Planes de implementación de Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) es una solución de administración de identidad y acceso que puede facilitar la integración con la infraestructura. Use las instrucciones siguientes para ayudar a comprender los requisitos y el cumplimiento a lo largo de una implementación de Azure AD B2C.

Planeamiento de una implementación de Azure AD B2C

Requisitos

• Evaluar el motivo principal para desactivar los sistemas
  • Consultar ¿Qué es Azure Active Directory B2C?
• Para una nueva aplicación, planee el diseño del sistema de Administración de acceso a identidades del cliente (CIAM)
  • Consultar Planeamiento y diseño
• Identificar las ubicaciones del cliente y crear un inquilino en el centro de datos correspondiente
  • Consultar Tutorial: Creación de un inquilino de Azure Active Directory B2C
• Confirmar los tipos de aplicación y las tecnologías admitidas:
  • Introducción a la Biblioteca de autenticación de Microsoft (MSAL)
  • Desarrollo con lenguajes, marcos, bases de datos y herramientas de código abierto en Azure.
  • Para los servicios back-end, use el flujo de credenciales de cliente
• Para migrar desde un proveedor de identidades (IdP):
  • Migración de conexión directa
  • Vaya a user-migration
• Seleccionar protocolos
  • Si usa Kerberos, Microsoft Windows NT LAN Manager (NTLM) y Web Services Federation (WS-Fed), consulte el vídeo Migración de aplicaciones e identidades a Azure AD B2C.

Después de la migración, las aplicaciones pueden admitir protocolos de identidad modernos, como Open Authorization (OAuth) 2.0 y OpenID Connect (OIDC).

Partes interesadas

El éxito del proyecto tecnológico depende de la administración de expectativas, resultados y responsabilidades.

• Identificar el arquitecto de aplicaciones, el administrador de programas técnicos y el propietario
• Crear una lista de distribución (DL) para comunicarse con la cuenta de Microsoft o los equipos de ingeniería
  • Formular preguntas, obtener respuestas y recibir notificaciones
• Identificar un asociado o recurso fuera de la organización para ofrecerle soporte técnico

Más información: Inclusión de la parte interesada correcta

Comunicaciones

Comuníquese de forma proactiva y periódica con los usuarios sobre los cambios pendientes y actuales. Infórmelos sobre cómo cambia la experiencia, cuándo cambia, y proporcione un contacto para obtener soporte técnico.

Escalas de tiempo

Ayude a establecer expectativas realistas y a hacer planes de contingencia para cumplir los hitos clave:

• Fecha del piloto
• Fecha de lanzamiento
• Fechas que afectan a la entrega
• Dependencias

Realización de una implementación de Azure AD B2C

• Implementación de aplicaciones e identidades de usuario: implementación de aplicaciones cliente y migración de identidades de usuario
• Incorporación y entregas de aplicaciones cliente: incorporación de la aplicación cliente y prueba de la solución
• Seguridad: mejora de la seguridad de la solución de identidad
• Cumplimiento: abordar los requisitos normativos
• Experiencia del usuario: habilitación de un servicio fácil de usar

Implementación de la autenticación y la autorización

• Para que las aplicaciones interactúen con Azure AD B2C, regístrelas en un inquilino que usted administre
  • Consultar Tutorial: Creación de un inquilino de Azure Active Directory B2C
• Para la autorización, use los recorridos de usuario de Identity Experience Framework (IEF) de ejemplo
  • Consultar Azure Active Directory B2C: recorridos personalizados del usuario de CIAM
• Usar el control basado en directivas para entornos nativos en la nube
  • Vaya a openpolicyagent.org para obtener información sobre Open Policy Agent (OPA)

Obtenga más información con el archivo PDF de Microsoft Identity, Obtener experiencia con Azure AD B2C, un curso para desarrolladores.

Lista de comprobación de roles, permisos, delegación y llamadas

• Identificar los roles que acceden a la aplicación
• Definir cómo se administran los permisos y derechos del sistema en la actualidad, y en el futuro
• Confirmar que tiene un almacén de permisos y si hay permisos para agregar al directorio
• Definir cómo administrar la administración delegada
  • Por ejemplo, la administración de clientes de sus clientes
• Comprobar que la aplicación llama a un administrador de API (APIM)
  • Es posible que sea necesario llamar desde el IdP antes de que la aplicación emita un token

Implementación de aplicaciones e identidades de usuario

Los proyectos de Azure AD B2C comienzan con una o más aplicaciones cliente.

