使用 Akamai Web 應用程式保護裝置設定 Azure Active Directory B2C
瞭解如何使用自訂網域為 Azure Active Directory B2C (Azure AD B2C) 租使用者啟用 Akamai Web 應用程式保護裝置 (WAP) 。 Akamai WAP 可協助組織保護其 Web 應用程式免于遭受惡意攻擊,以利用 SQL 插入和跨網站腳本等弱點為目標。
深入瞭解 akamai.com:什麼是Web 應用程式防火牆 (WAF) ?
使用 WAF 的優點:
- 控制您服務的流量管理
- 在 Azure AD B2C 租使用者前面設定
- 操作流量以保護您的身分識別基礎結構
此文章適用於:
WAP: Web 應用程式保護裝置 KSD: Kona Site Defender
先決條件
- Azure 訂用帳戶
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- 連結至 Azure 訂用帳戶的 Azure AD B2C 租用戶
- Akamai WAP 帳戶
- 移至流覽所有 Akamai 產品和試用版的 akamai.com
案例描述
Akamai WAP 整合包含下列元件:
- Azure AD B2C – 授權伺服器,會使用租使用者中的自訂原則來驗證使用者認證。 也稱為識別提供者 (IdP) 。
-
Azure Front Door – 啟用 Azure B2C 租使用者的自訂網域
- 從 Akamai WAP rout 到 Azure Front Door 的流量,然後前往 Azure AD B2C 租使用者
- Azure Front Door 是什麼?
-
Akamai WAP – 管理傳送至授權伺服器的流量的 Web 應用程式防火牆
- 請參閱 Web 應用程式保護裝置
與 Azure AD B2C 整合
針對 Azure AD B2C 中的自訂網域,請使用 Azure Front Door 中的自訂網域功能。
使用 Azure Front Door 設定 Azure AD B2C 的自訂網域時,請使用下列指示來測試自訂網域。
請參閱測試 您的自訂網域,然後繼續進行下一節。
建立 Akamai 帳戶
- 移至 akamai.com。
- 選取 [深入了解]。
- 在 [ 雲端運算服務 ] 頁面上,選取 [建立帳戶]。
建立及設定屬性
屬性是一種組態檔,可告知邊緣伺服器如何處理和回應使用者傳入的要求。 屬性會在屬性管理員中建立和維護。
若要深入瞭解,請移至 什麼是屬性 techdocs.akamai.com?
- 移至 control.akamai.com 以登入: Akamai 控制中心登入頁面。
- 移至 [屬性管理員]。
- 針對 [屬性版本],選取 [ 標準 ] 或 [ 增強式 TLS ] (建議) 。
- 針對 [屬性主機名稱],新增屬性主機名稱,您的自訂網域。 例如:
login.domain.com。
重要
建立或修改具有正確自訂功能變數名稱設定的憑證。
移至設定 HTTPS 主機名稱的 techdocs.akamai.com。
源伺服器屬性組態設定
針對源伺服器使用下列設定。
- 針對 [原始類型],輸入您的類型。
- 針對 [源伺服器主機名稱 ],輸入您的主機名稱。 例如,
yourafddomain.azurefd.net - 針對 [轉送主機標頭],請使用 傳入主機標頭。
- 針對 快取金鑰主機名稱 ,請使用 傳入主機標頭。
設定 DNS
在 DNS 中建立標準名稱 (CNAME) 記錄,例如 login.domain.com ,指向 [屬性主機名稱 ] 欄位中的 Edge 主機名稱。
設定 Akamai WAP
若要開始使用 WAP 設定,請移至應用程式 & API 保護裝置的 techdocs.akamai.com。
在設定期間,針對 攻擊群組中的專案,在 [ 規則動作] 底下,選取 [拒絕]。
![[規則動作] 資料行中拒絕攻擊群組的螢幕擷取畫面。](media/partner-akamai/rule-action-deny.png)
測試設定
為了確保 Azure AD B2C 的流量通過自訂網域:
- 確認 WAP 將傳入要求路由傳送至 Azure AD B2C 自訂網域
- 確定有效的 TLS 連線
- 確定 Azure AD B2C 正確設定自訂網域的 Cookie
- 適用于雲端的 Defender 主控台中的 WAP 儀表板具有 WAP 流量圖表
- 攻擊流量也會隨即出現