問題タブ [azure-security]

企業ネットワークからの DLP (データ漏洩防止) について質問があります。

企業ネットワーク上に仮想マシンがあります。VM は、ポート 1433 経由の接続を介して、クラウド内の Azure SQL DB (aaa.database.windows.net) にアクセスできます。

ただし、同じ VM を bbb.database.windows.net に接続したくありません。

Azure はパブリック IP を保証しません (両方のサーバーが同じ IP として表示される可能性があります)。企業の境界ネットワーク/ファイアウォールで aaa へのアクセスを許可し、bbb へのアクセスを許可しないために使用できるテクノロジは何ですか?

私が懸念している攻撃は、社内の誰かが aaa からデータを照会し、それを bbb に挿入することです。たとえば、1 つのサーバーが ourcorporatedate.database.windows.net で、もう 1 つのサーバーが somerandom.database.windows.net である場合、社内の誰かが企業データを取得して、ランダムなデータベースに書き込むことができます。

ありがとう

私たちのアプリケーションでは、グループに権限を割り当てることができます。つまり、すべてのユーザーについて、グループ メンバーシップを確実に判断する必要があります。ユーザーは、ADAL で定期的に取得したトークンを提示します (一部は .NET を使用し、他は NodeJS を使用し、他は CLI を使用します)。

一部のユーザーは、次のクレームでトークンを送信しているようです:

この主張は、Azure AD トークンのリファレンスページに記載されています。

そのためのテスト ケースを追加したいと考えていますが、手順hereおよびhereを実行すると、常に次のクレームを持つトークンになります。

セットアップの何が問題になっていますか? なぜ私たちはhasgroups主張を得ることができないのですか？

追加情報を次に示します。

• アプリケーションの種類はネイティブです (WebApi ではありません)。
• マニフェストは言う"oauth2AllowImplicitFlow": true。
• アプリケーションには、Azure Key Vault へのアクセス権が付与されます。

次のコードを使用してトークンを取得します (C# の場合)。

どこ：

• _userName_password多くのグループを持つユーザーからのものです。
• _clientIdは、ネイティブ アプリケーションのアプリケーション ID です"oauth2AllowImplicitFlow": true。.
• _resourceですhttps://vault.azure.net。

トークンは正しく発行されます。唯一の問題は、の代わりに_claim_namesandが表示されることです。_claims_sourceshasgroups