切り替える] を選択します。
![[検出モードに切り替える] が表示されている DefaultRuleSet のスクリーンショット。](media/partner-web-application-firewall/switch-to-detection-mode.png)