重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
この記事では、カスタム ドメインを使用して Azure Active Directory B2C (Azure AD B2C) テナント用に Cloudflare Web Application Firewall (WAF ) ソリューションを構成する方法について説明します。 Cloudflare WAF を使用して、SQL インジェクションやクロスサイト スクリプティング (XSS) などの脆弱性を悪用する可能性がある悪意のある攻撃から組織を保護します。
[前提条件]
開始するには、次のものが必要です。
- Azure サブスクリプション。 お持ちでない場合は、Azure 無料アカウントを取得できます。
- Azure サブスクリプションにリンクされている Azure AD B2C テナント。
- Cloudflare アカウント。
シナリオの説明
Cloudflare WAF の統合には、次のコンポーネントが含まれています。
- Azure AD B2C テナント – テナントで定義されているカスタム ポリシー (ID プロバイダーと呼ばれます) を使用してユーザー資格情報を検証する承認サーバー。
- Azure Front Door – Azure B2C テナントのカスタム ドメインを有効にします。 Cloudflare WAF からのトラフィックは、Azure AD B2C テナントに到着する前に Azure Front Door にルーティングされます。
- Cloudflare – 承認サーバーに送信されるトラフィックを管理する Web アプリケーション ファイアウォール。
Azure AD B2C との統合
Azure AD B2C のカスタム ドメインの場合は、Azure Front Door のカスタム ドメイン機能を使用します。 Azure AD B2C カスタム ドメインを有効にする方法について説明します。
Azure Front Door を使用して Azure AD B2C のカスタム ドメインを構成した後、先に進む前 にカスタム ドメインをテストします 。
Cloudflare アカウントを作成する
cloudflare.com では、 アカウントを作成できます。 WAF を有効にするには、 Application Services で Pro を選択します。これは必須です。
DNS の構成
ドメインの WAF を有効にするには、CNAME エントリの DNS コンソールで、次に示すように、CNAME エントリの DNS コンソールからプロキシ設定をオンにします。
[DNS] ウィンドウで、[ プロキシの状態 ] オプションを [ プロキシ] に切り替えます。 オレンジ色に変わります。
設定は次の図に表示されます。
注
カスタム ドメインの CNAME レコードが Azure Front Door エンドポイントのドメイン以外の DNS レコードを指している場合 (たとえば、Cloudflare などのサードパーティの DNS サービスを使用している場合) は、Azure Front Door で管理される証明書は自動的に更新されません。 このような場合に証明書を更新するには、 Azure Front Door で管理される証明書の更新 に関する記事の手順に従います。
Web アプリケーション ファイアウォールを構成する
Cloudflare の設定に移動し、Cloudflare コンテンツを使用して WAF を構成 し、他のセキュリティ ツールについて学習します。
ファイアウォール規則の構成
コンソールの上部ウィンドウで、ファイアウォール オプションを使用して、ファイアウォール規則を追加、更新、または削除します。 たとえば、次のファイアウォール設定では、要求が Azure Front Door に送信される前に 、ドメイン contosobank.co.uk 受信要求に対して CAPTCHA を有効にします。
詳細情報: Cloudflare ファイアウォール規則
設定をテストする
カスタム ドメインへのアクセスが要求されたら、CAPTCHA を完了します。
注
Cloudflare には、ブロック ページをカスタマイズする機能があります。 カスタム ページの構成 (エラーとチャレンジ) を参照してください。
Azure AD B2C ポリシーのサインイン ダイアログが表示されます。
