Compartir a través de

Creación de una solución de identidad global con un enfoque basado en embudos

  • Artículo

En este artículo se describen los escenarios del enfoque de diseño basado en embudos. Antes de empezar a diseñar, se recomienda revisar las funcionalidades y el rendimiento del enfoque de diseño basado en embudos y regiones. Este artículo le ayudará a determinar qué diseño puede ajustarse mejor a su organización.

Los diseños se encargan de:

  • Registrarse e iniciar sesión en la cuenta local
  • Registrarse e iniciar sesión en la cuenta federada
  • Autenticación de cuentas locales para los usuarios que inician sesión desde fuera de su región registrada, compatible con la autenticación basada en la API entre inquilinos
  • Autenticacar cuentas federadas para los usuarios que inician sesión desde fuera de su región registrada, que es compatible con la búsqueda basada en la API entre inquilinos
  • Impide el registro desde varias regiones diferentes
  • Las aplicaciones de cada región tienen un único punto de conexión para conectarse

Casos de uso de inicio de sesión en la cuenta local

Los siguientes casos de uso son típicos de un entorno global de Azure AD B2C. Los casos de uso de cuentas locales también cubren las cuentas donde viaja el usuario. Se proporciona un diagrama y los pasos del flujo de trabajo para cada caso de uso.

Registro de usuario local

En este caso de uso se muestra la manera en que un usuario de su país o región de origen realiza un registro con una cuenta local de Azure AD B2C.

Captura de pantalla que muestra el flujo de registro del usuario local.

  1. Un usuario de Europa, Oriente Medio y África (EMEA) intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C basado en criterios definidos mediante la federación de OpenId. Puede ser una búsqueda basada en Application clientId.

  3. El usuario intenta registrarse. En el proceso de registro se comprueba la tabla de búsqueda global para determinar si el usuario existe en cualquiera de los inquilinos regionales de Azure AD B2C.

  4. El usuario no se encuentra en la tabla de búsqueda global. La cuenta de usuario se escribe en Azure AD B2C y se crea un registro en la tabla de búsqueda global para realizar un seguimiento de la región en la que se registró el usuario.

  5. El inquilino regional devuelve un token al inquilino de embudo.

  6. El inquilino de embudo emite un token a la aplicación.

Intentos de registro de usuarios locales existentes

En este caso de uso se muestra cómo se bloquea a un usuario que vuelve a registrar el mismo correo electrónico desde su propio país o región, o bien desde una región diferente.

Captura de pantalla que muestra el flujo de registro de la cuenta existente.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en Application clientId.

  3. El usuario intenta registrarse. En el proceso de registro se comprueba la tabla de búsqueda global para determinar si el usuario existe en cualquiera de los inquilinos regionales de Azure AD B2C.

  4. El correo electrónico del usuario se encuentra en la tabla de búsqueda global, lo que indica que el usuario ha registrado este correo electrónico en la solución en algún momento anterior.

  5. Al usuario se le presenta un error, que indica que su cuenta existe.

Inicio de sesión de usuario local

En este caso de uso se muestra cómo un usuario de su país o región de origen realiza un inicio de sesión con una cuenta local de Azure AD B2C.

Captura de pantalla que muestra el flujo de inicio de sesión del usuario local.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario introduce las credenciales en el inquilino regional.

  4. El inquilino regional devuelve un token al inquilino de embudo.

  5. El inquilino de embudo emite un token a la aplicación.

Inicio de sesión del usuario que está de viaje

En este caso de uso se muestra la manera en que un usuario puede viajar entre regiones y mantener su perfil de usuario y credenciales almacenadas en el inquilino regional correspondiente a su registro.

Captura de pantalla que muestra el flujo de inicio de sesión del usuario que está de viaje.

  1. Un usuario de Norteamérica (NOAM) intenta iniciar sesión en myapp.fr mientras se encuentra de vacaciones en Francia. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario introduce las credenciales en el inquilino regional.

  4. El inquilino regional realiza una búsqueda en la tabla de búsqueda global, ya que el correo electrónico del usuario no se encontró en el directorio Azure AD B2C de EMEA.

  5. El correo electrónico del usuario se encuentra registrado en el inquilino de Azure AD B2C de NOAM.

  6. El inquilino de Azure AD B2C de EMEA realiza un flujo ROPC de Microsoft Entra contra el inquilino de AZURE AD B2C de NOAM para comprobar las credenciales.

    Nota:

    Esta llamada también capturará un token para que el usuario realice una llamada Graph API. El inquilino de Azure AD B2C de EMEA realiza una llamada Graph API al inquilino de Azure AD B2C de NOAM a fin de capturar el perfil de usuario. Esta llamada se autentica mediante el token de acceso a Graph API que se adquiere en el último paso.

  7. El inquilino regional devuelve un token al inquilino de embudo.

  8. El inquilino de embudo emite un token a la aplicación.

El usuario local ha olvidado la contraseña

En este caso de uso se muestra la manera en que un usuario puede restablecer la contraseña cuando se encuentra en su país o región de origen.

