Samouczek: konfigurowanie usługi Azure Active Directory B2C za pomocą platformy Arkose Labs
Z tego samouczka dowiesz się, jak zintegrować uwierzytelnianie usługi Azure Active Directory B2C (Azure AD B2C) z platformą Arkose Labs Arkose Protect Platform. Produkty Arkose Labs pomagają organizacjom w walce z atakami botów, przejęciem konta i fałszywymi otwarciami kont.
Wymagania wstępne
Aby rozpocząć pracę, potrzebne są następujące elementy:
- Subskrypcja platformy Azure
- Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
- Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
- Konto usługi Arkose Labs
- Przejdź do arkoselabs.com , aby zażądać pokazu
Opis scenariusza
Integracja produktów Arkose Labs obejmuje następujące składniki:
- Arkose Protect Platform — usługa chroniąca przed botami i innymi zautomatyzowanymi nadużyciami
-
Azure AD przepływ użytkownika rejestracji B2C — środowisko rejestracji korzystające z platformy Arkose Labs
- Niestandardowe łączniki HTML, JavaScript i API integrują się z platformą Arkose
-
Azure Functions — hostowany punkt końcowy interfejsu API współdziałający z funkcją łączników interfejsu API
- Ten interfejs API weryfikuje stronę serwera tokenu sesji usługi Arkose Labs
- Dowiedz się więcej w Azure Functions Overview (Omówienie usługi Azure Functions)
Na poniższym diagramie pokazano, jak platforma Arkose Labs integruje się z usługą Azure AD B2C.
- Użytkownik zarejestruje się i utworzy konto. Użytkownik wybierze pozycję Prześlij, a zostanie wyświetlone wyzwanie wymuszania usługi Arkose Labs.
- Użytkownik ukończy wyzwanie. Azure AD B2C wysyła stan do usługi Arkose Labs w celu wygenerowania tokenu.
- Usługa Arkose Labs wysyła token do Azure AD B2C.
- Azure AD B2C wywołuje pośredni internetowy interfejs API w celu przekazania formularza rejestracji.
- Formularz rejestracji jest kierowany do usługi Arkose Labs w celu weryfikacji tokenu.
- Usługa Arkose Labs wysyła wyniki weryfikacji do pośredniego internetowego interfejsu API.
- Interfejs API wysyła wynik powodzenia lub niepowodzenia do Azure AD B2C.
- Jeśli wyzwanie zakończy się pomyślnie, formularz rejestracji zostanie Azure AD B2C, który kończy uwierzytelnianie.
Żądanie pokazu z usługi Arkose Labs
- Przejdź do arkoselabs.com, aby zarezerwować pokaz.
- Utwórz konto.
- Przejdź do strony logowania w portalu Arkose .
- Na pulpicie nawigacyjnym przejdź do ustawień witryny.
- Znajdź klucz publiczny i klucz prywatny. Te informacje będą używane później.
Uwaga
Wartości klucza publicznego i prywatnego to ARKOSE_PUBLIC_KEY
i ARKOSE_PRIVATE_KEY
.
Zobacz Azure-Samples/active-directory-b2c-node-sign-up-user-flow-arkose.
Integracja z usługą Azure AD B2C
Tworzenie atrybutu niestandardowego ArkoseSessionToken
Aby utworzyć atrybut niestandardowy:
- Zaloguj się do Azure Portal, a następnie przejdź do Azure AD B2C.
- Wybierz pozycję Atrybuty użytkownika.
- Wybierz pozycję Dodaj.
- Wprowadź ciąg ArkoseSessionToken jako nazwę atrybutu.
- Wybierz przycisk Utwórz.
Dowiedz się więcej: Definiowanie atrybutów niestandardowych w usłudze Azure Active Directory B2C
Tworzenie przepływu użytkownika
Przepływ użytkownika służy do tworzenia konta i logowania lub tworzenia konta. Przepływ użytkownika usługi Arkose Labs jest wyświetlany podczas rejestracji.
Tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure Active Directory B2C. Jeśli korzystasz z przepływu użytkownika, użyj opcji Zalecane.
W ustawieniach przepływu użytkownika przejdź do pozycji Atrybuty użytkownika.
Wybierz oświadczenie ArkoseSessionToken .
Konfigurowanie niestandardowego układu html, JavaScript i strony
- Przejdź do pozycji Azure-Samples/active-directory-b2c-node-sign-up-user-flow-arkose.
