Compartir a través de

Experiencia del usuario final resistente mediante Azure AD B2C

  • Artículo

La experiencia de registro e inicio de sesión del usuario final se compone de los siguientes elementos:

  • Interfaces con las que interactúa el usuario, como CSS, HTML y JavaScript
  • Flujos de usuario y directivas personalizadas que cree, por ejemplo, registro, inicio de sesión y edición de perfiles
  • Proveedores de identidades (IDP) para la aplicación, como el nombre de usuario o la contraseña de la cuenta local, Microsoft Outlook, Facebook y Google

Flujo de usuario y directiva personalizada

Para ayudarle a configurar las tareas de identidad más comunes, Azure AD B2C proporciona flujos de usuario configurables e integrados. También puede crear sus propias directivas personalizadas, para obtener la máxima flexibilidad. Sin embargo, se recomienda usar directivas personalizadas para abordar escenarios complejos.

Selección del flujo de usuario o directiva personalizada

Elija flujos de usuario integrados que cumplan los requisitos empresariales. Microsoft prueba flujos integrados, por lo que puede minimizar las pruebas para validar el rendimiento, el rendimiento o la escala de nivel de directiva. Sin embargo, pruebe las aplicaciones para la funcionalidad, el rendimiento y la escala.

Con directivas personalizadas asegurarse de que las pruebas de nivel de directiva sean funcionales, de rendimiento o de escala. Realizar pruebas en el nivel de aplicación.

Para más información, puede comparar flujos de usuario y directivas personalizadas.

Elección de varios IdPs

Al usar un IdP externo como Facebook, cree un plan de reserva si el IdP externo no está disponible.

Configuración de varios IdPs

En el proceso de registro de IdP externo, incluya una notificación de identidad comprobada, como el número de móvil del usuario o la dirección de correo electrónico. Confirme las notificaciones comprobadas en la instancia de directorio subyacente de Azure AD B2C. Si un IdP externo no está disponible, vuelva a la notificación de identidad comprobada y vuelva al número de teléfono como método de autenticación. Otra opción es enviar al usuario un código de acceso de un solo uso (OTP) para el inicio de sesión.

Puede compilar rutas de autenticación alternativas:

  1. Configure la directiva de registro para permitir el registro por cuenta local y IDPs externas.
  2. Configure una directiva de perfil que permita a los usuarios vincular la otra identidad a su cuenta después de iniciar sesión.
  3. Notifique y permita que los usuarios cambien a una IDP alternativa si se produce alguna interrupción.

Disponibilidad de la autenticación multifactor

Si usa un servicio telefónico de para la autenticación multifactor, considere la posibilidad de usar un proveedor de servicios alternativo. El proveedor de servicios telefónicos local podría experimentar interrupciones del servicio.

Selección de la autenticación multifactor alternativa

El servicio Azure AD B2C tiene un proveedor de MFA basado en teléfono para entregar códigos de acceso de un solo uso (OTP) basados en el tiempo. Es una llamada de voz y un mensaje de texto a los números de teléfono registrados previamente por el usuario.

Con los flujos de usuario, hay dos métodos para crear resistencia:

  • Cambiar la configuración del flujo de usuario: durante la interrupción en la entrega de OTP basada en teléfono, cambie el método de entrega de OTP al correo electrónico. Vuelva a implementar el flujo de usuario.

    Captura de pantalla del inicio de sesión y registro del usuario.

  • Cambiar aplicaciones: para tareas de identidad, como el registro y el inicio de sesión, defina dos conjuntos de flujos de usuario. Configure el primer conjunto para usar OTP basado en teléfono y el segundo para enviar un correo electrónico ATP. Durante una interrupción en la entrega de OTP basada en teléfono, cambie del primer conjunto de flujos de usuario al segundo, dejando los flujos de usuario sin cambios.

Si usa directivas personalizadas, hay cuatro métodos para crear resistencia. La lista está en orden de complejidad. Vuelva a implementar directivas actualizadas.

  • Habilitar la selección de usuarios de OTP de teléfono o correo electrónico OTP: exponga ambas opciones para permitir que los usuarios puedan seleccionarse automáticamente. No cambie las directivas ni las aplicaciones.

  • Cambiar dinámicamente entre OTP de teléfono y correo electrónico OTP: recopilar información de teléfono y correo electrónico al registrarse. Defina la directiva personalizada para cambiar condicionalmente, durante la interrupción del teléfono, al correo electrónico OTP. No cambie las directivas ni las aplicaciones.

  • Usar una aplicación de autenticación: actualizar la directiva personalizada para usar una aplicación de autenticación. Si MFA es OTP de teléfono o correo electrónico, vuelva a implementar directivas personalizadas y use una aplicación de autenticación.

    Nota:

    Los usuarios configuran la integración de Authenticator durante el registro.

  • Preguntas de seguridad: si no se aplica ninguno de los métodos anteriores, use preguntas de seguridad. Estas preguntas son para los usuarios durante la incorporación o la edición de perfiles. Las respuestas se almacenan en una base de datos independiente. Este método no cumple el requisito de MFA de algo que tiene, por ejemplo, un teléfono, pero es algo que conoce.

Red de entrega de contenido

Las redes de entrega de contenido (CDN) funcionan mejor y son menos costosas que los almacenes de blobs para almacenar la interfaz de usuario de flujo de usuario personalizada. El contenido de la página web procede de una red distribuida geográficamente de servidores de alta disponibilidad.

Periódicamente, pruebe la disponibilidad de la red CDN y el rendimiento de la distribución de contenido a través del escenario de un extremo a otro y las pruebas de carga. Para aumentos debido a promociones o tráfico festivo, revise las estimaciones de las pruebas de carga.

Pasos siguientes