Есть ли способ ограничить количество пользовательских входов в AD B2C?

Question

Редактировать

Это не дубликат: Другой вопрос о Регистрация , это о Вход .Более того: этот вопрос касается подтверждения по электронной почте , вопрос о квотах / регулировании .Это разные элементы политики промежуточного программного обеспечения.Хотя последствия могут быть схожими, сама проблема и тоже решение отличаются .Снимите дубликат флажка

---

В случае, если злонамеренный пользователь запишет свой / его вход / выход на ваше приложение / веб-сайт, который использует AD B2C, это может вызвать миллионы входов в течение разумногократкосрочный.

Поскольку из-за вас будет выставлен счет на основании количества входов в систему (бесплатно за <50 000, затем заплатите), это не будет счастливым часом. </p>

Вопрос

Есть ли способ предотвратить сценарий выше?(ограничение оплаты не вариант, в этом случае после атаки ваш сайт не сможет обслуживать входящий поток пользователей)

Answer 1

У меня недостаточно репутации, чтобы комментировать, поэтому я вынужден опубликовать (частичный) ответ ... Я пытался найти другие способы связаться с вами, но не смог найти способ.

Лучшее, что мы могли придумать, чтобы попытаться справиться с этим, - это настроить бюджет, чтобы мы могли получать оповещения, если это произойдет.

---

РЕДАКТИРОВАТЬ: Я только что узнал от нашего сетевого администратора, что похоже, что бюджет, который он помог установить, не является достаточно детальным, чтобы позволить нам настроить его, чтобы предупредить нас на основе ежедневной цифры стоимости. Сначала он подумал, что ввода небольшого процента, эквивалентного ожидаемому ежедневному употреблению, будет достаточно, чтобы сделать эту работу для нас, но похоже, что это не так ... Мой частичный ответ просто превратился в отсутствие ответа. Извините за это.

---

Однако меня также интересует правильный ответ на этот вопрос. Мы увидели огромный всплеск токенов, выпущенных 9-11 апреля 2019 года во время нашего последнего цикла выставления счетов. Однако журналы аудита возвращаются только на 7 дней, поэтому мы не можем попытаться выяснить причину. Надеемся, что предупреждение будет отправлено в будущем, поэтому эту проблему можно исследовать до того, как журналы больше не будут доступны.

Также казалось, что мы начали наблюдать небольшое увеличение стоимости, начиная примерно с 20 марта, и мы не публиковали сборку в то время, поэтому мне интересно, возникла ли проблема на стороне Microsoft, которая заставляет нас испытывать эти проблемы. Видите ли вы такие же шипы в соответствующие сроки? Если это так, нам, возможно, потребуется оформить заявку для MS на исследование и, возможно, на возврат средств ... Наша стоимость была около 1000 долларов США для базовой аутентификации по последнему счету, и мы небольшая компания. Первоначально мы думали, что мы будем в пределах 50 000 бесплатных аутентификаций.

Конечным решением для Microsoft было бы предоставить на портале способ блокировать огромное количество токенов, выдаваемых одному и тому же пользователю. Если вы хотите оставить отзыв о голосе пользователя, пожалуйста, опубликуйте его здесь, чтобы я мог заставить всю нашу команду проголосовать за него.

Answer 2

Azure AD B2C имеет методы защиты от вредоносных атак, подобные тем, которые вы описали, и B2C автоматически блокирует пользователя на определенный период времени.

Дополнительная информация: https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-reference-threat-management#password-attacks

В настоящий момент с помощью умных блокировок (как упомянуто в ссылке выше) администраторы не могут контролировать количество попыток.Но если вы хотите иметь возможность настроить это и, возможно, даже предпринять действие (например, MFA), вы можете сделать это с помощью пользовательских политик: https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-get-started-custom

В сообществе Azure AD B2C на GitHub есть пример для блокировкипользователь после 6 неудачных входов.https://github.com/azure-ad-b2c/samples/tree/master/policies/lockout