Reverse proxy
Het wordt aanbevolen om zowel de FoxIDs site als de FoxIDs Control site achter een reverse proxy te plaatsen.
Reverse proxies
FoxIDs ondersteunt in het algemeen alle reverse proxies, de volgende reverse proxies zijn getest.
Azure Front Door
Azure Front Door kan worden geconfigureerd als reverse proxy. Azure Front Door herschrijft domeinen standaard.
Schakel caching NIET in. De
Accept-Languageheader wordt niet doorgestuurd als caching is ingeschakeld. De header is vereist door FoxIDs om culturen te ondersteunen.
Voeg een Azure Front Door endpoint toe voor zowel de FoxIDs site als de FoxIDs Control site. Beperk toegang door de X-FoxIDs-Secret HTTP header te vereisen.
Schakel Session affinity uit en configureer optioneel WAF policies.
Cloudflare
Cloudflare kan worden geconfigureerd als reverse proxy. Maar Cloudflare vereist een Enterprise plan om domeinen (host headers) te herschrijven. Beperk toegang door de X-FoxIDs-Secret HTTP header te vereisen.
Azure Application Gateway
Azure Application Gateway kan alle domeinen herschrijven als dit is geconfigureerd.
De X-FoxIDs-Secret HTTP header kan optioneel worden toegevoegd om toegang te beperken (aanbevolen afhankelijk van de infrastructuur).
Optioneel een rewrite rule configureren om zowel een secret te vereisen als een secret te sturen in een X-FoxIDs-Secret HTTP header. U kunt een X-FoxIDs-Secret HTTP header vereisen als u een reverse proxy vóór de Azure Application Gateway heeft.
Als u een secret vereist, voeg dan een aangepaste HTTPS health probe toe met de X-FoxIDs-Secret query parameter /?x-foxids-secret=xxx en de secret.
IIS ARR Proxy
Internet Information Services (IIS) Application Request Routing (ARR) Proxy vereist een Windows server. ARR Proxy herschrijft domeinen met een rewrite rule.
De X-FoxIDs-Secret HTTP header kan optioneel worden toegevoegd om toegang te beperken (aanbevolen afhankelijk van de infrastructuur).
Er kan een accepteer-alle-externe-domeinen rule worden geconfigureerd. Dit voorbeeld is een globale rule, rules kunnen ook aan websites worden toegevoegd.
Optioneel zowel vereisen (secret1) als sturen (secret2) in een X-FoxIDs-Secret HTTP header. U kunt een X-FoxIDs-Secret HTTP header vereisen als u een reverse proxy vóór de ARR Proxy heeft.
<globalRules>
<rule name="my-rule-name" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions>
<add input="{HTTP_X-FoxIDs-Secret}" pattern="... secret1 ..." ignoreCase="false" />
</conditions>
<action type="Rewrite" url="https://my-foxids-installation.com/{R:1}" />
<serverVariables>
<set name="HTTP_X-ORIGINAL-HOST" value="{HTTP_HOST}" />
<set name="HTTP_X-FoxIDs-Secret" value="... secret2 ..." />
</serverVariables>
</rule>
</globalRules>
HTTP headers lezen
De FoxIDs site ondersteunt het lezen van het doorgestuurde client IP adres in de volgende HTTP headers in volgorde van prioriteit:
CF-Connecting-IPX-Azure-ClientIPX-Forwarded-For
De FoxIDs site ondersteunt het lezen van het custom domain (host name) uit de reverse proxy in de volgende HTTP headers in volgorde van prioriteit:
X-ORIGINAL-HOSTX-Forwarded-Host
De host header wordt alleen gelezen als toegang is beperkt met de
X-FoxIDs-SecretHTTP header of als de instellingSettings__TrustProxyHeadersis ingesteld optrue.
De FoxIDs site en FoxIDs Control site ondersteunen het lezen van het HTTP/HTTPS schema als de instelling Settings__TrustProxySchemeHeader is ingesteld op true. In de volgende HTTP headers in volgorde van prioriteit:
X-Forwarded-SchemeX-Forwarded-Proto
Toegang beperken
Zowel de FoxIDs site als de FoxIDs Control site kunnen toegang beperken op basis van de X-FoxIDs-Secret HTTP header.
De toegangsbeperking wordt geactiveerd door de instelling Settings__ProxySecret met de secret toe te voegen.