Piani di distribuzione di Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) è una soluzione di gestione delle identità e degli accessi che consente di semplificare l'integrazione con l'infrastruttura. Usare le indicazioni seguenti per comprendere i requisiti e la conformità in una distribuzione di Azure AD B2C.

Pianificare una distribuzione di Azure AD B2C

Requisiti

• Valutare il motivo principale per disabilitare i sistemi
  • Consultare Informazioni su Azure Active Directory B2C
• Per una nuova applicazione, pianificare la progettazione del sistema CIAM (Customer Identity Access Management)
  • Vedere pianificazione e progettazione
• Identificare le posizioni dei clienti e creare un tenant nel data center corrispondente
  • Consultare Esercitazione: Creare un tenant di Azure Active Directory B2C
• Verificare i tipi di applicazione e le tecnologie supportate:
  • Panoramica di Microsoft Authentication Library (MSAL)
  • Sviluppare con linguaggi, framework, database e strumenti open source in Azure.
  • Per i servizi back-end, usare il flusso delle credenziali client
• Per eseguire la migrazione da un provider di identità (IdP):
  • Migrazione senza problemi
  • Passare a user-migration
• Selezionare i protocolli
  • Se si usa Kerberos, Microsoft Windows NT LAN Manager (NTLM) e Web Services Federation (WS-Fed), vedere il video relativo alla migrazione di applicazioni e identità ad Azure AD B2C

Dopo la migrazione, le applicazioni possono supportare protocolli di identità moderni, ad esempio Open Authorization (OAuth) 2.0 e OpenID Connect (OIDC).

Stakeholder

Il successo del progetto tecnologico dipende dalla gestione di aspettative, risultati e responsabilità.

• Identificare l'architetto dell'applicazione, il program manager tecnico e il proprietario
• Creare una lista di distribuzione (DL) per comunicare con l'account Microsoft o i team di progettazione
  • Porre domande, ottenere risposte e ricevere notifiche
• Identificare un partner o una risorsa all'esterno dell'organizzazione per supportare l'utente

Altre informazioni: Includere gli stakeholder appropriati

Comunicazioni

Comunicare in modo proattivo e regolare con gli utenti sulle modifiche in sospeso e correnti. Informarli su come cambia l'esperienza, quando cambia e fornire un contatto per l’assistenza.

Sequenze temporali

Aiutare a creare aspettative realistiche e piani di emergenza per soddisfare le attività cardine principali:

• Data pilota
• Data di avvio
• Date che influiscono sul recapito
• Dipendenze

Implementare una distribuzione di Azure AD B2C

• Distribuire applicazioni e identità utente - Distribuire l'applicazione client ed eseguire la migrazione delle identità utente
• Onboarding e risultati finali dell'applicazione client: eseguire l'onboarding dell'applicazione client e testare la soluzione
• Sicurezza - Migliorare la sicurezza della soluzione di gestione delle identità
• Conformità - Soddisfare i requisiti normativi
• Esperienza utente- Abilitare un servizio intuitivo

Autenticazione e autorizzazione di implementazione

• Prima che le applicazioni interagiscono con Azure AD B2C, registrarle in un tenant gestito
  • Consultare Esercitazione: Creare un tenant di Azure Active Directory B2C
• Per l'autorizzazione, usare i percorsi utente di esempio di Identity Experience Framework (IEF)
  • Vedere Azure Active Directory B2C: Percorsi utente CIAM personalizzati
• Usare il controllo basato su criteri per gli ambienti nativi del cloud
  • Passare a openpolicyagent.org per informazioni su Open Policy Agent (OPA)

Per altre informazioni, fare riferimento al PDF Microsoft Identity, Acquisizione di competenze con Azure AD B2C, un corso per sviluppatori.

Elenco di controllo per utenti, autorizzazioni, delega e chiamate

• Identificare gli utenti che accedono all'applicazione
• Definire come gestire le autorizzazioni e i diritti di sistema oggi e in futuro
• Verificare di disporre di un archivio autorizzazioni e, se sono disponibili autorizzazioni per l'aggiunta alla directory
• Definire la modalità di gestione dell'amministrazione delegata
  • Ad esempio, la gestione dei clienti dei propri clienti
• Verificare che l'applicazione chiami Gestione API (APIM)
  • Potrebbe essere necessaria una chiamata dal provider di identità prima che all'applicazione venga emesso un token

Distribuire applicazioni e identità utente

I progetti Azure AD B2C iniziano con una o più applicazioni client.

