Freigeben über

Tutorial: Konfigurieren von Haventec Authenticate mit Azure Active Directory B2C für die kennwortlose Multi-Faktor-Authentifizierung in einem Schritt

  • Artikel

Erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) in Haventec Authenticate integrieren, einer kennwortlosen Technologie, die Kennwörter, freigegebene Geheimnisse und Reibungen eliminiert.

Weitere Informationen finden Sie unter haventec.com: Haventec

Beschreibung des Szenarios

Die Integration von Authenticate umfasst die folgenden Komponenten:

  • Azure AD B2C – der Autorisierungsserver zum Überprüfen von Benutzeranmeldeinformationen
    • Er wird auch als Identitätsanbieter bezeichnet
  • Web- und mobile Anwendungen: OpenID Connect-Anwendungen (OIDC) für Mobilgeräte oder das Web, die durch Authenticate und Azure AD B2C geschützt werden
  • Haventec Authenticate-Dienst – externer IdP für den Azure AD B2C-Mandanten

Das folgende Diagramm veranschaulicht die Benutzerflows für Registrierung und Anmeldung in der Haventec Authenticate-Integration.

Diagramm der Benutzerflows für Registrierung und Anmeldung in der Haventec Authenticate-Integration.

  1. Der Benutzer wählt Anmeldung oder Registrierung aus und gibt einen Benutzernamen ein.
  2. Die Anwendung sendet die Benutzerattribute an Azure AD B2C zur Identitätsüberprüfung.
  3. Azure AD B2C sammelt Benutzerattribute und sendet sie an Haventec Authenticate.
  4. Für neue Benutzer sendet Authenticate eine Pushbenachrichtigung an das mobile Gerät des Benutzers. Authenticate kann E-Mails mit einem Einmalkennwort (One-Time Password, OTP) für die Geräteregistrierung senden.
  5. Der Benutzer antwortet und ihm wird der Zugriff gewährt oder verweigert. Neue kryptografische Schlüssel werden für eine zukünftige Sitzung an das Benutzergerät gepusht.

Erste Schritte mit Authenticate

Wechseln Sie zur haventec.com-Seite Demoversion von Haventec Authenticate abrufen. Geben Sie im Anforderungsformular für eine personalisierte Demo Ihr Interesse an einer Azure AD B2C-Integration bekannt. Eine E-Mail wird eintreffen, wenn die Demoumgebung bereit ist.

Integrieren von Authenticate mit Azure AD B2C

Verwenden Sie die folgenden Anweisungen, um Azure AD B2C vorzubereiten und mit Authenticate zu integrieren.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

Erstellen einer Webanwendungsregistrierung

Bevor Anwendungen mit Azure AD B2C interagieren können, müssen sie in einem von Ihnen verwalteten Mandanten registriert werden.

Siehe Tutorial: Registrieren einer Webanwendung in Azure Active Directory B2C

Einen neuen Identitätsanbieter in Azure AD B2C hinzufügen

Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit dem Azure AD B2C-Mandanten.

  1. Melden Sie sich beim Azure-Portal als globaler Administrator Ihres Azure AD B2C-Mandanten an.
  2. Wählen Sie im oberen Menü Verzeichnis + Abonnement aus.
  3. Wählen Sie das Verzeichnis mit dem Mandanten aus.
  4. Wählen Sie in der linken oberen Ecke im Azure-Portal die Option Alle Dienste aus.
  5. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
  6. Navigieren Sie zu Dashboard>Azure Active Directory B2C>Identitätsanbieter.
  7. Wählen Sie Neuer OpenID Connect-Anbieter aus.
  8. Wählen Sie Hinzufügen.

Konfigurieren eines Identitätsanbieters

So konfigurieren Sie einen Identitätsanbieter:

  1. Wählen Sie Identitätsanbietertyp>OpenID Connect aus.
  2. Geben Sie für Name den Wert Haventec oder einen anderen Namen ein.
  3. Verwenden Sie für Metadaten-URL den Wert https://iam.demo.haventec.com/auth/realms/*your\_realm\_name*/.well-known/openid-configuration.
  4. Geben Sie für Client-ID die Anwendungs-ID ein, die von der Haventec-Administratorbenutzeroberfläche aufgezeichnet wurde.
  5. Geben Sie für geheimer Clientschlüssel das Geheimnis der Anwendung ein, die von der Haventec-Administratorbenutzeroberfläche aufgezeichnet wurde.
  6. Wählen Sie für Bereich den Wert OpenID-E-Mail-Profil aus.
  7. Wählen Sie für Antworttyp den Wert Code aus.
  8. Wählen Sie für Antwortmodus den Wert forms_post aus.
  9. Lassen Sie Domänenhinweis leer.
  10. Klicken Sie auf OK.
  11. Wählen Sie Ansprüche dieses Identitätsanbieters zuordnen aus.
  12. Wählen Sie für Benutzer-ID den Wert Aus Abonnement aus.
  13. Wählen Sie für Anzeigename den Wert Aus Abonnement aus.
  14. Verwenden Sie für Vorname den Wert given_name.
  15. Verwenden Sie für Nachname den Wert family_name.
  16. Verwenden Sie für E-Mail den Wert Email.
  17. Wählen Sie Speichern aus.

Erstellen einer Benutzerflowrichtlinie

Für die folgenden Anweisungen wird Haventec als neuer OIDC-Identitätsanbieter in der Liste der B2C-Identitätsanbietern angezeigt.

  1. Wählen Sie auf dem Azure AD B2C-Mandanten unter Richtlinien die Option Benutzerflows aus.
  2. Wählen Sie die Option Neuer Benutzerflow aus.
  3. Klicken Sie auf Registrierung und Anmeldung>Version>Erstellen.
  4. Geben Sie einen Namen für die Richtlinie ein.
  5. Wählen Sie unter Identitätsanbieter den erstellten Haventec-Identitätsanbieter aus.
  6. Wählen Sie für Lokale Konten den Wert Keines aus. Die Auswahl deaktiviert die E-Mail- und Kennwortauthentifizierung.
  7. Wählen Sie Benutzerflow ausführen aus.
  8. Geben Sie die antwortende URL in das Formular ein, beispielsweise https://jwt.ms.
  9. Der Browser leitet zur Haventec-Anmeldeseite um.
  10. Der Benutzer wird aufgefordert, sich zu registrieren oder eine PIN einzugeben.
  11. Die Authentifizierungsherausforderung wird ausgeführt.
  12. Der Browser leitet zur antwortenden URL um.

Testen des Benutzerflows

  1. Wählen Sie auf dem Azure AD B2C-Mandanten unter Richtlinien die Option Benutzerflows aus.
  2. Wählen Sie den erstellten Benutzerflow aus.
  3. Wählen Sie Benutzerflow ausführen aus.
  4. Anwendung: Wählen Sie die registrierte App aus. Das Beispiel ist JWT.
  5. Als Antwort-URL wählen Sie die Umleitungs-URL aus.
  6. Wählen Sie Benutzerflow ausführen aus.
  7. Führen Sie einen Registrierungsflow aus, und erstellen Sie ein Konto.
  8. Haventec Authenticate wird aufgerufen.

Nächste Schritte