Подключить общедоступное веб-приложение к частному веб-приложению
У меня есть 3 веб-приложения Azure, которые должны иметь возможность соединяться друг с другом.
Одно работает с веб-сайтом FE - к нему нужно получить доступ извне .
Два других я просто запускаю службы, которые использует сайт FE. Нет необходимости в том, чтобы они были открытыми для общего доступа, и поэтому я хотел бы ограничить это.
Как лучше всего ограничить общий доступ к двум веб-приложениям, но при этом разрешить общий доступ к сайту FE?
Чтобы веб-приложение было ограничено для общего доступа, вы должны либо развернуть его в Azure vlan, который не имеет общего доступа и имеет брандмауэр между общедоступной и частной Azure или просто ограничить доступ на уровне веб-сервера. Последний не защищает вас от интернет-атак, в отличие от брандмауэра.
В качестве простейшего решения вы можете ограничить свое веб-приложение на уровне веб-сервера по IP или аутентификации.
Ограничение доступа по IP
Возможный вариант — ограничить доступ к вашему приложению по IP-адресам. IP-адреса можно добавить в качестве разрешенных IP-адресов в web.config вашего приложения. Все остальные IP-адреса получат от Azure ответ 403 Forbidden.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
Ограничить доступ для определенных пользователей
Еще один вариант — ограничить доступ, включив аутентификацию в веб-приложении. Это можно сделать для нескольких поставщиков аутентификации, таких как Azure Active Directory, Google, Facebook, Twitter и Microsoft. Следующие шаги помогут вам настроить Azure Active Directory в качестве поставщика проверки подлинности.
- На портале Azure перейдите к колонке веб-приложения.
- Нажмите «Аутентификация/авторизация» и выберите «Вкл.». Активация эта опция даст вам несколько вариантов аутентификации Провайдеры. Мы выберем Azure Active Directory.
- Поскольку нет предварительно настроенного приложения, выберите вариант «Экспресс».Этот вариант зарегистрирует корпоративное приложение в Azure Active. Каталог для нас, или пусть вы выбираете существующий.
- Нажатие «Сохранить» в этой колонке зарегистрирует приложение в Azure Active. Каталог. Обратите внимание, что у вас должна быть соответствующая роль в Azure AD, чтобы иметь возможность зарегистрировать приложение (глобальный администратор или администратор облачного приложения). Если у вас его нет, вам нужно будет запросить регистрацию у администратора арендатора.
- Чтобы предоставить пользователям доступ к приложению, откройте колонку Azure Active Directory на портале Azure и выберите Корпоративные приложения.
- В колонке «Корпоративные приложения» выберите «Все приложения», чтобы просмотреть список всех приложений, зарегистрированных в Azure Active Directory. Из этого списка выберите приложение. Это откроет блейд конкретного приложения.
- В колонке выберите «Пользователи и группы». В колонке «Пользователи и группы» показаны все пользователи, которым предоставлен доступ к приложению. Отсюда вы можете добавить пользователей, чтобы предоставить им доступ.