Resiliente Endbenutzerumgebung mit Azure AD B2C

Die Benutzerumgebung für die Registrierung und Anmeldung besteht aus den folgenden Elementen:

• Schnittstellen für die Benutzerinteraktion, z. B. CSS, HTML und JavaScript
• Benutzerabläufe und benutzerdefinierten Richtlinien, die Sie erstellen, z. B. Registrierung, Anmeldung und Profilbearbeitung
• Identitätsanbieter (IDPs) für Ihre Anwendung, z. B. Benutzername oder Kennwörter des lokalen Kontos, Microsoft Outlook, Facebook und Google

Benutzerablauf und benutzerdefinierte Richtlinien

Um Ihnen bei der Einrichtung der gängigsten Identitätsaufgaben zu helfen, stellt Azure AD B2C integrierte konfigurierbare Benutzerflows bereit. Sie können auch eigene benutzerdefinierte Richtlinien erstellen, um maximale Flexibilität zu erreichen. In komplexen Szenarien wird jedoch die Verwendung von benutzerdefinierten Richtlinien empfohlen.

Auswählen eines Benutzerablaufs oder einer benutzerdefinierten Richtlinie

Wählen Sie integrierte Benutzerabläufe aus, die Ihren geschäftlichen Anforderungen entsprechen. Microsoft testet die integrierten Abläufe, daher können Sie den Testaufwand für die Validierung der Funktion, Leistung oder Skalierung auf Richtlinienebene minimieren. Testen Sie trotzdem Ihre Anwendungen auf Funktionalität, Leistung und Skalierung.

Bei benutzerdefinierten Richtlinien müssen Sie auf Richtlinienebene Tests auf Funktion, Leistung oder Skalierung durchführen. Führen Sie auch Tests auf Anwendungsebene durch.

Weitere Informationen finden Sie unter dem Vergleich von Benutzerabläufen und benutzerdefinierten Richtlinien.

Auswählen mehrerer IDPs

Wenn Sie einen externen IDP wie Facebook verwenden, richten Sie einen Fallbackplan für den Fall ein, dass der externe IDP nicht verfügbar ist.

Einrichten mehrerer IDPs

Schließen Sie einen überprüften Identitätsanspruch in den Registrierungsprozess beim externen IDP ein, z. B. die Mobiltelefonnummer oder E-Mail-Adresse der Benutzenden. Committen Sie die überprüften Ansprüche an die zugrunde liegende Azure AD B2C-Verzeichnisinstanz. Wenn der externe IDP nicht verfügbar ist, können Sie ein Fallback auf den verifizierten Identitätsanspruch durchführen und auf die Telefonnummer als Authentifizierungsmethode zurückgreifen. Eine weitere Option besteht darin, den Benutzenden einen Einmal-Passcode (One-Time Passcode, OTP) für die Anmeldung zuzusenden.

Sie können alternative Authentifizierungspfade erstellen:

1. Konfigurieren Sie die Registrierungsrichtlinie so, dass sie die Registrierung über ein lokales Konto und externe IDPs zulässt.
2. Konfigurieren Sie eine Profilrichtlinie, um Benutzern zu ermöglichen, die andere Identität mit Ihrem Konto zu verknüpfen, nachdem sie sich angemeldet haben.
3. Benachrichtigen Sie die Benutzer und erlauben Sie ihnen, während eines Ausfalls zu einem alternativen IDP zu wechseln.

Verfügbarkeit der Multi-Faktor-Authentifizierung

Wenn Sie einen Telefondienst für die Multi-Faktor-Authentifizierung verwenden, sollten Sie einen alternativen Dienstanbieter in Betracht ziehen. Beim lokalen Telefondienstanbieter können Dienstunterbrechungen auftreten.

Auswählen einer alternativen Multi-Faktor-Authentifizierung

Der Azure AD B2C-Dienst verwendet einen telefonbasierten MFA-Anbieter, um zeitbasierte Einmal-Passcodes (OTPs) bereitzustellen. Dies erfolgt in Form eines Sprachanrufs und einer Textnachricht an die vorab registrierte Telefonnummer der Benutzenden.