Captura de pantalla que muestra el flujo de contraseña olvidada del usuario local.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario llega al inquilino de Azure AD B2C de EMEA y selecciona contraseña olvidada. El usuario escribe y comprueba el correo electrónico.

  4. Se realiza una búsqueda de correo electrónico para determinar en qué inquilino regional se encuentra el usuario.

  5. El usuario proporciona una contraseña nueva.

  6. La contraseña nueva se escribe en el inquilino de Azure AD B2C de EMEA.

  7. El inquilino regional devuelve un token al inquilino de embudo.

  8. El inquilino de embudo emite un token a la aplicación.

El usuario que está de viaje ha olvidado la contraseña

En este caso de uso se muestra la manera en que un usuario puede restablecer la contraseña cuando viaja fuera de la región en la que registró la cuenta.

Captura de pantalla que muestra el flujo de contraseña olvidada del usuario que está de viaje.

  1. Un usuario de NOAM intenta iniciar sesión en myapp.fr, ya que se encuentra de vacaciones en Francia. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario llega al inquilino de Azure AD B2C de EMEA y selecciona contraseña olvidada. El usuario escribe y comprueba el correo electrónico.

  4. Se realiza una búsqueda de correo electrónico para determinar en qué inquilino regional se encuentra el usuario.

  5. El correo electrónico existe en el inquilino de Azure AD B2C de Noam. El usuario proporciona una contraseña nueva.

  6. La nueva contraseña se escribe en el inquilino de Azure AD B2C de NOAM a través de una llamada Graph API.

  7. El inquilino regional devuelve un token al inquilino de embudo.

  8. El inquilino de embudo emite un token a la aplicación.

Cambio de contraseña de usuario local

En este caso de uso se muestra la manera en que un usuario puede cambiar la contraseña después de haber iniciado sesión en la región en la que registró la cuenta.

Captura de pantalla que muestra el flujo de cambio de contraseña del usuario local.

  1. Un usuario de EMEA intenta cambiar la contraseña después de iniciar sesión en myapp.fr.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario llega al inquilino de Azure AD B2C de EMEA y el conjunto de cookies de inicio de sesión único (SSO) le permite cambiar la contraseña de inmediato.

  4. La nueva contraseña se escribe en la cuenta de usuario en el inquilino de Azure AD B2C de EMEA.

  5. El inquilino regional devuelve un token al inquilino de embudo.

  6. El inquilino de embudo emite un token a la aplicación.

Cambio de contraseña del usuario que está de viaje

En este caso de uso se muestra la manera en que un usuario puede cambiar la contraseña después de haber iniciado sesión lejos de la región en la que registró la cuenta.

Captura de pantalla que muestra el flujo para el cambio de contraseña del usuario que está de viaje.

  1. El usuario de NOAM intenta cambiar la contraseña después de iniciar sesión en myapp.fr.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario llega al inquilino de Azure AD B2C de EMEA y el conjunto de cookies de inicio de sesión único le permite cambiar la contraseña de inmediato.

  4. El correo electrónico del usuario se encuentra en el inquilino de NOAM después de comprobar la tabla de búsqueda global.

  5. La nueva contraseña se escribe en la cuenta de usuarios del inquilino de Azure AD B2C de NOAM mediante la llamada MS Graph API.

  6. El inquilino regional devuelve un token al inquilino de embudo.

  7. El inquilino de embudo emite un token a la aplicación.

Autenticaciones del proveedor de identidades federadas

Los siguientes casos de uso muestran ejemplos de uso del uso de identidades federadas para registrarse o iniciar sesión como un cliente de Azure AD B2C.

Registro del id. federado local

En este caso de uso se muestra la manera en que un usuario se registra en el servicio desde su región local mediante un id. federado.

Captura de pantalla que muestra el flujo para el registro del id. federado.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario opta por iniciar sesión con un proveedor de identidades federado (IdP).

  4. Realice una búsqueda en la tabla de búsqueda global.

    • Si la vinculación de la cuenta está en el ámbito: puede continuar si el identificador del IdP federado o el correo electrónico que devolvió el IdP federado no existen en la tabla de búsqueda.

    • Si la vinculación de la cuenta no está en el ámbito: puede continuar si el identificador del IdP que ha devuelto el IdP federado no existe en la tabla de búsqueda.

  5. Escriba la cuenta de usuarios en el inquilino de Azure AD B2C de EMEA.

  6. El inquilino regional devuelve un token al inquilino de embudo.

  7. El inquilino de embudo emite un token a la aplicación.

Inicio de sesión de usuario federado local

En este caso de uso se muestra la manera en que un usuario de su región local inicia sesión en el servicio mediante un id. federado.

Captura de pantalla que muestra el flujo para el inicio de sesión de usuarios federados locales.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario opta por iniciar sesión con un proveedor de identidades federado.

  4. Realice una búsqueda en la tabla de búsqueda global y confirme que el id. federado del usuario está registrado en EMEA.

