Plans de déploiement Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) est une solution de gestion des identités et des accès qui peut faciliter l’intégration à votre infrastructure. Utilisez les conseils suivants pour vous aider à comprendre les exigences et la conformité tout au long d’un déploiement Azure AD B2C.
Envisager un déploiement Azure AD B2C
Spécifications
- Évaluer la raison principale de la désactivation des systèmes
- Pour une nouvelle application, planifiez et concevez le système Customer Identity Access Management (CIAM)
- Identifier les emplacements des clients et créer un locataire dans le centre de données correspondant
- Confirmez vos types d’applications et les technologies prises en charge :
- Vue d’ensemble de la bibliothèque d’authentification Microsoft (MSAL)
- Développez avec des langages open source, infrastructures, bases de données et outils dans Azure.
- Pour les services principaux, utilisez le flux des informations d’identification du client
- Pour migrer à partir d’un fournisseur d’identité (IdP) :
- Migration fluide
- Accédez à
user-migration
- Sélectionner des protocoles
- Si vous utilisez Kerberos, Microsoft Windows NT LAN Manager (NTLM) et Web Services Federation (WS-Fed), consultez la vidéo Migration d’applications et d’identités vers Azure AD B2C
Après la migration, vos applications peuvent prendre en charge des protocoles d’identité modernes, tels que Open Authorization (OAuth) 2.0 et OpenID Connect (OIDC).
Parties prenantes
La réussite d’un projet technologique dépend de la gestion des attentes, des résultats et des responsabilités.
- Identifier l’architecte d’application, le manager de programme technique et le propriétaire
- Créer une liste de distribution (DL) pour communiquer avec le compte Microsoft ou les équipes d’ingénierie
- Poser des questions, obtenir des réponses et recevoir des notifications
- Identifiez un partenaire ou une ressource en dehors de votre organisation pour vous soutenir
En savoir plus : Inclure les bonnes parties prenantes
Communications
Communiquez de manière proactive et régulière avec vos utilisateurs sur les modifications en cours et en attente. Informez-les de la façon dont l’expérience change, quand elle change et fournissez un contact pour le support.
Chronologies
Aidez à définir des attentes réalistes et à établir des plans d’urgence pour atteindre les jalons clés :
- Date du pilote
- Date de lancement
- Dates qui affectent la remise
- Les dépendances
Implémenter un déploiement Azure AD B2C
- Déployer des applications et des identités utilisateur - Déployer une application cliente et migrer des identités utilisateur
- Intégration et livrables de l’application cliente - Intégrer l’application cliente et tester la solution
- Sécurité - Améliorer la sécurité de la solution d’identité
- Conformité - Répondre aux exigences réglementaires
- Expérience utilisateur - Activer un service convivial
Déployer l’autorisation et l’authentification
- Pour que vos applications puissent interagir avec Azure AD B2C, inscrivez-les dans un locataire que vous gérez
- Pour une autorisation, utilisez les exemples de parcours utilisateur Identity Experience Framework (IEF)
- Utiliser le contrôle basé sur des stratégies pour les environnements natifs cloud
- Accédez à
openpolicyagent.org
pour en savoir plus sur l’Open Policy Agent (OPA)
- Accédez à
Apprenez-en davantage avec Microsoft Identity PDF, Acquérir une expertise avec Azure AD B2C, un cours destiné aux développeurs.
Liste de contrôle pour les personnages, les autorisations, la délégation et les appels
- Identifiez les personnes qui accèdent à votre application
- Définir la façon dont vous gérez les autorisations système et les droits d’utilisation aujourd’hui et à l’avenir
- Vérifiez que vous disposez d’un magasin d’autorisations et qu’il existe des autorisations à ajouter au répertoire
- Définir la façon dont vous gérez l’administration déléguée
- Par exemple, la gestion des clients de vos clients
- Vérifier que votre application appelle un manager d’API (APIM)
- Il peut être nécessaire d’appeler à partir de l’IdP avant que l’application ne soit émise un jeton
Déployer des applications et des identités d’utilisateur
Les projets Azure AD B2C commencent par une ou plusieurs applications clientes.
