Configuración de Cloudflare con el identificador externo de Microsoft Entra

Se aplica a: Inquilinos externos (más información)

Puede integrar soluciones de Firewall de aplicaciones web (WAF) de terceros con microsoft Entra External ID para mejorar la seguridad general. Un WAF ayuda a proteger a su organización frente a ataques como ataques por denegación de servicio distribuido (DDoS), bots malintencionados y Open Worldwide Application Security Project (OWASP) Los 10 principales riesgos de seguridad.

Cloudflare Web Application Firewall (Cloudflare WAF) protege las aplicaciones web frente a explotaciones y vulnerabilidades comunes. Al integrar Cloudflare WAF con microsoft Entra External ID, se agrega una capa adicional de seguridad para las aplicaciones.

En este artículo se proporcionan instrucciones paso a paso para configurar el inquilino externo con Cloudflare WAF.

Información general de la solución

La solución usa tres componentes principales:

• Inquilino externo : actúa como proveedor de identidades (IdP) y servidor de autorización, aplicando directivas personalizadas para la autenticación.
• Azure Front Door (AFD): controla el enrutamiento de dominio personalizado y reenvía el tráfico al identificador externo de Microsoft Entra.
• WAF de Cloudflare : WAF que administra el tráfico enviado al servidor de autorización.

Prerrequisitos

Para empezar, necesita lo siguiente:

• Un inquilino externo.
• Una configuración de Microsoft Azure Front Door (AFD). El tráfico del WAF de Cloudflare se enruta a Azure Front Door, y luego se dirige a la entidad externa.
• Un WAF de Cloudflare que administra el tráfico enviado al servidor de autorización.
• Un dominio personalizado en el entorno externo habilitado con Azure Front Door (AFD).

Obtenga información sobre los inquilinos y la protección de aplicaciones para consumidores y clientes con el identificador externo de Microsoft Entra.

Pasos de configuración de Cloudflare

En primer lugar, configure Cloudflare WAF para proteger los dominios URL personalizados de Microsoft Entra External ID. Siga estos pasos para configurar Cloudflare WAF.

Habilitación de dominios de dirección URL personalizados

El primer paso es habilitar dominios personalizados con AFD. Siga las instrucciones de Habilitación de dominios de dirección URL personalizados para aplicaciones en inquilinos externos.

Creación de una cuenta de Cloudflare

1. Vaya a Cloudflare.com/plans para crear una cuenta.
2. Para habilitar WAF, en la pestaña Servicios de aplicación , seleccione Pro.

Configuración del servidor de nombres de dominio (DNS)

Habilite WAF para un dominio.

1. En la consola DNS, para CNAME, habilite la configuración del proxy.

   

2. Bajo DNS, para Estado del proxy, seleccione Proxificado.

3. El estado cambia a naranja.

   

Controles de seguridad de Cloudflare

Para una protección óptima, habilite los controles de seguridad de Cloudflare.

DDoS protection

1. Vaya al panel de Cloudflare.
2. Expanda la sección Seguridad.
3. Seleccione DDoS.
4. Aparece un mensaje.

Protección de bots

1. Vaya al panel de Cloudflare.
2. Expanda la sección Seguridad.
3. En Configurar Modo de Lucha Super Bot, para Definitivamente Automatizado, seleccione Bloquear.
4. En Probable automatización, seleccione Desafío administrado.
5. En Bots comprobados, seleccione Permitir.

Reglas de firewall: tráfico desde la red tor

Bloquear el tráfico que se origina desde la red de proxy de Tor, a menos que su organización necesite admitir el tráfico.

Bloquear el tráfico desde la red tor

1. Vaya al panel de Cloudflare.
2. Expanda la sección Seguridad.
3. Seleccione WAF.
4. Seleccione Crear regla.
5. En Nombre de regla, escriba un nombre relevante.
6. En Si las solicitudes entrantes coinciden, en Campo, seleccione Continente.
7. En Operador, seleccione igual.
8. En Valor, seleccione Tor.
9. Para Entonces, tome acción, seleccione Bloquear.
10. En Place at (Colocar en), seleccione First (Primero).
11. Seleccione Implementar.

Reglas de firewall: tráfico de países o regiones

Se recomiendan controles de seguridad estrictos sobre el tráfico desde países o regiones donde es poco probable que se produzca la empresa, a menos que su organización tenga una razón empresarial para admitir el tráfico de todos los países o regiones.

Bloquear el tráfico de países o regiones

Para obtener las instrucciones siguientes, puede agregar páginas HTML personalizadas para los visitantes.

1. Vaya al panel de Cloudflare.
2. Expanda la sección Seguridad.
3. Seleccione WAF.
4. Seleccione Crear regla.
5. En Nombre de regla, escriba un nombre relevante.
6. En Si las solicitudes entrantes coinciden, en Campo, seleccione País o región o Continente.
7. En Operador, seleccione igual.
8. En Valor, seleccione el país o región o continente que se va a bloquear.
9. Para Entonces, tome acción, seleccione Bloquear.
10. En Place at, seleccione Last.
11. Seleccione Implementar.

Conjuntos de reglas administrados y OWASP

1. Seleccione Reglas administradas.
2. En Conjunto de reglas administradas de Cloudflare, seleccione Habilitado.
3. En Cloudflare OWASP Core Ruleset, seleccione Habilitado.

Comprobación de Cloudflare WAF en el identificador externo

Después de configurar la cuenta de Cloudflare, conéctela al identificador externo de Microsoft Entra. Use el token de API de Cloudflare y el identificador de zona para completar la conexión. Puede hacerlo en el Centro de administración o mediante Microsoft Graph API.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111",
    "apiToken": "cf_example_token_123"
}

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.cloudFlareWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000001",
    "displayName": "Cloudflare Provider Example",
    "zoneId": "11111111111111111111111111111111"
}

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "cloudflare",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.cloudFlareVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "CloudFlare Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Pruebe la configuración.

Después de conectar Cloudflare WAF con el identificador externo de Microsoft Entra, pruebe la configuración para asegurarse de que todo funciona según lo previsto.

Solución de problemas

En la tabla siguiente se enumeran los problemas comunes que pueden surgir al integrar Cloudflare WAF con el identificador externo de Microsoft Entra, junto con sus detalles y resoluciones.

Recursos adicionales

• Guía de introducción de WAF de Cloudflare: incluye recomendaciones sobre cómo configurar mejor WAF y qué reglas y protección básicas puede implementar.
• Preguntas más frecuentes relacionadas con la información general sobre inquilinos externos: Id. externo de Microsoft Entra | Microsoft Learn para conocer otros procedimientos recomendados y consideraciones.
• Comprobación de los resultados del tráfico en el panel de Cloudflare: Análisis de seguridad · Documentación de WAF de Cloudflare
• Prácticas recomendadas adicionales de Azure Front Door Dominios en Azure Front Door | Microsoft Learn
• Solución de problemas de API · Documentación sobre aspectos básicos de Cloudflare
• Solución de problemas · Documentación de soporte técnico de Cloudflare

Contenido relacionado

• ¿Qué es Azure Web Application Firewall en Azure Application Gateway?
• Tutorial: Configuración de WAF de Cloudflare con Azure AD B2C