• La nuova esperienza Registrazioni app per Azure Active Directory B2C
  • Vedere esempi di codice Azure Active Directory B2C per l'implementazione
• Configurare il percorso utente in base ai flussi utente personalizzati
  • Confronto tra criteri personalizzati e flussi utente
  • Aggiungere un provider di identità al tenant di Azure Active Directory B2C
  • Eseguire la migrazione di utenti ad Azure AD B2C
  • Azure Active Directory B2C: percorsi utente CIAM personalizzati per scenari avanzati

Elenco di controllo per la distribuzione di applicazioni

• Applicazioni incluse nella distribuzione CIAM
• Applicazioni in uso
  • Ad esempio, applicazioni Web, API, app Web a pagina singola o applicazioni per dispositivi mobili native
• Autenticazione in uso:
  • Ad esempio, form federati con Security Assertion Markup Language (SAML) o federati con OIDC
  • Se OIDC, confermare il tipo di risposta: codice o id_token
• Determinare dove sono ospitate le applicazioni front-end e back-end: locale, cloud o cloud ibrido
• Verificare le piattaforme o le lingue in uso:
  • Ad esempio, ASP.NET, Java e Node.js
  • Fare riferimento ad Avvio rapido - Configurare l'accesso per un'applicazione ASP.NET tramite Azure AD B2C
• Verificare la posizione di archiviazione degli attributi utente
  • Ad esempio, Lightweight Directory Access Protocol (LDAP) o database

Elenco di controllo per la distribuzione delle identità utente

• Confermare il numero di utenti che accedono alle applicazioni
• Determinare i tipi di IdP necessari:
  • Ad esempio, Facebook, account locale e Active Directory Federation Services (AD FS)
  • Vedere Active Directory Federation Services.
• Delineare lo schema di attestazione richiesto dall'applicazione, Azure AD B2C e gli IdP, se applicabile
  • Vedere ClaimsSchema
• Determinare le informazioni da raccogliere durante l'accesso e la registrazione
  • Configurare un flusso di registrazione e accesso in Azure Active Directory B2C

Onboarding e risultati finali dell'applicazione client

Usare l'elenco di controllo seguente per l'onboarding di un'applicazione

Area	Descrizione
Gruppo di utenti di destinazione dell'applicazione	Selezionare tra clienti finali, clienti aziendali o un servizio digitale. Determinare la necessità di accesso dei dipendenti.
Valore aziendale dell'applicazione	Comprendere l'esigenza o l'obiettivo aziendale per determinare la migliore soluzione Azure AD B2C e l'integrazione con altre applicazioni client.
Gruppi di identità personali	Identità del cluster in gruppi con requisiti, ad esempio business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E) e business-to-machine (B2M) per gli account di accesso e di servizio per dispositivi IoT.
Provider di identità (IdP)	Vedere Selezione di un provider di identità. Ad esempio, per un'app per dispositivi mobili customer-to-customer (C2C) usare un processo di accesso semplice. B2C con servizi digitali ha requisiti di conformità. Prendere in considerazione l'accesso tramite posta elettronica.
Vincoli normativi	Determinare la necessità di profili remoti o criteri di privacy.
Flusso di accesso e iscrizione	Verifica di conferma della posta elettronica o verifica tramite posta elettronica durante l'iscrizione. Per i processi di estrazione, vedere Funzionamento: Autenticazione a più fattori di Microsoft Entra. Guardare il video Migrazione di utenti ad Azure AD B2C con l'API Microsoft Graph.
Protocollo di autenticazione e applicazione	Implementare applicazioni client come applicazione Web, applicazione a pagina singola (SPA) o nativa. Protocolli di autenticazione per l'applicazione client e Azure AD B2C: OAuth, OIDC e SAML. Vedere il video Protezione delle API Web con Microsoft Entra ID.
Migrazione degli utenti	Verificare se si eseguirà la migrazione degli utenti ad Azure AD B2C: migrazione JIT (Just-in-time) e importazione/esportazione in blocco. Vedere il video Strategie di migrazione degli utenti di Azure AD B2C.

Usare l'elenco di controllo seguente per il recapito.