• La nueva experiencia Registros de aplicaciones para Azure Active Directory B2C
  • Consultar Ejemplos de código de Azure Active Directory B2C para la implementación
• Configurar el recorrido del usuario en función de los flujos de usuario personalizados
  • Comparación de las directivas personalizadas y los flujos de usuario
  • Incorporación de un proveedor de identidades en su inquilino de Azure Active Directory B2C
  • Migrar usuarios a Azure AD B2C
  • Azure Active Directory B2C: recorridos del usuario de CIAM personalizados para escenarios avanzados

Lista de comprobación de implementación de aplicaciones

• Aplicaciones incluidas en la implementación de CIAM
• Aplicaciones en uso
  • Por ejemplo, aplicaciones web, API, aplicaciones web de página única (SPA) o aplicaciones móviles nativas
• Autenticación en uso:
  • Por ejemplo, los formularios federados con el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) o federados con OIDC
  • Si es OIDC, compruebe el tipo de respuesta: código o id_token
• Determinar dónde se hospedan las aplicaciones front-end y back-end: en entorno local, en la nube o en la nube híbrida
• Confirmar las plataformas o lenguajes en uso:
  • Por ejemplo, ASP.NET, Java y Node.js
  • Consultar Inicio rápido: Configuración del inicio de sesión en una aplicación ASP.NET con Azure Active Directory B2C
• Comprobar dónde se almacenan los atributos de usuario
  • Por ejemplo, el protocolo ligero de acceso a directorios (LDAP) o las bases de datos

Lista de comprobación de implementación de la identidad de los usuarios

• Confirmar el número de usuarios que acceden a las aplicaciones
• Determinar los tipos de IdP necesarios:
  • Por ejemplo, Facebook, cuenta local y Servicios de federación de Active Directory (AD FS)
  • Consultar Servicios de federación de Active Directory (AD FS)
• Esbozar el esquema de notificación que se requiere de la aplicación, Azure AD B2C y los IdP, si procede
  • Consultar ClaimsSchema
• Determinar la información que se va a recopilar durante el inicio de sesión y el registro
  • Configuración de un flujo de registro e inicio de sesión en Azure Active Directory B2C

Incorporación y entregas de aplicaciones cliente

Usar la siguiente lista de comprobación para incorporar una aplicación

Área	Descripción
Grupo de usuarios de destino de la aplicación	Seleccione entre los clientes finales, los clientes empresariales o un servicio digital. Determine una necesidad para el inicio de sesión de empleado.
Valor empresarial de la aplicación	Comprenda la necesidad empresarial o el objetivo para determinar la mejor solución de Azure AD B2C e integración con otras aplicaciones cliente.
Sus grupos de identidades	Identidades de clúster en grupos con requisitos, como negocio a consumidor (B2C), negocio a negocio (B2B) negocio a empleado (B2E) y negocio a máquina (B2M) para cuentas de servicio e inicio de sesión de dispositivos IoT.
Proveedor de identidades (IdP)	Consulte Seleccione un proveedor de identidad. Por ejemplo, para una aplicación móvil de cliente a cliente (C2C) use un proceso de inicio de sesión sencillo. B2C con servicios digitales tiene requisitos de cumplimiento. Considere la posibilidad de iniciar sesión por correo electrónico.
Restricciones normativas	Determine la necesidad de perfiles remotos o directivas de privacidad.
Flujo de inicio de sesión y registro	Confirme la verificación por correo electrónico o la verificación por correo electrónico durante el registro. Para ver los procesos de check-out, consulte Cómo funciona: autenticación multifactor de Microsoft Entra. Consulte el vídeo Migración de usuarios de Azure AD B2C mediante Microsoft Graph API.
Protocolo de aplicación y autenticación	Implemente aplicaciones cliente, como aplicación web, aplicación de página única (SPA) o nativa. Protocolos de autenticación para la aplicación cliente y Azure AD B2C: OAuth, OIDC y SAML. Vea el vídeo Protección de API web con Microsoft Entra ID.
Migración de usuarios	Confirme si va a migrar usuarios a Azure AD B2C: migración Just-In-Time (JIT) e importación/exportación masiva. Vea el vídeo Estrategias de migración de usuarios de Azure AD B2C.

Use la siguiente lista de comprobación para la entrega.

