相互に接続できる必要がある Azure Web アプリが 3 つあります。
FE Web サイトを実行するもの - 外部からアクセスする必要があります。
他の 2 つは、FE サイトが使用するサービスを実行しているだけです。これらを一般公開する必要はないので、制限したいと思います。
2 つの Web アプリケーションへのパブリック アクセスを制限しながら、FE サイトへのパブリック アクセスを許可する最適な方法は何ですか?
答え1
Web アプリをパブリック アクセスに制限するには、パブリック アクセスがなく、パブリック Azure とプライベート Azure の間にファイアウォールがある Azure VLAN にデプロイするか、Web サーバー レベルでアクセスを制限する必要があります。後者はインターネット攻撃を防ぐことはできませんが、ファイアウォールは防ぐことができます。
最も簡単な解決策として、IP または認証によって Web サーバー レベルで Web アプリを制限することができます。
IPによるアクセス制限
可能なオプションは、IPアドレスによってアプリケーションへのアクセスを制限することです。IPアドレスは、ウェブ構成アプリケーションのその他のすべての IP アドレスに対しては、Azure から 403 Forbidden 応答が返されます。
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
特定のユーザーのアクセスを制限する
もう 1 つのオプションは、Web アプリケーションで認証を有効にしてアクセスを制限することです。これは、Azure Active Directory、Google、Facebook、Twitter、Microsoft などの複数の認証プロバイダーに対して実行できます。以下の手順は、Azure Active Directory を認証プロバイダーとして構成するのに役立ちます。
- Azure ポータルで、Web アプリケーションのブレードに移動します。
- 「認証/承認」をクリックし、「オン」を選択します。このオプションを有効にすると、認証プロバイダーのいくつかのオプションが表示されます。ここでは、Azure Active Directory を選択します。
- 事前構成されたアプリケーションがないため、「Express」オプションを選択します。このオプションを選択すると、Azure Active Directory 内にエンタープライズ アプリケーションが自動的に登録されるか、既存のアプリケーションを選択できます。
- このブレードで「保存」をクリックすると、Azure Active Directory 内にアプリケーションが登録されます。アプリケーションを登録するには、Azure AD で適切なロール (グローバル管理者またはクラウド アプリケーション管理者) を持っている必要があることに注意してください。適切なロールがない場合は、テナント管理者に登録を依頼する必要があります。
- ユーザーにアプリケーションへのアクセスを許可するには、Azure ポータル内で Azure Active Directory ブレードを開き、エンタープライズ アプリケーションを選択します。
- エンタープライズ アプリケーション ブレードで [すべてのアプリケーション] を選択すると、Azure Active Directory に登録されているすべてのアプリケーションの一覧が表示されます。この一覧からアプリケーションを選択します。これにより、特定のアプリケーションのブレードが開きます。
- ブレードで「ユーザーとグループ」を選択します。「ユーザーとグループ」ブレードには、アプリケーションへのアクセスが許可されているすべてのユーザーが表示されます。ここから、ユーザーを追加してアクセスを許可できます。