白名单AAD登录端点

时间:2017-05-25 00:47:55

标签: active-directory azure-active-directory adal

我们有一个使用ADAL进行身份验证的SPA(类似于提供的示例https://github.com/Azure-Samples/active-directory-angularjs-singlepageapp)。现在我们希望在一个安全的环境中托管我们的应用程序,默认情况下,所有通信都被阻止。因此,我们希望将与AAD登录过程相关联的IP地址列入白名单。

使用DNS查找来查找login.microsoftonline.com的IP地址并没有给我所有的IP,因为我从不同的位置进行了nslookup并发现了不同的设置。所以,想知道你们知道一组这样的IP。

PS:我在这里找到了一个IP列表 - https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-prerequisites但是这个列表非常庞大。我需要将所有内容列入白名单吗?

1 个答案:

答案 0 :(得分:0)

是的,您应该将Office 365 URLs and IP address ranges - Identity and Authentication文档中的所有IP列入白名单。

此列表非常大,因为Azure AD是全球可用的服务,因此在全球范围内部署以满足其可用性和性能SLA。另外值得一提的是,Azure AD由许多不同的服务(Auth,MFA,Azure AD Connect等)组成,这些服务都有自己的IP地址。

最后,如果Azure AD租户已联合(通常是ADFS),请不要忘记添加任何联合服务器的IP地址。如果您的应用程序是多租户应用程序,那么最后一点尤其具有挑战性。