這很重要
自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。
瞭解如何使用自定義網域為 Azure Active Directory B2C (Azure AD B2C) 租使用者啟用 Akamai Web 應用程式保護裝置 (WAP)。 Akamai WAP 可協助組織保護其 Web 應用程式免受惡意攻擊,這些攻擊企圖利用 SQL 注入和跨網站腳本等弱點。
深入瞭解 akamai.com: 什麼是 Web 應用程式防火牆(WAF)?
使用 WAF 的優點:
- 控制服務的流量管理
- 在 Azure AD B2C 租戶前進行配置
- 操作流量以保護和保障您的身分識別基礎設施
本文適用於:
WAP: Web 應用程式保護裝置 KSD: Kona Site Defender
先決條件
- Azure 訂用帳戶
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- 連結到您的 Azure 訂用帳戶的 Azure AD B2C 租用戶
- Akamai WAP 帳戶
- 移至 akamai.com 以 探索所有 Akamai 產品和試用版
案例描述
Akamai WAP 整合包含下列元件:
- Azure AD B2C – 在租用戶中使用自訂原則驗證使用者認證的授權伺服器。 也稱為識別提供者(IdP)。
-
Azure Front Door – 啟用 Azure B2C 租使用者的自定義網域
- 從 Akamai WAP 的流量會路由到 Azure Front Door,然後送往 Azure AD B2C 租戶。
- 什麼是 Azure Front Door?
-
Akamai WAP – 管理傳送至授權伺服器的流量的 Web 應用程式防火牆
- 請參閱 Web 應用程式保護裝置
與 Azure AD B2C 整合
針對 Azure AD B2C 中的自訂網域,請使用 Azure Front Door 中的自定義網域功能。
使用 Azure Front Door 設定 Azure AD B2C 的自定義網域時,請使用下列指示來測試自定義網域。
參閱 測試您的自定義網域,然後前往下一節。
建立 Akamai 帳戶
- 移至 [akamai.com]。
- 選取 [深入瞭解。
- 在 [ 雲端運算服務 ] 頁面上,選取 [建立帳戶]。
建立和設定屬性
屬性是一個組態檔,可告知我們的邊緣伺服器如何處理和回應用戶傳入的要求。 物業會在物業管理員中建立和維護。
若要深入瞭解,請移至 techdocs.akamai.com 什麼是屬性?
- 移至 [control.akamai.com 以登入: Akamai 控制中心登入頁面。
- 移至 [屬性管理員]。
- 針對 屬性版本,選取 標準 或 增強的 TLS(建議)。
- 針對屬性主機名,新增一個屬性主機名,您的自訂網域。 例如:
login.domain.com。
這很重要
建立或修改具有正確自訂網域名稱設定的憑證。
移至 techdocs.akamai.com 並設定 HTTPS 主機名。
源伺服器屬性組態設定
針對源伺服器使用下列設定。
- 針對 [ 原始類型],輸入您的類型。
- 針對 [原始伺服器主機名 ] 輸入您的主機名。 例如,
yourafddomain.azurefd.net - 針對 轉送主機標頭,請使用 傳入主機標頭。
- 針對 快取金鑰主機名 ,請使用 傳入主機標頭。
設定 DNS
在您的 DNS 中建立標準名稱 (CNAME) 記錄,例如 login.domain.com,其會指向 [屬性主機名 ] 字段中的 Edge 主機名。
設定 Akamai WAP
若要開始使用 WAP 設定,請移至 應用程式與 API 保護裝置的 techdocs.akamai.com。
在設定期間,針對 攻擊群組中的專案,在 [ 規則動作] 底下,選取 [ 拒絕]。
![[規則動作] 資料行中拒絕攻擊群組的螢幕快照。](media/partner-akamai/rule-action-deny.png)
測試設定
若要確保 Azure AD B2C 的流量通過自定義網域:
- 確認 WAP 將傳入要求路由傳送至 Azure AD B2C 自定義網路變數
- 確定有效的 TLS 連線
- 確認 Azure AD B2C 為自訂網域正確設定 Cookie
- 適用於雲端的Defender控制台中的WAP儀錶板具有WAP流量圖表
- 攻擊流量也出現