- Znajdź szablon HTML z tagami języka JavaScript
<script>
. Te czynności wykonują trzy czynności:
Załaduj skrypt usługi Arkose Labs, który renderuje widżet i wykonuje weryfikację aplikacji Arkose Labs po stronie klienta.
Ukryj element wejściowy i etykietę
extension_ArkoseSessionToken
odpowiadającą atrybutowi niestandardowemuArkoseSessionToken
.Gdy użytkownik ukończy wyzwanie usługi Arkose Labs, odpowiedź użytkownika zostanie zweryfikowana i wygenerowany token. Wywołanie zwrotne
arkoseCallback
w niestandardowym języku JavaScript ustawia wartośćextension_ArkoseSessionToken
na wygenerowaną wartość tokenu. Ta wartość jest przesyłana do punktu końcowego interfejsu API.Uwaga
Przejdź do developer.arkoselabs.com instrukcji po stronie klienta. Wykonaj kroki, aby użyć niestandardowego kodu HTML i języka JavaScript dla przepływu użytkownika.
W obszarze Azure-Samples zmodyfikuj plik selfAsserted.html , tak aby
<ARKOSE_PUBLIC_KEY>
był zgodny z wartością wygenerowaną na potrzeby weryfikacji po stronie klienta.Hostowanie strony HTML w internetowym punkcie końcowym z włączonym udostępnianiem zasobów między źródłami (CORS).
Obsługa mechanizmu CORS dla usługi Azure Storage.
Uwaga
Jeśli masz niestandardowy kod HTML, skopiuj i wklej
<script>
elementy na stronie HTML.W Azure Portal przejdź do Azure AD B2C.
Przejdź do pozycji Przepływy użytkownika.
Wybierz przepływ użytkownika.
Wybierz pozycję Układy stron.
Wybierz pozycję Układ strony rejestracji konta lokalnego.
W obszarze Użyj niestandardowej zawartości strony wybierz pozycję TAK.
W obszarze Użyj niestandardowej zawartości strony wklej niestandardowy identyfikator URI HTML.
(Opcjonalnie) Jeśli używasz dostawców tożsamości społecznościowych, powtórz kroki dla strony rejestracji konta społecznościowego.
W przepływie użytkownika przejdź do pozycji Właściwości.
Wybierz pozycję Włącz język JavaScript.
Dowiedz się więcej: Włączanie języka JavaScript i wersji układu strony w usłudze Azure Active Directory B2C
Tworzenie i wdrażanie interfejsu API
W tej sekcji założono, że do wdrażania Azure Functions używasz Visual Studio Code. Do wdrożenia można użyć Azure Portal, terminalu lub wiersza polecenia.
Przejdź do witryny Visual Studio Marketplace, aby zainstalować Azure Functions dla Visual Studio Code.
Uruchamianie interfejsu API lokalnie
- W programie Visual Studio Code w obszarze nawigacji po lewej stronie przejdź do rozszerzenia platformy Azure.
- Wybierz folder Projekt lokalny dla lokalnej funkcji platformy Azure.
- Naciśnij klawisz F5 lub wybierz pozycję Debuguj>Rozpocznij debugowanie. To polecenie używa utworzonej konfiguracji debugowania platformy Azure.
- Funkcja platformy Azure generuje pliki na potrzeby programowania lokalnego, instaluje zależności i narzędzia podstawowe funkcji, jeśli to konieczne.
- W panelu Visual Studio Code Terminal zostanie wyświetlone dane wyjściowe narzędzia Podstawowe funkcje.
- Po uruchomieniu hosta wybierz pozycję Alt+kliknij lokalny adres URL w danych wyjściowych.
- Przeglądarka zostanie otwarta i uruchomi funkcję .
- W eksploratorze Azure Functions kliknij prawym przyciskiem myszy funkcję, aby wyświetlić adres URL funkcji hostowanej lokalnie.
Dodawanie zmiennych środowiskowych
Przykład w tej sekcji chroni internetowy punkt końcowy interfejsu API podczas korzystania z uwierzytelniania podstawowego PROTOKOŁU HTTP. Dowiedz się więcej na stronie internetowej inżynieryjnej grupy zadaniowej RFC 7617: Uwierzytelnianie podstawowe.
