URL ответа AAD помечен WAF в Azure

Question

Я включил брандмауэр веб-приложений в Azure FrontDoor с политикой по умолчанию с режимом обнаружения. В журналах, генерируемых WAF, мы видим, что брандмауэр помечает URL-адрес ответа, установленный в AAD, с действием как Блок.

Я полагаю, что брандмауэр обнаруживает это как угрозу. Поскольку URL-адрес необходим для работы аутентификации AD, что можно сделать для обеспечения безопасности? Или это можно игнорировать?

Answer 1

Go к вашей WAF policy политике WAF для парадных дверей и нажмите Managed rules. Свернуть все и щелкнуть соответствующую политику и от change action до Allow. Затем измените sh WAF у входной двери, он будет применяться.

Вы можете пользовательские правила для WAF с помощью Azure Входная дверь и обратитесь к правилу отключения в шлюзе приложения, чтобы исправить ложные срабатывания .

Answer 2

Вам не нужен правильный URL-адрес для ответа, так как он действительно нужен только для получения токена доступа. Если вы получаете токен доступа и вам не нужен доступ к URL-адресу ответа, вам не следует об этом беспокоиться.

Если вы хотите получить URL-адрес ответа для целей вашего приложения, вы можете разблокировать его, но не должно быть никаких проблем с безопасностью, если вы знаете, что URL-адрес ответа является безопасным.

По документам: https://docs.microsoft.com/en-us/azure/active-directory/develop/reply-url

URL-адрес перенаправления или URL-адрес ответа - это местоположение, на которое сервер авторизации отправит пользователя один раз Приложение было успешно авторизовано и получило код авторизации или токен доступа. Код или токен содержится в URI перенаправления или токене ответа, поэтому важно зарегистрировать правильное местоположение как часть процесса регистрации приложения.