  5. El inquilino regional devuelve un token al inquilino de embudo.

  6. El inquilino de embudo emite un token a la aplicación.

Inicio de sesión de usuario federado que está de viaje

En este caso de uso se muestra cómo un usuario puede iniciar sesión en su cuenta con un IdP federado, mientras se encuentra fuera de la región en la que se registró.

Captura de pantalla que muestra el flujo para el inicio de sesión de usuarios federados que están de viaje.

  1. Un usuario de NOAM intenta iniciar sesión en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario opta por iniciar sesión con un proveedor de identidades federado.

    Nota:

    Use el mismo id. de aplicación del registro de aplicaciones en el IdP social en todos los inquilinos regionales de Azure AD B2C. De esta manera se garantiza que el id. que devuelve el IdP social siempre es el mismo.

  4. Realice una búsqueda en la tabla de búsqueda global y determine que el id. federado del usuario está registrado en NOAM.

  5. Puede leer los datos de la cuenta del inquilino de Azure AD B2C de NOAM mediante MS Graph API.

  6. El inquilino regional devuelve un token al inquilino de embudo.

  7. El inquilino de embudo emite un token a la aplicación.

Vinculación de cuentas con criterios de coincidencia

En este caso de uso se muestra cómo los usuarios pueden realizar la vinculación de cuentas cuando se cumplen los criterios de coincidencia. Los criterios de coincidencia suelen ser las direcciones de correo electrónico de los usuarios. Cuando los criterios coincidentes de un inicio de sesión desde un nuevo proveedor de identidades tienen el mismo valor para una cuenta existente en Azure AD B2C, el proceso de vinculación de la cuenta puede comenzar.

Captura de pantalla que muestra el flujo para combinar una cuenta federada.

  1. El usuario de EMEA intenta registrarse en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario selecciona iniciar sesión con un proveedor de identidades federado o un IdP social.

  4. Se realiza una búsqueda en la tabla de búsqueda global del id. que ha devuelto el IdP federado.

  5. Cuando el id. no existe, pero el correo electrónico del IdP federado existe en Azure AD B2C de EMEA, se trata de un caso de uso de vinculación de cuentas.

  6. Puede leer usuario del directorio y determinar los métodos de autenticación que están habilitados en la cuenta. Muestre una pantalla para que el usuario inicie sesión con un método de autenticación existente en esta cuenta.

  7. Una vez que el usuario demuestre que posee la cuenta en Azure AD B2C, agregue el nuevo id. social a la cuenta existente y el id. social a la cuenta en la tabla de búsqueda global.

  8. El inquilino regional devuelve un token al inquilino de embudo.

  9. El inquilino de embudo emite un token a la aplicación.

Vinculación de cuentas de usuario que está de viaje con criterios de coincidencia

En este caso de uso se muestra la manera en que los usuarios que no son locales pueden realizar la vinculación de cuentas cuando se cumplen los criterios de coincidencia. Los criterios de coincidencia suelen ser las direcciones de correo electrónico de los usuarios. Cuando los criterios coincidentes de un inicio de sesión desde un nuevo proveedor de identidades tienen el mismo valor para una cuenta existente en Azure AD B2C, el proceso de vinculación de la cuenta puede comenzar.

Captura de pantalla que muestra el flujo para combinar usuarios federados que están de viaje.

  1. Un usuario de NOAM intenta iniciar sesión en myapp.fr. Si no se envía al usuario a su instancia de aplicación local, el administrador de tráfico aplica un redireccionamiento.

  2. El usuario llega al inquilino global de Azure AD B2C de embudo. Este inquilino está configurado para redirigir a un inquilino regional de Azure AD B2C en función de algunos criterios mediante la federación de OpenId. Puede ser una búsqueda basada en el ClientId de la aplicación.

  3. El usuario selecciona iniciar sesión con un proveedor de identidades federado o un IdP social.

  4. Se realiza una búsqueda en la tabla de búsqueda global del id. que ha devuelto el IdP federado.

  5. Cuando el id. no existe y el correo electrónico del IdP federado existe en otra región, se trata de un caso de uso de vinculación de cuentas de un usuario que está de viaje.

  6. Cree un vínculo de id_token_hint que afirme las notificaciones que recopilan actualmente los usuarios. Inicie un recorrido en el inquilino de Azure AD B2C de NOAM mediante la federación. El usuario demuestra que posee la cuenta a través del inquilino de Azure AD B2C de NOAM.

    Nota:

    Este método se usa para volver a utilizar la lógica de vinculación de cuentas existente en el inquilino principal y reducir las llamadas API externas a fin de manipular la colección de identidades. Puede encontrar un ejemplo de directiva personalizada que usa id_token_hint aquí.

  7. Una vez que el usuario demuestre que posee la cuenta en Azure AD B2C, agregue el nuevo id. social a la cuenta existente mediante una llamada Graph API al inquilino de Azure AD B2C de NOAM. Agregue el id. social a la cuenta en la tabla de búsqueda global.

  8. El inquilino regional devuelve un token al inquilino de embudo.

  9. El inquilino de embudo emite un token a la aplicación.

Pasos siguientes