使用 Front Door 和 Azure AD 身份验证锁定应用服务

Question

我希望得到您对以下方面的反馈：

• 对于我的 AppServices，我使用 AzureAD 设置了授权。我得到身份验证页面并且重定向到我的 Appservice 很好。
• 然后我设置了一个 Azure Front Door，它重定向到我的 AppServices 作为后端
• 在浏览器中，当我转到 https://myfrontdoortest.azurefd.net 时，我会看到 AzureAD 身份验证页面，并且重定向到我的 AppService 是成功的（在浏览器地址栏中显示为 https://myappservicestest.azurewebsites.net）。

现在我想使用 FrontDoor 来保护我的 AppServices，正如 MS 在此处 https://docs.microsoft.com/en-us/azure/frontdoor/front-door-faq 中所解释的那样。在这个阶段我只应用 IP 限制（还没有 X-FrontDoor-ID）

• 测试 #1：当我直接进入我的 AppService 时 https://myappservicestest.azurewebsites.net 然后我得到一个 403 按预期禁止访问。
• 测试#2：当我去https://myfrontdoortest.azurefd.net然后我得到 AzureAD 身份验证页面。我提供有效的凭证并且我 注意到我被重定向到 https://myappservicestest.azurewebsites.net 带有 403 禁止。

我还在努力解决它。

• 我应该在回复 URL 中更改某些内容以管理 IP 限制吗？
• 我应该在 FrontDoor 配置中进行更改吗？

非常欢迎您的帮助

Answer 1

由于前门没有固定IP，所以在webapp中设置IP是不可行的。

所以还是建议大家还是使用官方推荐的，在xml文件中添加重写规则。

您正在寻找的文章非常有用。建议仔细阅读。有任何问题，也可以提出支持票，MS会给你很好的答复。

我也发现了这个问题，你可以参考一下。

How do I lock down the access to my backend to only specified instance(s) of Azure Front Door? #36141