Konfigurowanie usługi Azure Active Directory B2C przy użyciu funkcji ochrony aplikacji internetowej Akamai

Dowiedz się, jak włączyć Akamai Web Application Protector (WAP) dla dzierżawy Azure Active Directory B2C (Azure AD B2C) przy użyciu domen niestandardowych. Aplikacja Akamai WAP pomaga organizacji chronić swoje aplikacje internetowe przed złośliwymi atakami, które mają na celu wykorzystanie luk w zabezpieczeniach, takich jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami.

Dowiedz się więcej na akamai.com: Co to jest zapora aplikacji internetowej?

Zalety korzystania z zapory aplikacji internetowej:

• Kontrolowanie zarządzania ruchem w usługach
• Konfigurowanie w kontekście dzierżawcy usługi Azure AD B2C
• Manipulowanie ruchem w celu ochrony i zabezpieczania infrastruktury tożsamości

Ten artykuł dotyczy:

WAP: Funkcja ochrony aplikacji internetowej KSD: Kona Site Defender

Wymagania wstępne

• Subskrypcja platformy Azure
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
  • Zobacz Samouczek: tworzenie dzierżawcy usługi Azure Active Directory B2C
• Konto aplikacji Akamai WAP
  • Przejdź do akamai.com , aby zapoznać się ze wszystkimi produktami i testami Akamai

Opis scenariusza

Integracja aplikacji Akamai WAP obejmuje następujące składniki:

• Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych w dzierżawie. Znany również jako dostawca tożsamości (IdP).
• Azure Front Door — umożliwia użycie domen niestandardowych dla dzierżawy Azure B2C
  • Ruch z routingu Akamai WAP do usługi Azure Front Door, a następnie przechodzi do dzierżawy usługi Azure AD B2C
  • Co to jest usługa Azure Front Door?
• Akamai WAP — zapora aplikacji internetowej, która zarządza ruchem wysyłanym do serwera autoryzacji
  • Zobacz, Funkcja ochrony aplikacji internetowej

Integracja z usługą Azure AD B2C

W przypadku domen niestandardowych w usłudze Azure AD B2C użyj funkcji domeny niestandardowej w usłudze Azure Front Door.

Zobacz Włączanie domen niestandardowych dla usługi Azure AD B2C.

Jeśli domena niestandardowa usługi Azure AD B2C jest skonfigurowana przy użyciu usługi Azure Front Door, wykonaj poniższe instrukcje, aby przetestować domenę niestandardową.

Zobacz Testowanie domeny niestandardowej, a następnie przejdź do następnej sekcji.

Tworzenie konta usługi Akamai

1. Przejdź do akamai.com.
2. Wybierz Dowiedz się więcej.
3. Na stronie Cloud Computing Services wybierz pozycję Utwórz konto.

Tworzenie i konfigurowanie właściwości

Właściwość to plik konfiguracji, który informuje nasze serwery brzegowe, jak obsługiwać żądania przychodzące od użytkowników końcowych i odpowiadać na nie. Właściwości są tworzone i utrzymywane w Menedżerze właściwości.

Aby dowiedzieć się więcej, przejdź do techdocs.akamai.com co to jest właściwość?

1. Przejdź do control.akamai.com, aby się zalogować: strona logowania do centrum sterowania Akamai.
2. Przejdź do Menedżera właściwości.
3. W polu Wersja właściwości wybierz pozycję Standardowy lub Rozszerzony protokół TLS (zalecane).
4. W obszarze Nazwy hostów właściwości dodaj nazwę hosta właściwości, domenę niestandardową. Na przykład login.domain.com.

Ustawienia konfiguracji właściwości serwera pochodzenia

Użyj następujących ustawień dla serwera pochodzenia.

1. W polu Typ źródła wprowadź swój typ.
2. W polu Nazwa hosta serwera pochodzenia wprowadź nazwę hosta. Na przykład yourafddomain.azurefd.net
3. W nagłówku hosta przekazującego użyj nagłówka hosta przychodzącego.
4. W obszarze Nazwa hosta klucza pamięci podręcznej użyj nagłówka hosta przychodzącego.

Konfigurowanie systemu DNS

Utwórz rekord Nazwy kanonicznej (CNAME) w systemie DNS, taki jak login.domain.com, który wskazuje nazwę hosta edge w polu Nazwa hosta właściwości .

Konfigurowanie aplikacji WAP usługi Akamai

1. Aby rozpocząć pracę z konfiguracją WAP, odwiedź stronę techdocs.akamai.com, aby uzyskać informacje na temat App & API Protector.

2. Podczas konfigurowania dla elementów w grupie ataków w obszarze Akcje reguły wybierz pozycję Odmów.

   

Testowanie ustawień

Aby ruch do usługi Azure AD B2C przechodził przez niestandardową domenę:

• Potwierdź, że aplikacja WAP kieruje żądania przychodzące do niestandardowej domeny usługi Azure AD B2C
  • Upewnij się, że nawiązano prawidłowe połączenie TLS.
• Upewnij się, że usługa Azure AD B2C prawidłowo ustawia pliki cookie dla domeny niestandardowej
• Pulpit nawigacyjny aplikacji WAP w konsoli usługi Defender for Cloud zawiera wykresy ruchu WAP
  • Pojawia się również ruch narażony na ataki

Dalsze kroki

• Włączanie domen niestandardowych dla usługi Azure Active Directory B2C
• Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure AD B2C