你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Active Directory B2C 配置 Cloudflare Web 应用程序防火墙

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

本文介绍如何使用自定义域为 Azure Active Directory B2C (Azure AD B2C) 租户配置 Cloudflare Web 应用程序防火墙(WAF )解决方案。 使用 Cloudflare WAF 帮助保护组织免受恶意攻击,这些攻击可能会利用 SQL 注入和跨站点脚本(XSS)等漏洞。

先决条件

若要开始,需要:

方案说明

Cloudflare WAF 集成包括以下组件:

  • Azure AD B2C 租户 – 使用租户中定义的自定义策略验证用户凭据的授权服务器。 它称为标识提供者
  • Azure Front Door – 为 Azure B2C 租户启用自定义域。 Cloudflare WAF 中的流量在路由到 Azure Front Door 后,才能到达 Azure AD B2C 租户。
  • Cloudflare – 管理发送到授权服务器的流量的 Web 应用程序防火墙

与 Azure AD B2C 集成

对于 Azure AD B2C 中的自定义域,请使用 Azure Front Door 中的自定义域功能。 了解如何 启用 Azure AD B2C 自定义域

使用 Azure Front Door 配置 Azure AD B2C 的自定义域后, 请先测试自定义域 ,然后再继续。

创建 Cloudflare 帐户

在 cloudflare.com,可以 创建帐户。 若要启用 WAF,请在 应用程序服务上选择 “专业”,这是必需的。

配置 DNS

  1. 若要为域启用 WAF,在 CNAME 条目的 DNS 控制台中,为 CNAME 条目打开 DNS 控制台中的代理设置,如下所示。

    代理设置的屏幕截图。

  2. 在 DNS 窗格下,将 代理状态 选项切换为 代理。 它变成橙色。

这些设置显示在下图中。

代理状态的屏幕截图。

配置 Web 应用程序防火墙

转到 Cloudflare 设置,并使用 Cloudflare 内容 配置 WAF 并了解其他安全工具。

配置防火墙规则

在控制台的顶部窗格中,使用防火墙选项添加、更新或删除防火墙规则。 例如,以下防火墙设置会在请求进入 Azure Front Door 之前,为进入 contosobank.co.uk 域的传入请求启用 CAPTCHA。

启用验证码时的截图。

了解详细信息: Cloudflare 防火墙规则

测试设置

  1. 请求访问自定义域时完成 CAPTCHA。

    Cloudflare WAF 强制实施 CAPTCHA 的屏幕截图。

注释

Cloudflare 具有自定义块页的功能。 请参阅配置自定义页面(错误和挑战)。

  1. 此时会显示“Azure AD B2C 策略登录”对话框。

    Azure AD B2C 策略登录的屏幕截图。

资源

后续步骤

在 Azure AD B2C 中配置自定义域