Globální architektura identit Azure Active Directory B2C

Azure Active Directory B2C je řešení správy přístupu k identitám zákazníků (CIAM) schopné podporovat miliony uživatelů a miliardy ověřování za den. Stará se o škálování a bezpečnost ověřovací platformy, monitorování a automatické zpracování hrozeb, jako jsou útoky s cílem útoku dos, útoku na útok hrubou silou nebo útoku útoku hrubou silou.

Azure Active Directory B2C (Azure AD B2C) je samostatná služba než Microsoft Entra ID. Je založený na stejné technologii jako id Microsoft Entra, ale pro jiný účel. Umožňuje firmám vytvářet aplikace pro zákazníky a pak umožňuje samoobslužnou registraci k aplikacím.

Azure AD B2C je globálně distribuovaná služba, která se skládá z několika komponent:

• Directory

• Registrace aplikací

• Toky uživatelů a vlastní zásady

• Možnosti přihlášení

• Klíče

Při vytváření řešení Azure AD B2C musíte zadat umístění pro hostování služby. Toto umístění se týká pouze oblasti, ve které budou uložena data profilu uživatele, zatímco zbytek služby, která zpracovává vaše přihlášení, běží globálně.

Tenanta Azure AD B2C obvykle nasadíte v oblasti, která je nejblíže vaší uživatelské základně. To usnadňuje dodržování zákonů o rezidenci dat, protože profil uživatele se replikuje pouze ve vybrané oblasti. To také poskytuje nejlepší výkon při přihlašování, protože latence sítě jsou optimalizované pro úložiště adresářů.

Pokud váš adresář Azure AD B2C vyžaduje obsluhu uživatelů po celém světě, regionální struktura představuje výzvu. Musíte určit, ve kterém umístění se má vytvořit tenant Azure AD B2C. Všichni uživatelé mimo vybranou oblast nemusí být v souladu s požadavky na rezidenci dat a při ověřování svých přihlašovacích údajů nebo čtení dat profilu uživatele můžou také zaznamenat zvýšenou latenci.

Představte si například aplikaci, která podporuje uživatele v Austrálii a Severní Amerika a Azure AD adresář B2C se vytvoří v oblasti Severní Amerika. Uživatelé, kteří se přihlásí z Austrálie, můžou mít delší dobu zpracování, než dokončí ověřování.

Pokud chcete lépe splnit požadavky na rezidenci dat a zmírnit problémy s výkonem, musíte nasadit několik tenantů Azure AD B2C. Umístěním tenanta do každé oblasti, kde vaše firma působí, se operace do adresáře optimalizují z hlediska latence. Tím ale řešení vytvoří další režijní náklady pro konfiguraci, správu a ochranu těchto citlivých prostředků tenanta v každé oblasti. Mezi další režijní náklady patří:

• Správa tenanta

• Izolace tenanta vede k prostředí koncového uživatele, které není globální.

• Fakturace

• Procesy CI/CD pro správu zásad, registrace aplikací nebo klíčů

Tento dokument navrhuje architektury s Azure AD B2C, které nejlépe vyhovují řešením pro zákazníky, kteří obsluhují uživatele po celém světě. Řešení splňují následující požadavky:

• Uživatelé můžou udržovat stejnou sadu přihlašovacích údajů bez ohledu na to, odkud na světě přistupují k aplikacím.

• Konzistentní výkon a latence bez ohledu na to, odkud se uživatelé ověřují.

• Usnadněte zákazníkům doručování procesů, architektur nebo sad SDK vývojářským týmům s minimální potřebou konfigurace.

• Profily uživatelů je možné udržovat, když uživatelé cestují po celém světě. Tím se v analýzách vygenerovaných interakcemi uživatelů v rámci jakékoli služby vytvoří větší hodnota.

• Zákaznická uživatelská data jsou uložená v místních úložištích dat.

Níže jsou uvedené dva přístupy, které je potřeba zvážit při implementaci platformy Identity s využitím tenantů Azure AD B2C pro globálně provozní obchodní model.

• První přístup používá geografické oblasti, protože hranice a aplikace se konfigurují speciálně pro tuto oblast.

• Druhý přístup má globální hranici pro aplikace a používá další Azure AD tenanta B2C k orchestraci interakce mezi regionálními tenanty.

Orchestrace regionálního tenanta

V tomto modelu jsou aplikace hostované pro jednotlivé oblasti nebo mají konfiguraci pro připojení k místnímu tenantovi. Aplikace odesílají uživatele přímo do tenanta specifického pro danou oblast. Komunikace mezi tenanty se používá k provádění ověřování mezi tenanty nebo aktualizací profilů mezi tenanty, když uživatel mohl cestovat do jiné oblasti.