- Nouvelle expérience d’inscriptions d’applications pour Azure Active Directory B2C
- Reportez-vous aux exemples de code Azure Active Directory B2C pour l’implémentation
- Configurer votre parcours utilisateur en fonction de flux utilisateur personnalisés
Liste de contrôle pour le déploiement d’applications
- Applications incluses dans le déploiement CIAM
- Applications en cours d’utilisation
- Par exemple, des applications web, des API, des applications monopage (SPAs) web ou des applications mobiles natives
- Authentification en cours d’utilisation :
- Par exemple, des formulaires fédérés avec Security Assertion Markup Language (SAML) ou fédérés avec OIDC
- Si OIDC, confirmez le type de réponse : code ou id_token
- Déterminer où sont hébergées les applications front-end et back-end : locale, cloud ou cloud hybride
- Confirmez les plateformes ou langages utilisés :
- Par exemple, ASP.NET, Java et Node.js
- Voir, Démarrage rapide : Configurer la connexion pour une application ASP.NET à l’aide d’Azure AD B2C
- Vérifier où sont stockés les attributs utilisateur
- Par exemple, le protocole LDAP (Lightweight Directory Access Protocol) ou les bases de données
Liste de contrôle du déploiement de l’identité utilisateur
- Confirmer le nombre d’utilisateurs qui accèdent aux applications
- Déterminez les types d’IdP nécessaires :
- Par exemple, Facebook, compte local et Active Directory Federation Services (AD FS)
- Voir, Services de fédération Active Directory (AD FS)
- Structurez le schéma de revendication requis à partir de votre application, Azure AD B2C et vos fournisseurs d’identité, le cas échéant
- Voir, ClaimsSchema
- Déterminer les informations à collecter lors de la connexion et de l’inscription
Intégration et livrables des applications clientes
Utiliser la liste de contrôle suivante pour l’intégration d’une application
Domaine | Description |
---|---|
Groupe d’utilisateurs cibles de l’application | Sélectionnez parmi les clients finaux, les clients professionnels ou un service numérique. Déterminer un besoin de connexion de l’employé. |
Valeur métier de l’application | Comprenez l’objectif ou le besoin métier pour déterminer la meilleure solution Azure AD B2C et l’intégration à d’autres applications clientes. |
Vos groupes d’identités | Les identités de cluster dans des groupes avec des exigences, telles que B2C (business-to-consumer), B2B (business-to-business) business-to-employee (B2E) et business-to-machine (B2M) pour les comptes de connexion d’appareil et de service IoT. |
Fournisseur d’identité (IdP) | Consultez Sélectionner un fournisseur d’identité. Par exemple, pour une application mobile client à client (C2C), utilisez un processus de connexion facile. B2C avec services numériques a des exigences de conformité. Envisagez de vous connecter par e-mail. |
Contraintes réglementaires | Déterminez un besoin de profils distants ou de stratégies de confidentialité. |
Flux de connexion et d’inscription | Confirmez la vérification par e-mail ou par e-mail lors de l’inscription. Pour extraire des processus, consultez Fonctionnement : Authentification multifacteur Microsoft Entra. Consultez la vidéo Migration des utilisateurs Azure AD B2C à l’aide de l’API Microsoft Graph. |
Application et protocole d’authentification | Implémentez des applications clientes telles que l’application web, l’application monopage (SPA) ou native. Les protocoles d’authentification pour l’application cliente et Azure AD B2C : OAuth, OIDC et SAML. Consultez la vidéo Protection des API web avec Microsoft Entra ID. |
Migration utilisateur | Vérifiez si vous allez migrer des utilisateurs vers Azure AD B2C : migration juste-à-temps (JIT) et importation/exportation en bloc. Consultez la vidéo Stratégies de migration d’utilisateur Azure AD B2C. |
Utilisez la liste de contrôle suivante pour la livraison.
