你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了保护 Azure Active Directory B2C (Azure AD B2C) 解决方案的最佳做法。 若要使用 Azure AD B2C 生成标识解决方案,需要考虑保护和监视许多组件。
根据解决方案的不同,你在范围内有一个或多个以下组件:
- Azure AD B2C 身份验证终结点
-
Azure AD B2C 用户流或自定义策略
- 登录
- 注册
- 电子邮件一次性密码 (OTP)
- 多重身份验证控制
- 外部 REST 应用程序接口
必须保护并监视所有这些组件,以确保用户可以在不中断的情况下登录到应用程序。 按照本文中的指南保护解决方案免受机器人攻击、欺诈帐户创建、国际收入共享欺诈(ISRF)和密码喷射。
如何保护解决方案
标识解决方案使用多个组件来提供流畅的登录体验。 下表显示了建议用于每个组件的保护机制。
| 组件 | 端点 | 为什么 | 如何保护 |
|---|---|---|---|
| Azure AD B2C 身份验证终结点 |
/authorize、/token、/.well-known/openid-configuration、/discovery/v2.0/keys |
防止资源耗尽 | Web 应用程序防火墙(WAF) 和 Azure Front Door (AFD) |
| 登录 | 暂无 | 恶意登录可能会尝试暴力破解帐户或使用泄露的凭据 | 标识保护 |
| 注册 | 暂无 | 欺诈性注册可能会试图耗尽资源。 |
终端保护 欺诈预防技术,如 Dynamics Fraud Protection |
| 电子邮件 OTP | 暂无 | 欺诈性暴力破解或耗尽资源 | 终结点保护和 Authenticator 应用 |
| 多重身份验证控制 | 暂无 | 未经请求的电话或短信或资源耗尽。 | 终结点保护和 Authenticator 应用 |
| 外部 REST 应用程序接口 | 您的 REST API 终结点 | 恶意使用用户流或自定义策略可能会导致 API 终结点资源耗尽。 | WAF 和 AFD |
保护机制
下表概述了可用于保护不同组件的不同保护机制。
| 对象 | 为什么 | 方式 |
|---|---|---|
| Web 应用程序防火墙 (WAF) | WAF 充当抵御对 Azure AD B2C 终结点发出的恶意请求的第一层防线。 它针对 DDoS、机器人、OWASP 前 10 名等常见攻击和漏洞提供集中保护。 建议使用 WAF 来确保即使在恶意请求到达 Azure AD B2C 终结点之前也会停止。
若要启用 WAF,必须先 使用 AFD 在 Azure AD B2C 中启用自定义域。 |
|
| Azure Front Door (AFD) | AFD 是一个全局可缩放的入口点,它使用Microsoft全局边缘网络来创建快速、安全且可广泛缩放的 Web 应用程序。 AFD 的主要功能包括:
|
|
| 身份验证和校对/欺诈保护 | 身份验证和证明对于创建受信任的用户体验并防止帐户接管和欺诈帐户创建至关重要。 它还通过确保用户对象反映与业务方案一致的实际用户来加强租户的卫生。
Azure AD B2C 允许集成各种软件供应商合作伙伴的身份验证和校对和欺诈保护。 |
|
| 身份保护 | 标识保护提供持续的风险检测。 在登录期间检测到风险时,可以配置 Azure AD B2C 条件策略,以允许用户在继续登录之前修正风险。 管理员还可以使用标识保护报告来查看有风险的用户并查看检测详细信息。 风险检测报告包括有关每个风险检测的信息,例如其类型和登录尝试的位置等。 管理员还可以确认或拒绝用户遭到入侵。 | |
| 条件访问 (CA) | 当用户尝试登录时,CA 会收集各种信号,例如标识保护的风险,以便做出决策并强制实施组织策略。 CA 可以帮助管理员制定符合组织安全状况的策略。 策略可以包括完全阻止用户访问或在用户完成其他身份验证(如 MFA)后提供访问权限的功能。 | |
| 多重身份验证 | MFA 为注册和登录过程增添了第二层安全性,是改善 Azure AD B2C 中用户身份验证的安全态势的重要组成部分。 Authenticator 应用 - TOTP 是 Azure AD B2C 中推荐的 MFA 方法。 | |
| 安全信息和事件管理(SIEM)/安全业务流程、自动化和响应(SOAR) | 你需要一个可靠的监视和警报系统来分析使用模式,例如登录和注册,并检测任何可能指示网络攻击的异常行为。 这是一个重要的步骤,增加了额外的安全性层。 它还可以帮助你了解只能随着时间推移所捕获和建立的模式和趋势。 警报有助于确定因素,例如整体登录次数的变化率、失败的登录率和注册流程失败,以及电话欺诈(例如 IRSF 攻击等)。 所有这些都可能是持续网络攻击的指标,需要立即注意。 Azure AD B2C 支持高级别和细粒度日志记录,以及生成报表和警报。 建议在所有生产租户中实现监视和警报。 |
保护 REST API 接口
Azure AD B2C 允许使用 API 连接器或 REST API 技术配置文件连接到外部系统。 需要保护这些接口。 可以通过保护 Azure AD B2C 身份验证终结点来防止对 REST API 的恶意请求。 可以使用 WAF 和 AFD 保护这些终结点。
方案 1:如何保护登录体验
创建登录体验或用户流后,需要保护流的特定组件免受恶意活动的影响。 例如,如果登录流涉及以下内容,则表会显示需要保护的组件和相关保护技术:
- 本地帐户电子邮件和密码身份验证
- 使用短信或电话呼叫Microsoft Entra 多重身份验证
| 组件 | 端点 | 如何保护 |
|---|---|---|
| Azure AD B2C 身份验证终结点 |
/authorize、/token、/.well-known/openid-configuration、/discovery/v2.0/keys |
WAP 和 AFD |
| 登录 | 暂无 | 身份保护 |
| 多重身份验证控制 | 暂无 | 验证器应用 |
| 外部 REST API | 你的 API 终结点。 | 验证器应用、WAF 和 AFD |
方案 2:如何保护注册体验
创建注册体验或用户流后,需要保护流的特定组件免受恶意活动的影响。 如果登录流涉及以下内容,则表会显示需要保护的组件以及关联的保护技术:
- 本地帐户电子邮件和密码注册
- 使用电子邮件 OTP 进行电子邮件验证
- 使用短信或电话呼叫Microsoft Entra 多重身份验证
| 组件 | 端点 | 如何保护 |
|---|---|---|
| Azure AD B2C 身份验证终结点 |
/authorize、/token、/.well-known/openid-configuration、/discovery/v2.0/keys |
WAF 和 AFD |
| 注册 | 暂无 | Dynamics 欺诈保护 |
| 电子邮件 OTP | 暂无 | WAF 和 AFD |
| 多重身份验证控制 | 暂无 | 验证器应用 |
在此方案中,使用 WAF 和 AFD 保护机制可保护 Azure AD B2C 身份验证终结点和电子邮件 OTP 组件。
后续步骤
- 配置 Web 应用程序防火墙 以保护 Azure AD B2C 身份验证终结点。
- 使用 Dynamics 配置欺诈防护 ,以保护身份验证体验。
- 使用 Azure AD B2C 中的标识保护调查风险 ,以发现、调查和修正基于标识的风险。
- 保护基于电话的多重身份验证 以保护基于手机的多重身份验证。
- 配置 Identity Protection 以保护登录体验。
- 配置监视和警报 ,以向任何威胁发出警报。