Nazwa użytkownika i hasło są przechowywane jako zmienne środowiskowe, a nie część repozytorium. Dowiedz się więcej na temat kodu i testowania Azure Functions lokalnie pliku ustawień lokalnych.
- W folderze głównym utwórz plik local.settings.json.
- Skopiuj i wklej następujący kod do pliku:
{
"IsEncrypted": false,
"Values": {
"AzureWebJobsStorage": "",
"FUNCTIONS_WORKER_RUNTIME": "node",
"BASIC_AUTH_USERNAME": "<USERNAME>",
"BASIC_AUTH_PASSWORD": "<PASSWORD>",
"ARKOSE_PRIVATE_KEY": "<ARKOSE_PRIVATE_KEY>",
"B2C_EXTENSIONS_APP_ID": "<B2C_EXTENSIONS_APP_ID>"
}
}
- BASIC_AUTH_USERNAME iBASIC_AUTH_PASSWORD to poświadczenia służące do uwierzytelniania wywołania interfejsu API do funkcji platformy Azure. Wybierz wartości.
-
<
> ARKOSE_PRIVATE_KEY to wpis tajny po stronie serwera wygenerowany na platformie Arkose Labs.
- Wywołuje on interfejs API weryfikacji po stronie serwera usługi Arkose Labs w celu zweryfikowania wartości
ArkoseSessionToken
wygenerowanej przez fronton. - Zobacz Instrukcje po stronie serwera.
- Wywołuje on interfejs API weryfikacji po stronie serwera usługi Arkose Labs w celu zweryfikowania wartości
- < > B2C_EXTENSIONS_APP_ID jest identyfikatorem aplikacji używanym przez Azure AD B2C do przechowywania atrybutów niestandardowych w katalogu.
Przejdź do Rejestracje aplikacji.
Wyszukaj ciąg b2c-extensions-app.
W okienku Przegląd skopiuj identyfikator aplikacji (klienta).
-
Usuń znaki.
Wdrażanie aplikacji w Internecie
Wdróż funkcję platformy Azure w chmurze. Dowiedz się więcej z dokumentacją Azure Functions.
Skopiuj internetowy adres URL punktu końcowego funkcji platformy Azure.
Po wdrożeniu wybierz opcję Przekaż ustawienia .
Zmienne środowiskowe są przekazywane do ustawień aplikacji usługi App Service. Dowiedz się więcej na temat ustawień aplikacji na platformie Azure.
Uwaga
Aplikację funkcji można zarządzać. Zobacz też Wdrażanie plików projektu, aby dowiedzieć się więcej na temat Visual Studio Code programowania dla Azure Functions.
Konfigurowanie i włączanie łącznika interfejsu API
Tworzenie łącznika interfejsu API. Zobacz Dodawanie łącznika interfejsu API do przepływu użytkownika rejestracji.
Włącz go dla przepływu użytkownika.
- Adres URL punktu końcowego — adres URL funkcji skopiowany podczas wdrażania funkcji platformy Azure
- Nazwa użytkownika — zdefiniowana nazwa użytkownika
- Hasło — zdefiniowane hasło
W ustawieniach łącznika interfejsu API dla przepływu użytkownika wybierz łącznik interfejsu API do wywołania na stronie Przed utworzeniem użytkownika.
Interfejs API weryfikuje
ArkoseSessionToken
wartość.
Testowanie przepływu użytkownika
- Otwórz dzierżawę usługi Azure AD B2C.
- W obszarze Zasady wybierz pozycję Przepływy użytkownika.
- Wybierz utworzony przepływ użytkownika.
- Wybierz pozycję Uruchom przepływ użytkownika.
- W polu Aplikacja wybierz zarejestrowaną aplikację (na przykład JWT).
- W polu Adres URL odpowiedzi wybierz adres URL przekierowania.
- Wybierz pozycję Uruchom przepływ użytkownika.
- Wykonaj przepływ rejestracji.
- Utwórz konto.
- Wyloguj się.
- Wykonaj przepływ logowania.
- Wybierz opcję Kontynuuj.
- Pojawia się zagadka Arkose Labs.
Zasoby
-
Azure-Samples/active-directory-b2c-node-sign-up-user-flow-arkose
- Znajdowanie przepływu użytkownika tworzenia konta usługi Azure AD B2C
- omówienie zasad niestandardowych usługi Azure AD B2C
- Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure Active Directory B2C