你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
本文介绍如何使用自定义域为 Azure Active Directory B2C (Azure AD B2C) 租户配置 Cloudflare Web 应用程序防火墙(WAF )解决方案。 使用 Cloudflare WAF 帮助保护组织免受恶意攻击,这些攻击可能会利用 SQL 注入和跨站点脚本(XSS)等漏洞。
先决条件
若要开始,需要:
- Azure 订阅
- 如果没有帐户,可以获取 Azure 免费帐户
- 一个已关联到你的 Azure 订阅的 Azure AD B2C 租户
- Cloudflare 帐户
方案说明
Cloudflare WAF 集成包括以下组件:
- Azure AD B2C 租户 – 使用租户中定义的自定义策略验证用户凭据的授权服务器。 它称为标识提供者
- Azure Front Door – 为 Azure B2C 租户启用自定义域。 Cloudflare WAF 中的流量在路由到 Azure Front Door 后,才能到达 Azure AD B2C 租户。
- Cloudflare – 管理发送到授权服务器的流量的 Web 应用程序防火墙
与 Azure AD B2C 集成
对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。 了解如何 启用 Azure AD B2C 自定义域。
使用 Azure Front Door 配置 Azure AD B2C 的自定义域后, 请先测试自定义域 ,然后再继续。
创建 Cloudflare 帐户
在 cloudflare.com,可以 创建帐户。 若要启用 WAF,请在 应用程序服务上选择 “专业”,这是必需的。
配置 DNS
若要为域启用 WAF,在 CNAME 条目的 DNS 控制台中,为 CNAME 条目打开 DNS 控制台中的代理设置,如下所示。
在 DNS 窗格下,将 代理状态 选项切换为 代理。 它变成橙色。
这些设置显示在下图中。
配置 Web 应用程序防火墙
转到 Cloudflare 设置,并使用 Cloudflare 内容 配置 WAF 并了解其他安全工具。
配置防火墙规则
在控制台的顶部窗格中,使用防火墙选项添加、更新或删除防火墙规则。 例如,以下防火墙设置会在请求进入 Azure Front Door 之前,为进入 contosobank.co.uk 域的传入请求启用 CAPTCHA。
了解详细信息: Cloudflare 防火墙规则
测试设置
请求访问自定义域时完成 CAPTCHA。
注释
Cloudflare 具有自定义块页的功能。 请参阅配置自定义页面(错误和挑战)。
此时会显示“Azure AD B2C 策略登录”对话框。
资源
- Cloudflare:排查常见的自定义页面问题
- Azure AD B2C 中的自定义策略入门