Freigeben über

Azure Active Directory B2C-Bereitstellungspläne

  • Artikel

Azure Active Directory B2C (Azure AD B2C) ist eine Lösung für die Identitäts- und Zugriffsverwaltung, die die Integration in Ihre Infrastruktur vereinfachen kann. Im folgenden Leitfaden werden Anforderungen und Konformitätsaspekte für eine Azure AD B2C-Bereitstellung erläutert.

Planen einer Azure AD B2C-Bereitstellung

Anforderungen

Nach der Migration können Ihre Anwendungen moderne Identitätsprotokolle wie Open Authorization (OAuth) 2.0 und OpenID Connect (OIDC) unterstützen.

Projektbeteiligte

Der Erfolg eines Technologieprojekts hängt vom Umgang mit Erwartungen, Ergebnissen und Zuständigkeiten ab.

  • Identifizieren Sie den Anwendungsarchitekten, den technischen Programmleiter und den Besitzer.
  • Erstellen einer Verteilerliste für die Kommunikation mit dem Microsoft-Kontoteam oder dem Entwicklungsteam.
    • Stellen Sie Fragen, und erhalten Sie Antworten und Benachrichtigungen.
  • Identifizieren Sie einen Partner oder eine Ressource außerhalb Ihrer Organisation, der bzw. die Sie unterstützen kann.

Weitere Informationen finden Sie unter Azure Active Directory-Bereitstellungspläne.

Kommunikation

Kommunizieren Sie proaktiv und regelmäßig mit Ihren Benutzern über anstehende und aktuelle Änderungen. Informieren Sie sie darüber, wie und wann sich die Umgebung ändert, und geben Sie einen Supportkontakt an.

Zeitpläne

Tragen Sie dazu bei, realistische Erwartungen zu etablieren, und erstellen Sie Alternativpläne, um wichtige Meilensteine zu erreichen:

  • Pilotdatum
  • Startdatum
  • Daten, die sich auf die Bereitstellung auswirken
  • Abhängigkeiten

Implementieren einer Azure AD B2C-Bereitstellung

  • Bereitstellen von Anwendungen und Benutzeridentitäten: Stellen Sie die Clientanwendung bereit, und migrieren Sie Benutzeridentitäten.
  • Onboarding der Clientanwendung und Ziele: Führen Sie das Onboarding der Clientanwendung durch, und testen Sie die Lösung.
  • Sicherheit: Verbessern Sie die Sicherheit der Identitätslösung.
  • Compliance: Erfüllen Sie gesetzliche Anforderungen.
  • Benutzerfreundlichkeit: Ermöglichen Sie einen benutzerfreundlichen Dienst.

Bereitstellen von Authentifizierung und Autorisierung

Weitere Informationen finden Sie im Microsoft Identity-PDF Fachwissen in Azure AD B2C gewinnen: Ein Kurs für Entwickler.

Prüfliste für Personas, Berechtigungen, Delegierung und Aufrufe

  • Identifizieren Sie die Personas, die auf Ihre Anwendung zugreifen.
  • Definieren Sie die aktuelle und zukünftige Verwaltung von (System-)Berechtigungen.
  • Vergewissern Sie sich, dass Sie über einen Berechtigungsspeicher verfügen, und überprüfen Sie, ob dem Verzeichnis Berechtigungen hinzugefügt werden müssen.
  • Definieren Sie die Verwaltung der delegierten Administration.
    • Beispiel: Die Kundenverwaltung Ihrer Kunden
  • Vergewissern Sie sich, dass Ihre Anwendung einen API-Manager (APIM) aufruft.
    • Möglicherweise sind Aufrufe vom IdP erforderlich, bevor ein Token für die Anwendung ausgestellt wird.

Bereitstellen von Anwendungen und Benutzeridentitäten

Azure AD B2C-Projekte beginnen mit mindestens einer Clientanwendung.

