Ich habe 3 Azure-Webanwendungen, die eine Verbindung miteinander herstellen müssen.
Einer, der die FE-Website betreibt – auf die von außen zugegriffen werden muss.
Die anderen beiden sind nur Dienste, die von der FE-Site verwendet werden. Es besteht keine Notwendigkeit, dass diese für den öffentlichen Zugriff geöffnet werden, und deshalb möchte ich dies einschränken.
Was ist die beste Möglichkeit, den öffentlichen Zugriff auf die beiden Webanwendungen einzuschränken, aber dennoch den öffentlichen Zugriff auf die FE-Site zu ermöglichen?
Antwort1
Um den öffentlichen Zugriff auf die Web-App zu beschränken, sollten Sie sie entweder in einem Azure-VLAN bereitstellen, das keinen öffentlichen Zugriff hat und eine Firewall zwischen dem öffentlichen und privaten Azure hat, oder den Zugriff einfach auf Webserverebene beschränken. Letzteres schützt Sie nicht vor Angriffen aus dem Internet, während die Firewall dies tut.
Als einfachste Lösung können Sie Ihre Web-App auf Webserverebene entweder per IP oder per Authentifizierung einschränken.
Beschränken Sie den Zugriff per IP
Eine mögliche Option ist, den Zugriff auf Ihre Anwendung über IP-Adressen einzuschränken. Die IP-Adressen können als zulässige IP-Adressen imweb.configIhrer Anwendung. Alle anderen IP-Adressen erhalten von Azure die Antwort 403 Forbidden.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
Beschränken Sie den Zugriff für bestimmte Benutzer
Eine weitere Möglichkeit besteht darin, den Zugriff einzuschränken, indem Sie die Authentifizierung in der Webanwendung aktivieren. Dies kann für verschiedene Authentifizierungsanbieter erfolgen, z. B. Azure Active Directory, Google, Facebook, Twitter und Microsoft. Die folgenden Schritte helfen Ihnen bei der Konfiguration von Azure Active Directory als Authentifizierungsanbieter.
- Navigieren Sie im Azure-Portal zum Blade der Webanwendung.
- Klicken Sie auf „Authentifizierung/Autorisierung“ und wählen Sie „Ein“. Wenn Sie diese Option aktivieren, haben Sie mehrere Optionen für Authentifizierungsanbieter. Wir wählen Azure Active Directory aus.
- Da es keine vorkonfigurierte Anwendung gibt, wählen Sie die Option „Express“. Mit dieser Option registrieren wir die Enterprise-Anwendung im Azure Active Directory oder Sie können eine vorhandene Anwendung auswählen.
- Wenn Sie auf dieser Seite auf „Speichern“ klicken, wird die Anwendung in Azure Active Directory registriert. Beachten Sie, dass Sie die entsprechende Rolle in Azure AD benötigen, um die Anwendung registrieren zu können (Globaladministrator oder Cloudanwendungsadministrator). Wenn Sie dies nicht haben, müssen Sie den Mandantenadministrator um die Registrierung bitten.
- Um Benutzern Zugriff auf die Anwendung zu gewähren, öffnen Sie das Azure Active Directory-Blade im Azure-Portal und wählen Sie Unternehmensanwendungen aus.
- Wählen Sie im Blade „Unternehmensanwendungen“ „Alle Anwendungen“ aus, um eine Liste aller Anwendungen anzuzeigen, die in Azure Active Directory registriert sind. Wählen Sie aus dieser Liste die Anwendung aus. Dadurch wird das Blade der jeweiligen Anwendung geöffnet.
- Wählen Sie im Blade „Benutzer und Gruppen“ aus. Im Blade „Benutzer und Gruppen“ werden alle Benutzer angezeigt, denen Zugriff auf die Anwendung gewährt wurde. Von hier aus können Sie Benutzer hinzufügen, um ihnen Zugriff zu gewähren.