Sdílet prostřednictvím

Správa uživatelských dat v Azure Active Directory B2C

  • Článek

Tento článek popisuje, jak můžete spravovat uživatelská data v Azure Active Directory B2C (Azure AD B2C) pomocí operací poskytovaných Graph API Microsoftu. Správa uživatelských dat zahrnuje odstranění nebo export dat z protokolů auditu.

Poznámka

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a lze ho použít k podpoře vašich povinností vyplývajících z GDPR. Obecné informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Odstranění uživatelských dat

Uživatelská data se ukládají v adresáři Azure AD B2C a v protokolech auditu. Všechna data auditu uživatelů se uchovávají po dobu 7 dnů v Azure AD B2C. Pokud chcete odstranit data uživatelů během této 7denní lhůty, můžete použít operaci Odstranit uživatele . Operace DELETE se vyžaduje pro každého tenanta Azure AD B2C, kde se můžou nacházet data.

Každému uživateli v Azure AD B2C je přiřazeno ID objektu. ID objektu poskytuje jednoznačný identifikátor, který můžete použít k odstranění uživatelských dat v Azure AD B2C. V závislosti na vaší architektuře může být ID objektu užitečným identifikátorem korelace napříč dalšími službami, jako jsou finanční databáze, marketing a databáze správy vztahů se zákazníky.

Nejpřesnějším způsobem, jak získat ID objektu pro uživatele, je získat ho v rámci cesty ověřování pomocí Azure AD B2C. Pokud obdržíte platnou žádost o data od uživatele pomocí jiných metod, může být k vyhledání uživatele a poznamenejte si ID přidruženého objektu nutný offline proces, například vyhledávání agentem podpory zákazníkům.

Následující příklad ukazuje možný tok odstranění dat:

  1. Uživatel se přihlásí a vybere Odstranit moje data.
  2. Aplikace nabízí možnost odstranit data v části správy aplikace.
  3. Aplikace vynutí ověřování Azure AD B2C. Azure AD B2C poskytuje token s ID objektu uživatele zpět do aplikace.
  4. Token přijme aplikace a ID objektu se použije k odstranění uživatelských dat prostřednictvím volání Graph API Microsoftu. Microsoft Graph API odstraní data uživatele a vrátí stavový kód 200 OK.
  5. Aplikace orchestruje odstranění uživatelských dat v jiných organizačních systémech podle potřeby pomocí ID objektu nebo jiných identifikátorů.
  6. Aplikace potvrdí odstranění dat a poskytne uživateli další kroky.

Export zákaznických dat

Proces exportu zákaznických dat z Azure AD B2C se podobá procesu odstranění.

Azure AD uživatelská data B2C jsou omezena na:

  • Data uložená v id Microsoft Entra: Data na cestě uživatele ověřování Azure AD B2C můžete načíst pomocí ID objektu nebo libovolného přihlašovacího jména, jako je e-mailová adresa nebo uživatelské jméno.
  • Sestava událostí auditu specifických pro uživatele: Data můžete indexovat pomocí ID objektu.

V následujícím příkladu toku dat exportu může kroky, které jsou popsány jako prováděné aplikací, provést také back-endový proces nebo uživatel s rolí správce v adresáři:

  1. Uživatel se přihlásí k aplikaci. Azure AD B2C v případě potřeby vynucuje ověřování s vícefaktorovým ověřováním Microsoft Entra.
  2. Aplikace používá přihlašovací údaje uživatele k volání operace Microsoft Graph API k načtení atributů uživatele. Microsoft Graph API poskytuje data atributů ve formátu JSON. V závislosti na schématu můžete nastavit obsah tokenu ID tak, aby zahrnoval všechny osobní údaje o uživateli.
  3. Aplikace načte aktivitu auditu uživatele. Microsoft Graph API poskytuje aplikaci data událostí.
  4. Aplikace agreguje data a zpřístupní je uživateli.

Další kroky

Informace o tom, jak spravovat přístup uživatelů k aplikaci, najdete v tématu Správa přístupu uživatelů.