Whitelist AAD Login-Endpunkt

Question

Wir haben ein SPA, das mit ADAL authentifiziert (ähnlich den bereitgestellten Beispielen https://github.com/Azure-Samples/active-directory-angularjs-singlepageapp). Jetzt möchten wir unsere Anwendung in einer sicheren Umgebung hosten, in der die gesamte Kommunikation nach außen standardmäßig blockiert ist. Daher möchten wir IP-Adressen, die mit dem AAD-Anmeldeprozess verknüpft sind, in die Positivliste aufnehmen.

Verwenden von DNS-Lookup, um IP-Adressen für login.microsoftonline.com zu finden, gibt mir nicht alle IPs, da ich nslookup von anderem Ort aus und anderen Set gefunden habe. Also, wundert euch, kennt ihr eine Menge solcher IPs?

PS: Ich habe hier eine Liste von IPs gefunden - https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-prerequisites aber diese Liste ist riesig. Muss ich alle auf die weiße Liste setzen?

Answer 1

Ja, Sie sollten alle IPs in der Office 365 URLs and IP address ranges - Identity and Authentication Dokumentation auf die weiße Liste setzen.

Diese Liste ist so groß, weil Azure AD ein weltweit verfügbarer Dienst ist und daher weltweit eingesetzt wird, um die Verfügbarkeit und die Leistungs-SLAs zu erfüllen. Erwähnenswert ist auch, dass Azure AD aus vielen verschiedenen Diensten (Auth, MFA, Azure AD Connect usw.) besteht, die ihre eigenen IP-Adressen haben.

Schließlich, Vergessen Sie nicht, auch die IP-Adresse eines oder mehrerer Verbundserver hinzuzufügen, wenn der Azure AD Tenant eingebunden ist (dies ist in der Regel ADFS). Dieser letzte Punkt ist besonders schwierig, wenn es sich bei Ihren Anwendungen um eine mandantenfähige Anwendung handelt.