Domaine | Description |
---|---|
Informations sur le protocole | Recueillez le chemin d’accès de base, les stratégies, et l’URL des métadonnées des deux variantes. Spécifiez des attributs tels que l’exemple d'ouverture de session, l’ID de l’application client, les secrets et les redirections. |
Exemples d’applications | Voir, Exemples de code Azure Active Directory B2C. |
Test de pénétration | Informez votre équipe d’exploitation sur les tests du stylet, puis testez tous les flux utilisateur y compris l’implémentation OAuth. Consultez Tests d’intrusion et Règles d’engagement des tests d’intrusion. |
Test des unités | Test unitaire et génération de jetons. Consultez Plateforme d’identités Microsoft et informations d’identification du mot de passe du propriétaire de la ressource OAuth 2.0. Si vous atteignez la limite de jetons Azure AD B2C, consultez Azure AD B2C : Demandes de support de fichier. Réutilisez les jetons pour réduire l’investigation sur votre infrastructure. Configurer le flux des informations d’identification par mot de passe de propriétaire de ressource dans Azure Active Directory B2C. Vous ne devez pas utiliser le flux ROPC pour authentifier des utilisateurs dans vos applications. |
Test de charge | En savoir plus sur les Restrictions et limites du service Azure AD B2C. Calculez les authentifications attendues et les connexions utilisateur par mois. Évaluez les durées de trafic à charge élevée et les raisons professionnelles : congés, migration et événements. Déterminez les taux de pointe attendus pour l’inscription, le trafic et la distribution géographique, par exemple par seconde. |
Sécurité
Utilisez la liste de contrôle suivante pour améliorer la sécurité des applications.
- Méthode d’authentification, telle que l’authentification multifacteur :
- L’authentification multifacteur est recommandée pour les utilisateurs qui déclenchent des transactions de valeur élevée ou d’autres événements à risque. Par exemple, les processus bancaires, financiers et de départ.
- Consultez Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
- Confirmer l’utilisation des mécanismes anti-bot
- Évaluer le risque de tentatives de création d’un compte frauduleux ou de connexion
- Confirmer les postures conditionnelles nécessaires dans le cadre de la connexion ou de l’inscription
Accès conditionnel et Protection des ID Microsoft Entra
- Le périmètre de sécurité moderne s’étend désormais au-delà du réseau d’une organisation. Le périmètre inclut l’identité de l’utilisateur et de l’appareil.
- Consultez Qu’est-ce que l’accès conditionnel ?
- Améliorer la sécurité d’Azure AD B2C avec Protection des ID Microsoft Entra
Conformité
Pour vous conformer aux exigences réglementaires et améliorer la sécurité du système back-end, vous pouvez utiliser des réseaux virtuels (VNet), des restrictions d’IP, un pare-feu d’applications web (WAF), etc. Considérez les exigences suivantes :
- Vos exigences de conformité réglementaire
- Par exemple, Payment Card Industry Data Security Standard (PCI DSS)
- Accédez à pcisecuritystandards.org pour en savoir plus sur le Conseil des normes de sécurité PCI
- Stockage de données dans un magasin de base de données distinct
- Déterminer si ces informations ne peuvent pas être écrites dans le répertoire
Expérience utilisateur
Utilisez la liste de contrôle suivante pour vous aider à définir les exigences de l’expérience utilisateur.
- Identifiez les intégrations pour étendre les fonctionnalités CIAM et créer des expériences d’utilisateur final transparentes
- Utilisez des captures d’écran et des récits utilisateur pour montrer l’expérience d’application de l’utilisateur final
- Par exemple, des captures d’écran pour la connexion, l’inscription, la connexion d’inscription (SUSI), la modification de profil et la réinitialisation de mot de passe
- Recherchez les indications transmises en utilisant des paramètres de chaîne de requête dans votre solution CIAM
- Pour une personnalisation élevée de l’expérience utilisateur, envisagez d’utiliser un développeur front-end
- Dans Azure AD B2C, vous pouvez personnaliser HTML et CSS
- Implémentez une expérience incorporée à l’aide de la prise en charge des iframes :
- Voir, Expérience d’inscription ou de connexion intégrée
- Pour une application à page unique, utilisez une deuxième page HTML de connexion qui se charge dans l’élément
<iframe>
Surveillance de l’audit et de la journalisation
Utilisez la liste de contrôle suivante pour la surveillance, l’audit et la journalisation.
- Supervision
- Audit et journalisation
Ressources
- Inscrire une application Microsoft Graph
- Gérer Azure AD B2C avec Microsoft Graph
- Déployer des stratégies personnalisées avec Azure Pipelines
- Gérer les stratégies personnalisées Azure AD B2C avec Azure PowerShell
Étapes suivantes
Suggestions et bonnes pratiques pour Azure Active Directory B2C