Wenn Sie Benutzerabläufe verwenden, gibt es zwei Methoden, um Resilienz zu erzielen:

• Ändern der Konfiguration des Benutzerablaufs: Wechseln Sie bei Unterbrechungen der telefonbasierten OTP-Zustellung zur OTP-Zustellung per E-Mail. Stellen Sie den Benutzerablauf erneut bereit.

  

• Ändern von Anwendungen: Definieren Sie für Identitätsaufgaben, z. B. die Registrierung und Anmeldung, zwei Benutzerabläufe. Konfigurieren Sie den ersten für die Verwendung der telefonbasierten OTP-Zustellung und den zweiten für die OTP-Zustellung per E-Mail. Wechseln Sie während einer Unterbrechung bei der telefonbasierten OTP-Zustellung vom ersten Benutzerablauf zum zweiten, ohne etwas zu ändern.

Wenn Sie benutzerdefinierte Richtlinien verwenden, gibt es vier Methoden, Resilienz zu erzielen. Die Liste ist nach der Komplexität sortiert. Stellen Sie aktualisierte Richtlinien erneut bereit.

• Aktivieren der Benutzerauswahl von OTP-Zustellung per Telefon oder E-Mail: Machen Sie beide Optionen verfügbar, um Benutzenden die selbstständige Auswahl zu ermöglichen. Ändern Sie keine Richtlinien oder Anwendungen.

• Dynamischer Wechsel zwischen OTP-Zustellung per Telefon oder E-Mail: Erfassen Sie Telefon- und E-Mail-Daten bei der Registrierung. Definieren Sie eine benutzerdefinierte Richtlinie, um während einer Telefonunterbrechung bedingt zur OTP-Zustellung per E-Mail zu wechseln. Ändern Sie keine Richtlinien oder Anwendungen.

• Verwenden einer Authentifizierungs-App: Aktualisieren Sie eine benutzerdefinierte Richtlinie für die Verwendung einer Authentifizierungs-App. Wenn Ihre MFA einen Einmal-Passcode (OTP) einschließt, der per Telefon oder E-Mail zugestellt wird, stellen Sie benutzerdefinierte Richtlinien erneut bereit, und verwenden Sie eine Authentifizierungs-App.

  Hinweis

  Ihre Benutzenden müssen die Authenticator-Integration dann während der Registrierung konfigurieren.

• Sicherheitsfragen: Wenn keine der vorherigen Methoden anwendbar ist, verwenden Sie Sicherheitsfragen. Diese Fragen werden den Benutzenden während des Onboardings oder der Profilbearbeitung gestellt. Die Antworten werden in einer separaten Datenbank gespeichert. Diese Methode erfüllt zwar nicht die MFA-Anforderung von Etwas, das Sie besitzen (z. B. Telefon), bietet aber eine sekundäre Möglichkeit für Etwas, das Sie wissen.

Content Delivery Network

Content Delivery Networks (CDNs) funktionieren besser und sind günstiger als Blobspeicher zum Speichern der Benutzeroberfläche von benutzerdefinierten Benutzerabläufen. Der Inhalt der Webseite wird von einem geografisch verteilten Netzwerk von Servern mit Hochverfügbarkeit übermittelt.

Testen Sie regelmäßig die Verfügbarkeit und die Leistung des CDN bezüglich der Inhaltsverteilung durch ein End-to-End-Szenario und Auslastungstests. Bei Anstiegen aufgrund von Werbeaktionen oder an Feiertagen überprüfen Sie Ihre Schätzungen für Auslastungstests.

Nächste Schritte

• Resilienzressourcen für Azure AD B2C-Entwickler
  • Resiliente Schnittstellen mit externen Prozessen
  • Resilienz durch bewährte Entwicklermethoden
  • Resilienz durch Überwachung und Analyse
• Erzielen von Resilienz in der Authentifizierungsinfrastruktur
• Erhöhen der Resilienz bei Authentifizierung und Autorisierung in Anwendungen