Expérience résiliente de l’utilisateur final à l’aide d’Azure AD B2C

L’expérience d’inscription et de connexion de l’utilisateur final est constituée des éléments suivants :

• Les interfaces avec lesquelles l’utilisateur interagit par exemple, CSS, HTML et JavaScript
• Les flux d’utilisateurs et les stratégies personnalisées que vous créez, par exemple, l’inscription, la connexion et la modification du profil
• Les fournisseurs d’identité (IDP) de votre application, tels que le nom d’utilisateur ou le mot de passe du compte local, Microsoft Outlook, Facebook et Google

Flux utilisateur et stratégie personnalisée

Pour vous aider à configurer les tâches d’identité les plus courantes, Azure AD B2C fournit des flux d’utilisateurs configurables intégrés. Vous pouvez également créer vos propres stratégies personnalisées, ce qui vous offre un maximum de flexibilité. Toutefois, nous vous recommandons d’utiliser des stratégies personnalisées pour résoudre des scénarios complexes.

Sélectionner un flux d’utilisateurs ou une stratégie personnalisée

Choisissez des flux d’utilisateurs intégrés qui répondent aux besoins de votre entreprise. Microsoft teste les flux intégrés. Par conséquent, vous pouvez réduire les tests pour valider les performances, les performances ou l’échelle fonctionnelles au niveau de la stratégie. Toutefois, testez les applications pour les fonctionnalités, les performances et la mise à l’échelle.

Avec les stratégies personnalisées, vérifiez les tests au niveau de la stratégie pour les performances fonctionnelles, les performances ou la mise à l’échelle. Effectuez des tests au niveau de l’application.

Pour en savoir plus, vous pouvez comparer les flux d’utilisateurs et les stratégies personnalisées.

Choisir plusieurs IDP

Lorsque vous utilisez un fournisseur d’identité externe tel que Facebook, créez un plan de secours si le fournisseur d’identité externe n’est pas disponible.

Configurer plusieurs fournisseurs d’identité

Dans le processus d’inscription du fournisseur d’identité externe, incluez une revendication d’identité vérifiée, telle que le numéro de téléphone mobile de l’utilisateur ou l’adresse e-mail. Validez les revendications vérifiées sur l’instance de répertoire Azure AD B2C sous-jacente. Si le fournisseur externe n’est pas disponible, restaurez la revendication d’identité vérifiée et revenez au numéro de téléphone comme méthode d’authentification. Une autre option consiste à envoyer à l’utilisateur un code secret à usage unique (OTP) pour la connexion.

Vous pouvez créer d’autres chemins d’authentification :

1. Configurez votre stratégie d’inscription pour permettre l’inscription par compte local et par des IDP externes.
2. Configurez une stratégie de profil pour permettre aux utilisateurs de relier l’autre identité à leur compte après s’être connectés.
3. Informez les utilisateurs et autorisez-les à basculer sur un autre IDP lors d’une panne.

Disponibilité de l’authentification multifacteur

Si vous utilisez un service téléphonique pour l’authentification multifacteur, envisagez un autre fournisseur de services. Le fournisseur de services téléphoniques local peut rencontrer des interruptions de service.

Sélectionner une autre authentification multifacteur

Le service Azure AD B2C utilise un fournisseur MFA par téléphone intégré pour fournir des codes secrets à usage unique (OTP). Il s’agit d’un appel vocal et d’un sms pour les numéros de téléphone préenregistrés par l’utilisateur.

Avec des flux d’utilisateurs, il existe deux méthodes pour renforcer la résilience :

• Modifier la configuration du flux utilisateur : lors de l’interruption de la remise du mot de passe par téléphone, remplacez la méthode de remise OTP par e-mail. Redéployez le flux utilisateur.

  

• Modifier les applications : pour les tâches d’identité, telles que l’inscription et la connexion, définissez deux ensembles de flux utilisateur. Configurez le premier ensemble pour utiliser l’OTP par téléphone et le second pour l’OTP par adresse e-mail. Lors d’une interruption de la livraison par mot de passe par téléphone, passez du premier ensemble de flux d’utilisateurs à la seconde, ce qui laisse les flux utilisateur inchangés.

Si vous utilisez des stratégies personnalisées, il existe quatre méthodes pour renforcer la résilience. La liste est en ordre de complexité. Redéployez les stratégies mises à jour.

• Activer la sélection d’un mot de passe par téléphone ou d’un mot de passe par e-mail : exposez les deux options pour permettre aux utilisateurs de sélectionner eux-mêmes. Ne modifiez pas les stratégies ou les applications.

• Basculer dynamiquement entre le mot de passe par téléphone et le mot de passe par e-mail : collectez les informations de téléphone et de messagerie lors de l’inscription. Définissez une stratégie personnalisée pour basculer de manière conditionnelle, lors de l’interruption du téléphone, vers un mot de passe par e-mail. Ne modifiez pas les stratégies ou les applications.

• Utilisez une application d’authentification : mettez à jour une stratégie personnalisée pour utiliser une application d’authentification. Si votre authentification multifacteur est par téléphone ou par e-mail, redéployez des stratégies personnalisées et utilisez une application d’authentification.

  Remarque

  Les utilisateurs configurent l’intégration d’Authenticator lors de l’inscription.

• Questions de sécurité : si aucune des méthodes précédentes n’est applicable, utilisez des questions de sécurité. Ces questions concernent les utilisateurs lors de l’intégration ou de la modification de profil. Les réponses sont stockées dans une base de données distincte. Cette méthode ne répond pas à l’exigence de l’authentification multifacteur de quelque chose que vous avez, par exemple, un téléphone, mais c’est quelque chose que vous savez.

Réseau de distribution de contenu

Les réseaux de distribution de contenu (CDN) fonctionnent mieux et sont moins coûteux que les magasins d’objets blob pour stocker l’interface utilisateur de flux utilisateur personnalisée. Le contenu des pages web part d’un réseau géographiquement distribué de serveurs à haute disponibilité.

Testez régulièrement la disponibilité du CDN et les performances de la distribution de contenu par le biais de tests de scénario de bout en bout et de tests de charge. Pour les pics en raison de promotions ou de trafic de vacances, révisez les estimations pour les tests de charge.

Étapes suivantes

• Ressources de résilience pour les développeurs Azure AD B2C
  • Interfaces résilientes avec processus externes
  • Résilience grâce aux meilleures pratiques des développeurs
  • Résilience par la surveillance et l’analytique
• Renforcer la résilience de l’infrastructure d’authentification
• Augmenter la résilience de l’authentification et de l’autorisation dans les applications