Área	Descripción
Información de protocolos	Recopile la ruta de acceso base, las directivas y la dirección URL de metadatos de ambas variantes. Especifique atributos como inicio de sesión de muestra, id. de aplicación cliente, secretos y redireccionamientos.
Ejemplos de aplicación	Consulte Ejemplos de código de Azure Active Directory B2C.
Pruebas de penetración	Informe al equipo de operaciones sobre las pruebas de lápiz y, a continuación, pruebe los flujos de usuario, incluida la implementación de OAuth. Consulte Pruebas de penetración y Reglas de compromiso de pruebas de penetración.
Pruebas unitarias	Prueba unitaria y generación de tokens. Consulte Plataforma de identidad de Microsoft y credenciales de contraseña de propietario de recursos de OAuth 2.0. Si alcanza el límite de tokens de Azure AD B2C, consulte Azure Active Directory B2C: Presentación de solicitudes de soporte técnico. Reutilice los tokens para reducir la investigación en la infraestructura. Configuración del flujo de credenciales de contraseña del propietario del recurso en Azure Active Directory B2C. No debe usar el flujo ROPC para autenticar a los usuarios en las aplicaciones.
Pruebas de carga	Obtenga información sobre las Restricciones y límites del servicio Azure Active Directory B2C. Calcule las autenticaciones esperadas y los inicios de sesión de usuario al mes. Evalúe las duraciones de tráfico de carga alta y las razones empresariales: vacaciones, migración y eventos. Determine las tasas máximas esperadas para el registro, el tráfico y la distribución geográfica, por ejemplo, por segundo.

Seguridad

Use la siguiente lista de comprobación para mejorar la seguridad de las aplicaciones.

• Método de autenticación, como la autenticación multifactor:
  • Se recomienda la autenticación multifactor para los usuarios que desencadenen transacciones de alto valor u otros eventos de riesgo. Por ejemplo, procesos bancarios, financieros y de extracción del repositorio.
  • Vea ¿Qué métodos de autenticación y comprobación están disponibles en Microsoft Entra ID?
• Confirmar el uso de mecanismos antibot
• Evaluar el riesgo de intentos de crear una cuenta o un inicio de sesión fraudulentos
  • Consultar Tutorial: Configuración de Microsoft Dynamics 365 Fraud Protection con Azure Active Directory B2C
• Confirmar las posturas condicionales necesarias como parte del inicio de sesión o registro

Con Protección de id. de Microsoft Entra y el acceso condicional, puede hacer lo siguiente:

• El perímetro de seguridad moderno ahora se extiende más allá de la red de una organización. El perímetro incluye tanto la identidad del usuario como la del dispositivo.
  • Consulte ¿Qué es el acceso condicional?
• Mejora de la seguridad de Azure AD B2C con Protección de id. de Microsoft Entra
  • Consulte Identity Protection y acceso condicional para Azure AD B2C.

Cumplimiento normativo

Para ayudar a cumplir los requisitos normativos y mejorar la seguridad del sistema back-end, puede usar redes virtuales (VNet), restricciones de IP, Web Application Firewall (WAF), etc. Tenga en cuenta los siguientes requisitos:

• Sus requisitos de cumplimiento normativo
  • Por ejemplo, Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS)
  • Vaya a pcisecuritystandards.org para obtener más información sobre el Consejo de Estándares de Seguridad de PCI (PCI Security Standards Council)
• Almacenamiento de datos en un almacén de base de datos independiente
  • Determinar si esta información no se puede escribir en el directorio

Experiencia del usuario

Use la siguiente lista de comprobación para ayudar a definir los requisitos de la experiencia del usuario.

• Identificar las integraciones para ampliar las funcionalidades de CIAM y crear experiencias de usuario final sin problemas
  • Socios proveedores de software independientes (ISV) de Azure Active Directory B2C
• Usar capturas de pantalla e historias de usuario para mostrar la experiencia del usuario final de la aplicación
  • Por ejemplo, capturas de pantalla de inicio de sesión, registro, registro e inicio de sesión (SUSI), edición de perfiles y el restablecimiento de contraseña
• Buscar sugerencias pasadas mediante parámetros de cadena de consulta en la solución de CIAM
• Para una personalización de experiencia del usuario alta, considerar la posibilidad de usar un desarrollador front-end
• En Azure AD B2C, puede personalizar HTML y CSS
  • Consultar Directrices para usar JavaScript
• Implementar una experiencia insertada mediante la compatibilidad con iframe:
  • Consultar Experiencia de registro o inicio de sesión insertada
  • En el caso de una aplicación de página única, use una segunda página HTML de inicio de sesión que se cargue en el elemento <iframe>

Supervisión, auditoría y registro

Use la siguiente lista de comprobación para la supervisión, la auditoría y el registro.

• Supervisión
  • Supervisión de Azure AD B2C con Azure Monitor
  • Vea el vídeo Supervisión y generación de informes en Azure AD B2C con Azure Monitor.
• Auditoría y registro
  • Acceso a los registros de auditoría de Azure AD B2C

Recursos

• Registro de una aplicación de Microsoft Graph
• Administrar Azure AD B2C con Microsoft Graph
• Implementar directivas personalizadas con Azure Pipelines
• Administración de las directivas personalizadas de Azure AD B2C con Azure PowerShell

Pasos siguientes

Recomendaciones y procedimientos recomendados para Azure Active Directory B2C