Prüfliste für die Anwendungsbereitstellung

  • In der CIAM-Bereitstellung enthaltene Anwendungen
  • Verwendete Anwendungen
    • Beispielsweise Webanwendungen, APIs, Single-Page-Webanwendungen (SPAs) oder native mobile Anwendungen
  • Verwendete Authentifizierung:
    • Formulare, die z. B. mit SAML (Security Assertion Markup Language) oder OIDC verbunden sind
    • Überprüfen Sie bei Verwendung von OIDC den Antworttyp: „code“ oder „id_token“.
  • Bestimmen Sie, wo Front-End- und Back-End-Anwendungen gehostet werden: lokal, in der Cloud oder in einer Hybrid Cloud-Umgebung.
  • Überprüfen Sie die verwendeten Plattformen oder Programmiersprachen:
  • Überprüfen Sie, wo Benutzerattribute gespeichert werden.
    • Beispiele: Lightweight Directory Access Protocol (LDAP) oder Datenbanken

Prüfliste für die Bereitstellung von Benutzeridentitäten

Onboarding von Clientanwendungen und Ergebnisse

Verwenden Sie die folgende Prüfliste für das Onboarding einer Anwendung:

Bereich BESCHREIBUNG
Zielbenutzergruppe der Anwendung Wählen Sie zwischen Endkunden, Geschäftskunden und einem digitalen Dienst.
Ermitteln Sie, ob Mitarbeiteranmeldungen benötigt werden.
Geschäftlicher Nutzen der Anwendung Untersuchen Sie den geschäftlichen Bedarf oder das geschäftliche Ziel, um die beste Azure AD B2C-Lösung und -Integration in andere Clientanwendungen zu ermitteln.
Ihre Identitätsgruppen Fassen Sie Identitäten für IoT-Geräteanmeldungen und Dienstkonten in Gruppen mit Anforderungen wie B2C (Business-to-Consumer), B2B (Business-to-Business), B2E (Business-to-Employee) und B2M (Business-to-Machine) zusammen.
Identitätsanbieter (Identity Provider, IdP) Weitere Informationen finden Sie unter Auswählen eines Identitätsanbieters. Verwenden Sie beispielsweise für eine mobile C2C-App (Customer-to-Customer) einen einfachen Anmeldeprozess.
Bei B2C mit digitalen Diensten müssen Complianceanforderungen erfüllt werden.
Erwägen Sie eine Anmeldung per E-Mail-Adresse.
Gesetzliche Einschränkungen Ermitteln Sie, ob Remoteprofile oder Datenschutzrichtlinien erforderlich sind.
Anmelde- und Registrierungsflow Überprüfen Sie die E-Mail-Überprüfung oder die E-Mail-Überprüfung während der Registrierung.
Informationen zu Auscheckprozessen finden Sie unter Funktionsweise: Microsoft Entra mehrstufige Authentifizierung.
Sehen Sie sich das Video Azure AD B2C-Benutzermigration mithilfe der Microsoft Graph-API an.
Anwendungs- und Authentifizierungsprotokoll Implementieren Sie Clientanwendungen wie Webanwendungen, Single-Page-Webanwendungen (SPAs) oder native Anwendungen.
Authentifizierungsprotokolle für Clientanwendungen und Azure AD B2C: OAuth, OIDC und SAML.
Sehen Sie sich das Video Schützen von Web-APIs mit Microsoft Entra-ID an.
Benutzermigration Überprüfen Sie, ob Sie Benutzer zu Azure AD B2C migrieren: JIT-Migration (Just-In-Time) und Massenimport/-export.
Sehen Sie sich das Video Strategien für die Azure AD B2C-Benutzermigration an.

