Esercitazione: Configurare keyless con Azure Active Directory B2C

Informazioni su come configurare Azure Active Directory B2C (Azure AD B2C) con la soluzione senza password sift. Con Azure AD B2C come provider di identità (IdP), integrare Keyless con le applicazioni cliente per fornire l'autenticazione senza password. L'Zero-Knowledge biometrico (ZKB) senza chiave è l'autenticazione a più fattori senza password che consente di eliminare frodi, phishing e riutilizzo delle credenziali, migliorando l'esperienza del cliente e proteggendo la privacy.

Passare a keyless.io per informazioni su:

• Sift Keyless
• In che modo Keyless usa prove di conoscenza zero per proteggere i dati biometrici

Prerequisiti

Per iniziare, è necessario:

• Una sottoscrizione di Azure
  • Se non ne hai uno, ottieni un account gratuito di Azure
• Un tenant di Azure AD B2C collegato alla sottoscrizione di Azure
• Un tenant cloud senza chiavi
  • Passare a keyless.io per richiedere una demo
• L'app Keyless Authenticator installata in un dispositivo utente

Descrizione dello scenario

L'integrazione senza chiavi include i componenti seguenti:

• Server di autorizzazione di Azure AD B2C che verifica le credenziali utente. Noto anche come IdP.
• Applicazioni Web e per dispositivi mobili : applicazioni Web o Web da proteggere con Keyless e Azure AD B2C
• L'app per dispositivi mobili Keyless Authenticator - Sift per dispositivi mobili per l'autenticazione alle applicazioni abilitate di Azure AD B2C

Il diagramma dell'architettura seguente illustra un'implementazione.

1. L'utente arriva a una pagina di accesso. L'utente seleziona l'accesso/iscrizione e immette il nome utente.
2. L'applicazione invia attributi utente ad Azure AD B2C per la verifica delle identità.
3. Azure AD B2C invia attributi utente a Keyless per l'autenticazione.
4. Senza chiave invia una notifica push al dispositivo mobile registrato dagli utenti per l'autenticazione, un'analisi biometrica facciale.
5. L'utente risponde alla notifica push e viene concesso o negato l'accesso.

Aggiungere un IDP, configurare l'IDP e creare un criterio di flusso utente

Usare le sezioni seguenti per aggiungere un IDP, configurare l'IDP e creare un criterio di flusso utente.

Aggiungere un nuovo provider di identità

Per aggiungere un nuovo provider di identità:

1. Accedere al portale di Azure come amministratore globale del tenant di Azure AD B2C.
2. Selezionare Directory e sottoscrizioni.
3. Nella pagina Directory e sottoscrizioni delle impostazioni del portale individuare la directory B2C di Azure AD.
4. Selezionare Commutatore.
5. Nell'angolo superiore sinistro della portale di Azure selezionare Tutti i servizi.
6. Cercare e selezionare Azure Active Directory B2C.
7. Passare a Dashboard> AzureActive Directory B2C>Identity provider.
8. Selezionare Provider di identità.
9. Selezionare Aggiungi.

Configurare un provider di identità

Per configurare un IDP:

1. Selezionare Tipo >di provider di identitàOpenID Connect (anteprima).
2. In Nome selezionare Keyless.
3. Per URL metadati, inserire l'URI dell'app Di autenticazione senza chiave ospitata, seguita dal percorso, ad esempio https://keyless.auth/.well-known/openid-configuration.
4. Per Segreto client selezionare il segreto associato all'istanza di Autenticazione senza chiavi. Il segreto viene usato più avanti nella configurazione del contenitore keyless.
5. Per ID client selezionare l'ID client. L'ID client viene usato più avanti nella configurazione del contenitore senza chiavi.
6. Per Ambito selezionare openid.
7. Per Tipo di risposta selezionare id_token.
8. In Modalità risposta selezionare form_post.
9. Selezionare OK.
10. Selezionare Mappare le attestazioni del provider di identità.
11. Per UserID selezionare Dalla sottoscrizione.
12. Per Nome visualizzato selezionare Dalla sottoscrizione.
13. In Modalità risposta selezionare Dalla sottoscrizione.
14. Selezionare Salva.

Creare criteri di flusso utente

Keyless viene visualizzato come nuovo IDP OpenID Connect (OIDC) con provider di identità B2C.

1. Aprire il tenant di Azure AD B2C.
2. In Criteri selezionare Flussi utente.
3. Selezionare Nuovo flusso utente.
4. Selezionare Iscrizione e accesso.
5. Selezionare una versione.
6. Selezionare Crea.
7. Immettere un nome per il criterio.
8. Nella sezione Provider di identità selezionare il provider di identità senza chiavi creato.
9. Immettere un nome.
10. Selezionare l'IDP creato.
11. Aggiungere un indirizzo di posta elettronica. Azure non reindirizzerà l'accesso a Keyless; viene visualizzata una schermata con un'opzione utente.
12. Lasciare il campo Autenticazione a più fattori .
13. Selezionare Applica criteri di accesso condizionale.
14. In Attributi utente e attestazioni di token selezionare Email Indirizzo nell'opzione Raccolta attributi.
15. Aggiungere attributi utente Microsoft Entra ID raccolti con attestazioni Azure AD B2C restituisce all'applicazione client.
16. Selezionare Crea.
17. Selezionare il nuovo flusso utente.
18. Nel pannello sinistro selezionare Attestazioni applicazione.
19. In opzioni selezionare la casella di controllo Posta elettronica .
20. Selezionare Salva.

Testare il flusso utente

1. Aprire il tenant di Azure AD B2C.
2. In Criteri selezionare Identity Experience Framework.
3. Selezionare l'elemento SignUpSignIn creato.
4. Selezionare Esegui il flusso utente.
5. Per Applicazione selezionare l'app registrata ( l'esempio è JWT).
6. Per URL di risposta selezionare l'URL di reindirizzamento.
7. Selezionare Esegui il flusso utente.
8. Completare il flusso di iscrizione e creare un account.
9. Dopo la creazione dell'attributo utente, viene chiamato Keyless durante il flusso.

Se il flusso è incompleto, verificare che l'utente sia o non venga salvato nella directory.

Passaggi successivi

• Panoramica dei criteri personalizzati di Azure AD B2C
• Esercitazione: Creare flussi utente e criteri personalizzati in Azure AD B2C