Orchestrace trychtýřových tenantů

V tomto modelu tenant Azure AD B2C přepne uživatele na tenanty Azure AD B2C. Trychtýřový tenant funguje jako orchestrátor přesměrování na jiné tenanty Azure AD B2C. To je řešeno globálně distribuovanou komponentou služby Azure AD B2C, takže na výkon nemá vliv. Toto přesměrování se provádí pomocí federací zprostředkovatele identity OpenId Connect.

Komunikace mezi tenanty se používá k ověřování mezi tenanty nebo k aktualizacím profilů mezi tenanty. Trychtýřový tenant poskytuje aplikacím jeden koncový bod pro komunikaci.

Architektura, podle které se rozhodnete modelovat řešení, vyžaduje volby na základě kompromisů mezi dvěma popsanými modely. Například trychtýřový model umožňuje udržovat jednu instanci aplikací. Následující část popisuje možnosti, kritéria výběru a výkon, které můžou ovlivnit zvolený návrh.

Možnosti a důležité informace

Následující tabulka popisuje možnosti poskytované pomocí regionálního a trychtýřového návrhu:

Schopnost	Na základě oblastí	Trychtýřové
Podporuje registraci a přihlášení k místnímu účtu.
Podporuje registraci a přihlášení federovaného účtu.
Podporuje ověřování místních účtů pro uživatele, kteří se přihlašují mimo svou registrovanou oblast.
Podporuje ověřování federovaných účtů pro uživatele, kteří se přihlašují mimo svou registrovanou oblast pomocí vyhledávání založeného na rozhraní API pro více tenantů.
Brání registraci z více různých oblastí.
Aplikace v každé oblasti mají sadu koncových bodů pro připojení
Všechny aplikace se připojují k jedné sadě koncových bodů bez ohledu na to, ve které oblasti jsou hostované.
Podporuje jemně odstupňované zásady podmíněného přístupu.
Optimalizováno pro náklady.

Na základě možností je třeba vzít v úvahu následující aspekty:

• Při použití přístupu založeného na oblastech je hlavním aspektem to, že tento přístup vyžaduje, aby aplikace zahrnující více oblastí měly odpovídající konfigurace pro každý oblastní Azure AD tenanta B2C.

• Při použití přístupu založeného na trychtýře

  • Jsou tu náklady na dvojité tokeny.

  • Zavedli jsme další přesměrování HTTP.

  • V mnoha tenantech se vyžadují vlastní domény.

  • Podmíněný přístup se používá na úrovni tenanta, nikoli na úrovni aplikace.

  • Jednotné odhlášení prostřednictvím několika zprostředkovatele identity může představovat problémy

Zvolený přístup bude založený na počtu hostovaných aplikací a konkrétních požadavcích na přístup k aplikacím.

Výkon

Výhodou výkonu při použití více tenantů v konfiguraci založené na regionální nebo trychtýřové konfiguraci bude zlepšení oproti používání jednoho tenanta Azure AD B2C pro globálně provozované firmy.

Při použití přístupu založeného na trychtýře se trychtýřový tenant nachází v jedné konkrétní oblasti a slouží uživatelům globálně. Vzhledem k tomu, že operace trychtýřových tenantů využívá globální součást služby Azure AD B2C, udržuje konzistentní úroveň výkonu bez ohledu na to, odkud se uživatelé přihlašují.

Jak je znázorněno na výše uvedeném diagramu, Azure AD tenant B2C v přístupu založeném na trychtýřovém přístupu bude k přesměrování na regionální Azure AD tenanty B2C využívat pouze modul zásad. Komponenta modulu zásad Azure AD B2C je globálně distribuovaná. Proto trychtýř není z hlediska výkonu omezený bez ohledu na to, kde je Azure AD trychtýřového tenanta B2C zřízený. Ke ztrátě výkonu dochází kvůli dodatečnému přesměrování mezi trychtýřovými a regionálními tenanty v přístupu založeném na trychtýři.

Vzhledem k tomu, že v přístupu založeném na jednotlivých oblastech je každý uživatel směrován na nejlokalizovanější Azure AD B2C, je výkon konzistentní pro všechny uživatele, kteří se přihlašují.

Místní tenanti budou provádět volání adresářů do úložiště adresářů, což je jediná regionalizovaná komponenta v architektuře založené na trychtýřové i místní architektuře.

K další latenci dochází pouze v případě, že uživatel provedl ověřování v jiné oblasti, ze které se zaregistroval. Je to proto, že se budou provádět volání napříč oblastmi, aby se dostala do úložiště adresářů, kde se nachází jejich profil, aby se dokončilo ověřování.

Další kroky

• Azure AD ověření globální identity B2C konceptu konfigurace založené na oblasti

• Azure AD globální ověření identity B2C o konfiguraci založené na trychtýřové konfiguraci

• Vytvoření řešení globální identity s využitím trychtýřového přístupu

• Vytvoření globálního řešení identit s přístupem založeným na oblastech