Skonfiguruj Cloudflare z Microsoft Entra External ID

Dotyczy: Najemcy zewnętrzni (dowiedz się więcej)

Aby zwiększyć ogólne bezpieczeństwo, można zintegrować rozwiązania zapory aplikacji internetowych innych firm z identyfikatorem zewnętrznym firmy Microsoft Entra. Zapora webowa pomaga chronić organizację przed atakami, takimi jak rozproszona odmowa usługi (DDoS), złośliwe boty oraz zagrożenia bezpieczeństwa według OWASP Top 10.

Zapora aplikacji internetowych Cloudflare (Cloudflare WAF) chroni aplikacje internetowe przed typowymi exploitami i lukami w zabezpieczeniach. Integrując Cloudflare WAF z Microsoft Entra External ID, dodajesz dodatkową warstwę zabezpieczeń dla swoich aplikacji.

Ten artykuł zawiera szczegółowe wskazówki dotyczące konfigurowania zewnętrznego najemcy przy użyciu Cloudflare WAF.

Omówienie rozwiązania

Rozwiązanie używa trzech głównych składników:

• Wynajmujący zewnętrzny — działa jako dostawca tożsamości i serwer autoryzacji, egzekwując niestandardowe zasady uwierzytelniania.
• Azure Front Door (AFD) — obsługuje routing niestandardowej domeny i przekazuje ruch do Microsoft Entra External ID.
• Cloudflare WAF — zapora aplikacji internetowej, która zarządza ruchem wysyłanym do serwera autoryzacji.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Zewnętrzny najemca .
• Konfiguracja usługi Microsoft Azure Front Door (AFD). Ruch z zapory aplikacji internetowej Cloudflare jest kierowany do usługi Azure Front Door, która następnie kieruje go do zewnętrznego najemcy.
• Zapora aplikacji internetowej Cloudflare, która zarządza ruchem wysyłanym do serwera autoryzacji.
• Domena niestandardowa w dzierżawie zewnętrznej, która jest obsługiwana przez usługę Azure Front Door (AFD).

Dowiedz się więcej o dzierżawach i zabezpieczaniu aplikacji dla użytkowników i klientów przy użyciu identyfikatora zewnętrznego firmy Microsoft Entra.

Kroki konfiguracji rozwiązania Cloudflare

Najpierw skonfiguruj Cloudflare WAF, aby chronić niestandardowe domeny URL dla Microsoft Entra External ID. Wykonaj następujące kroki, aby skonfigurować Cloudflare Web Application Firewall (WAF).

Włącz domeny niestandardowe URL

Pierwszym krokiem jest włączenie domen niestandardowych w AFD. Skorzystaj z instrukcji w temacie Włączanie niestandardowych domen adresów URL dla aplikacji w dzierżawach zewnętrznych.

Tworzenie konta cloudflare

1. Przejdź do Cloudflare.com/plans , aby utworzyć konto.
2. Aby włączyć WAF, na karcie Usługi aplikacji wybierz pozycję Pro.

Konfigurowanie serwera nazw domen (DNS)

Włącz zaporę aplikacji internetowej dla domeny.

1. W konsoli DNS w polu CNAME włącz ustawienie serwera proxy.

   

2. W obszarze DNS w obszarze Stan serwera proxy wybierz pozycję Proxied.

3. Stan zmienia kolor pomarańczowy.

   

Uwaga / Notatka

Certyfikaty zarządzane przez usługę Azure Front Door nie są automatycznie odnawiane, jeśli rekord CNAME domeny niestandardowej wskazuje rekord DNS inny niż domena punktu końcowego usługi Azure Front Door (na przykład w przypadku korzystania z usługi DNS innej firmy, takiej jak Cloudflare). Aby odnowić certyfikat w takich przypadkach, postępuj zgodnie z instrukcjami w artykule Odnawianie certyfikatów zarządzanych przez usługę Azure Front Door .

Mechanizmy zabezpieczeń Cloudflare

Aby uzyskać optymalną ochronę, włącz mechanizmy zabezpieczeń Cloudflare.

ochrona przed atakami DDoS

1. Przejdź do pulpitu nawigacyjnego cloudflare.
2. Rozwiń sekcję Zabezpieczenia.
3. Wybierz pozycję DDoS.
4. Zostanie wyświetlony komunikat.

Ochrona botów

1. Przejdź do pulpitu nawigacyjnego cloudflare.
2. Rozwiń sekcję Zabezpieczenia.
3. W obszarze Skonfiguruj tryb walki super bota w obszarze Zdecydowanie zautomatyzowane wybierz pozycję Blokuj.
4. W Prawdopodobnie zautomatyzowane wybierz Wyzwanie Zarządzane.
5. W obszarze Zweryfikowane boty wybierz pozycję Zezwalaj.