Area	Descrizione
Informazioni sul protocollo	Raccogliere il percorso di base, i criteri e l'URL dei metadati di entrambe le varianti. Specificare attributi come l'accesso di esempio, l'ID applicazione client, i segreti e i reindirizzamenti.
Esempi di applicazione	Vedere Esempi di codice di Azure Active Directory B2C.
Test di penetrazione	Informare il team operativo sui test penna, quindi testare i flussi utente, inclusa l'implementazione OAuth. Vedere Test di penetrazione e Regole di test di penetrazione di engagement.
Unit test	Unit test e generazione di token. Vedere Microsoft Identity Platform e credenziali di tipo password del proprietario della risorsa OAuth 2.0. Se si raggiunge il limite di token di Azure AD B2C, vedere Azure AD B2C: Richieste di supporto file. Riutilizzare i token per ridurre l'analisi sull'infrastruttura. Configurare un flusso di credenziali password del proprietario della risorsa in Azure Active Directory B2C. Non è consigliabile usare il flusso ROPC per autenticare gli utenti nelle app.
Test di carico	Informazioni sui limiti e sulle restrizioni del servizio Azure AD B2C. Calcolare le autenticazioni previste e gli accessi utente al mese. Valutare le durate del traffico di carico elevato e i motivi aziendali: festività, migrazione ed eventi. Determinare le frequenze di picco previste per l'iscrizione, il traffico e la distribuzione geografica, ad esempio al secondo.

Sicurezza

Usare l'elenco di controllo seguente per migliorare la sicurezza delle applicazioni.

• Metodo di autenticazione, ad esempio autenticazione a più fattori:
  • L'autenticazione a più fattori è consigliata per gli utenti che attivano transazioni ad alto valore o altri eventi di rischio. Ad esempio, processi bancari, finanziari e check-out.
  • Vedere Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
• Confermare l'uso di meccanismi anti-bot
• Valutare il rischio di tentativi di creare un account o un accesso fraudolento
  • Vedere Esercitazione: Configurare Microsoft Dynamics 365 Fraud Protection con Azure Active Directory B2C
• Confermare le posizioni condizionali necessarie come parte dell'accesso o dell'iscrizione

Accesso condizionale e Microsoft Entra ID Protection

• Ora, il perimetro di sicurezza moderno si estende oltre la rete di un'organizzazione. Il perimetro include l'identità utente e del dispositivo.
  • Vedere Informazioni sull'accesso condizionale
• Migliorare la sicurezza di Azure AD B2C con Microsoft Entra ID Protection
  • Vedere Identity Protection e l'accesso condizionale in Azure AD B2C

Conformità

Per garantire la conformità ai requisiti normativi e migliorare la sicurezza del sistema back-end, è possibile usare reti virtuali (VNet), restrizioni IP, Web Application Firewall e così via. Considerare i requisiti seguenti:

• I requisiti di conformità alle normative
  • Ad esempio, il Payment Card Industry Data Security Standard (PCI DSS)
  • Passare a pcisecuritystandards.org per altre informazioni sul PCI Security Standards Council
• Archiviazione dei dati in un archivio di database separato
  • Determinare se queste informazioni non possono essere scritte nella directory

Esperienza utente

Usare l'elenco di controllo seguente per definire i requisiti dell'esperienza utente.

• Identificare le integrazioni per estendere le funzionalità CIAM e creare esperienze utente finali senza interruzioni
  • Partner del fornitore di software indipendente (ISV) Azure Active Directory B2C
• Usare screenshot e storie utente per mostrare l'esperienza dell'utente finale dell'applicazione
  • Ad esempio, screenshot di accesso, iscrizione, iscrizione/accesso (SUSI), modifica del profilo e reimpostazione della password
• Cercare hint passati usando i parametri della stringa di query nella soluzione CIAM
• Per una personalizzazione elevata dell'esperienza utente, è consigliabile usare uno sviluppatore front-end
• In Azure AD B2C è possibile personalizzare HTML e CSS
  • Vedere Linee guida per l'uso di JavaScript
• Implementare un'esperienza incorporata usando il supporto di iframe:
  • Vedere Esperienza di iscrizione o accesso incorporata
  • Per un'applicazione a pagina singola, usare una seconda pagina HTML di accesso che viene caricata nell'elemento <iframe>

Monitoraggio del controllo e registrazione

Usare l'elenco di controllo seguente per il monitoraggio, il controllo e la registrazione.

• Monitoraggio
  • Monitorare Azure AD B2C con Monitoraggio di Azure
  • Vedere il video Monitoraggio e creazione di report di Azure AD B2C tramite Monitoraggio di Azure
• Controllo e registrazione
  • Accesso ai log di controllo di Azure AD B2C

Risorse

• Registrare un'applicazione Microsoft Graph
• Gestire Azure AD B2C con Microsoft Graph
• Distribuire criteri personalizzati con Azure Pipelines
• Gestire i criteri personalizzati di Azure AD B2C con Azure PowerShell

Passaggi successivi

Raccomandazioni e procedure consigliate per Azure Active Directory B2C