Verwenden Sie die folgende Prüfliste für die Bereitstellung:

Bereich BESCHREIBUNG
Protokollinformationen Erfassen Sie Basispfad, Richtlinien und Metadaten-URL beider Varianten.
Geben Sie Attribute wie Beispielanmeldung, Clientanwendungs-ID, Geheimnisse und Umleitungen an.
Anwendungsbeispiele Weitere Informationen finden Sie unter Azure Active Directory B2C-Codebeispiele.
Penetrationstests Informieren Sie Ihr Betriebsteam über Penetrationstests, und testen Sie dann Benutzerflows (einschließlich der OAuth-Implementierung).
Weitere Informationen finden Sie unter Penetrationstests sowie unter Einsatzregeln für Penetrationstests.
Komponententest Führen Sie Komponententests durch, und generieren Sie Token.
Weitere Informationen finden Sie unter Microsoft Identity Platform und OAuth 2.0-Kennwortanmeldeinformationen des Ressourcenbesitzers.
Sollte bei Ihnen der Grenzwert für Azure AD B2C-Token erreicht werden, lesen Sie Azure Active Directory B2C: Senden von Supportanfragen.
Verwenden Sie Token wieder, um Untersuchungen für Ihre Infrastruktur zu verringern.
Einrichten eines Flows für Kennwortanmeldeinformationen von Ressourcenbesitzern in Azure Active Directory B2C Sie sollten den ROPC-Fluss nicht verwenden, um Benutzer in Ihren Apps zu authentifizieren.
Auslastungstests Informieren Sie sich über Dienstlimits und -einschränkungen für Azure Active Directory B2C.
Berechnen Sie die erwarteten Authentifizierungen und Benutzeranmeldungen pro Monat.
Bewerten Sie die Dauer von Datenverkehr mit hoher Auslastung sowie geschäftliche Gründe: Feiertage, Migrationen und Veranstaltungen.
Bestimmen Sie erwartete Spitzenraten für Registrierungen, Datenverkehr und geografische Verteilung (beispielsweise pro Sekunde).

Sicherheit

Verwenden Sie die folgende Prüfliste, um die Anwendungssicherheit zu verbessern:

Bedingter Zugriff und Microsoft Entra ID Protection

  • Der moderne Sicherheitsperimeter geht jetzt über das Netzwerk einer Organisation hinaus. und schließt Benutzer- und Geräteidentitäten ein.
  • Verbessern der Sicherheit von Azure AD B2C mit Microsoft Entra ID Protection

Compliance

Um gesetzliche Anforderungen zu erfüllen und die Sicherheit des Back-End-Systems zu verbessern, können Sie unter anderem virtuelle Netzwerke (VNets), IP-Einschränkungen, Web Application Firewall (WAF) usw. verwenden. Berücksichtigen Sie folgende Anforderungen:

  • Die Anforderungen zur Einhaltung gesetzlicher Bestimmungen
    • Beispiel: PCI-DSS (Payment Card Industry Data Security Standard)
    • Weitere Informationen zum PCI Security Standards Council finden Sie auf „pcisecuritystandards.org“.
  • Datenspeicherung in einem separaten Datenbankspeicher
    • Ermitteln Sie, ob diese Informationen in das Verzeichnis geschrieben werden können.

Benutzerfreundlichkeit

Verwenden Sie die folgende Prüfliste, um die Anforderungen im Zusammenhang mit der Benutzerfreundlichkeit zu definieren:

  • Identifizieren Sie Integrationen, um die CIAM-Funktionen zu erweitern und nahtlose Endbenutzererfahrungen zu schaffen.
  • Verwenden Sie Screenshots und User Storys, um die Endbenutzererfahrung für die Anwendung zu veranschaulichen.
    • Beispielsweise Screenshots für Anmeldung, Registrierung, kombinierte Registrierung/Anmeldung (sign-up/sign-in, SUSI), Profilbearbeitung und Kennwortzurücksetzung
  • Suchen Sie mithilfe von Abfragezeichenfolgenparametern in Ihrer CIAM-Lösung nach übergebenen Hinweisen.
  • Verwenden Sie für eine übergeordnete Anpassung der Benutzererfahrung ggf. einen Front-End-Entwickler.
  • In Azure AD B2C können HTML und CSS angepasst werden.
  • Implementieren Sie eine eingebettete Umgebung unter Verwendung von iFrame-Unterstützung:

Überwachung, Überprüfung und Protokollierung

Verwenden Sie die folgende Prüfliste für die Überwachung, Überprüfung und Protokollierung:

Ressourcen

Nächste Schritte

Empfehlungen und bewährte Methoden für Azure Active Directory B2C