Reguły zapory: ruch z sieci Tor

Blokuj ruch pochodzący z sieci serwera proxy Tor, chyba że twoja organizacja musi obsługiwać ruch.

Uwaga / Notatka

Jeśli nie możesz zablokować ruchu Tor, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.

Blokowanie ruchu z sieci Tor

1. Przejdź do pulpitu nawigacyjnego cloudflare.
2. Rozwiń sekcję Zabezpieczenia.
3. Wybierz WAF.
4. Wybierz Utwórz regułę.
5. W polu Nazwa reguły wprowadź odpowiednią nazwę.
6. W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kontynent.
7. W polu Operator wybierz równa się.
8. W polu Wartość wybierz Tor.
9. W polu Następnie podejmij akcję, wybierz pozycję Blokuj.
10. W polu Umieść wybierz pozycję Pierwsze.
11. Wybierz Wdróż.

Uwaga / Notatka

Możesz dodawać niestandardowe strony HTML dla odwiedzających.

Reguły zapory: ruch z krajów lub regionów

Zalecamy ścisłe mechanizmy kontroli zabezpieczeń ruchu z krajów lub regionów, gdzie działalność jest mało prawdopodobna, chyba że istnieje biznesowy powód do wspierania ruchu ze wszystkich krajów lub regionów.

Uwaga / Notatka

Jeśli nie możesz zablokować ruchu z kraju lub regionu, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.

Blokowanie ruchu z krajów lub regionów

Aby uzyskać poniższe instrukcje, możesz dodać niestandardowe strony HTML dla odwiedzających.

1. Przejdź do pulpitu nawigacyjnego cloudflare.
2. Rozwiń sekcję Zabezpieczenia.
3. Wybierz WAF.
4. Wybierz Utwórz regułę.
5. W polu Nazwa reguły wprowadź odpowiednią nazwę.
6. W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kraj/Region lub Kontynent.
7. W polu Operator wybierz równa się.
8. W polu Wartość wybierz kraj/region lub kontynent do zablokowania.
9. W polu Następnie podejmij akcję, wybierz pozycję Blokuj.
10. W polu Place at wybierz Last.
11. Wybierz Wdróż.

Zestawy reguł zarządzane przez OWASP

1. Wybierz pozycję Reguły zarządzane.
2. W polu Cloudflare Managed Ruleset (Zestaw reguł zarządzanych w chmurze) wybierz pozycję Włączone.
3. W obszarze Cloudflare OWASP Core Ruleset wybierz pozycję Włączone.

Weryfikowanie Cloudflare WAF w zewnętrznym ID

Po skonfigurowaniu konta cloudflare połącz je z identyfikatorem zewnętrznym firmy Microsoft Entra. Użyj tokenu interfejsu API Cloudflare i identyfikatora strefy aby ukończyć połączenie. Można to zrobić w centrum administracyjnym lub przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Konfiguracja dostawcy zapory aplikacji internetowej

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.

2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się na zewnętrzną dzierżawę, którą utworzyłeś wcześniej z menu Katalogi + subskrypcje.

3. Przejdź do Entra ID>Security Store.

4. Wybierz kafelek Ochrona aplikacji przed atakami DDoS przy użyciu zapory aplikacji internetowej , wybierając pozycję Rozpocznij.

5. W obszarze Wybierz dostawcę zapory aplikacji webowej wybierz Cloudflare, a następnie Dalej.

   

6. W sekcji Konfiguracja zapory aplikacji internetowych Cloudflare możesz wybrać istniejącą konfigurację lub utworzyć nową. Jeśli tworzysz nową konfigurację, dodaj następujące informacje:

   • Nazwa konfiguracji: nazwa konfiguracji WAF.
   • Token interfejsu API: token interfejsu API z pulpitu nawigacyjnego usługi Cloudflare.
   • Identyfikator strefy: Identyfikator strefy dla domeny z pulpitu nawigacyjnego Cloudflare.

   

7. Wybierz przycisk Dalej , aby zapisać zmiany.

Weryfikacja domeny

Wybierz niestandardowe domeny URL, które usługa Azure Front Door (AFD) umożliwia zweryfikować oraz połączyć z konfiguracją zapory aplikacji webowej Cloudflare. Ten krok gwarantuje, że wybrane domeny są chronione za pomocą zaawansowanych funkcji zabezpieczeń.

1. Wybierz pozycję Weryfikuj domenę , aby rozpocząć proces weryfikacji.

2. Wybierz niestandardowe domeny adresów URL, które chcesz chronić za pomocą Cloudflare Web Application Firewall (WAF), a następnie wybierz opcję Weryfikuj.

   

3. Po weryfikacji wybierz pozycję Gotowe.

Interfejs API programu Microsoft Graph

Można korzystać z interfejsu API programu Microsoft Graph za pośrednictwem Eksploratora programu Graph, aby skonfigurować integrację zapory aplikacji internetowej Cloudflare.

Upewnij się, że obiekt wywołujący ma rolę Czytelnik danych zabezpieczeń i wyraził zgodę na uprawnienie RiskPreventionProviders.Read.All.

To uprawnienie umożliwia wywołanie POST .../riskPrevention/webApplicationFirewallProviders metody w celu utworzenia dostawcy, a następnie wywołanie POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify metody w celu zweryfikowania.

Krok 1: Utwórz dostawcę Cloudflare WAF (zapora aplikacji internetowej) za pomocą API

Upewnij się, że masz token interfejsu API utworzony w usłudze Cloudflare i identyfikator strefy dla domeny. Te informacje są wymagane, aby backend mógł wywołać usługę Cloudflare w Twoim imieniu, aby pobrać i zweryfikować konfigurację zapory aplikacji sieciowej.

Żądanie

W poniższym przykładzie przedstawiono żądanie utworzenia nowego obiektu zapory aplikacji internetowej Cloudflare.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111",
    "apiToken": "cf_example_token_123"
}

Odpowiedź

W poniższym przykładzie przedstawiono odpowiedź z obiektem zapory firewall aplikacji internetowej Cloudflare.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000001",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111"
}

Krok 2. Weryfikowanie dostawcy zapory aplikacji internetowej Cloudflare za pomocą interfejsu API

W poniższym przykładzie pokazano, jak zweryfikować domenę za pośrednictwem webApplicationFirewallProvider za pomocą hostName.

Żądanie

Poniższy przykład przedstawia żądanie.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}

Odpowiedź

Poniższy przykład przedstawia odpowiedź.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "cloudflare",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.cloudFlareVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "CloudFlare Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Uwaga / Notatka

Operacje CRUD (tworzenie, odczyt, aktualizacja, usuwanie) dotyczące szczegółów weryfikacji dostawców mogą mieć opóźnienia do 15 minut. Jeśli usuniesz domenę, weryfikacja może potrwać do 15 minut, zanim będzie można dodać ją z powrotem.

Testowanie konfiguracji

Po nawiązaniu połączenia z zaporą aplikacji internetowej Cloudflare przy użyciu zewnętrznego identyfikatora firmy Microsoft przetestuj konfigurację, aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.

Rozwiązywanie problemów

W poniższej tabeli wymieniono typowe problemy, które mogą wystąpić podczas integrowania Cloudflare WAF z Microsoft Entra External ID, wraz z ich szczegółami i rozwiązaniami.

Issue	Szczegóły	Resolution
Nieprawidłowa odpowiedź na żądanie	"Podany klucz interfejsu API ma niewystarczające uprawnienia. Ponownie uwierzytelnij się i spróbuj ponownie.\r\n Identyfikator żądania CloudFlare: {CF-Ray-value}\r\nIdentyfikator korelacji: random-id-entry-value\r\nZnacznik czasu: 2024-08-25 21:32:40Z"	Sprawdź poziom uprawnień wymieniony w poprzednich krokach.
Nie można uzyskać dostępu do dobrze znanego punktu końcowego dzierżawy zewnętrznej	Nie można skontaktować się z dobrze znanym punktem końcowym najemcy przez domenę niestandardową. Sprawdź, czy domena niestandardowa jest prawidłowo skonfigurowana do kierowania ruchu internetowego. Na poziomie Graph może zostać wyświetlony komunikat HTTP 200 OK ze statusem niepowodzenie, gdy usługa Cloudflare zwraca kod błędu 403. Ta kontrola jest wykonywana po naszej stronie przed wywołaniami interfejsu API do platformy Cloudflare.	Wyłącz captcha w portalu Cloudflare (zmień symbol wieloznaczny, aby wyłączyć), a następnie uruchom ponownie żądanie POST.

Dodatkowe zasoby

• Przewodnik wprowadzający do Cloudflare WAF: zawiera zalecenia dotyczące najlepszego konfigurowania WAF oraz podstawowej ochrony i reguł, które możesz wdrożyć.
• Często zadawane pytania dotyczące przeglądu dzierżawy zewnętrznej — Microsoft Entra External ID | Usługa Microsoft Learn umożliwia zapoznanie się z innymi najlepszymi rozwiązaniami i zagadnieniami.
• Sprawdź wyniki ruchu na pulpicie nawigacyjnym Cloudflare: Security Analytics · Dokumentacja Cloudflare WAF
• Dodatkowe najlepsze praktyki dotyczące domen usługi Azure Front Door | Microsoft Learn
• Rozwiązywanie problemów z interfejsem API · Dokumentacja podstaw platformy Cloudflare
• Rozwiązywanie problemów · Dokumentacja pomocy technicznej rozwiązania Cloudflare

Treści powiązane

• Co to jest usługa Azure Web Application Firewall w usłudze Azure Application Gateway?
• Samouczek: Konfigurowanie Cloudflare WAF z Azure AD B2C