Samouczek: konfigurowanie nok Nok Passport z usługą Azure Active Directory B2C na potrzeby uwierzytelniania bez hasła FIDO2

Dowiedz się, jak zintegrować pakiet uwierzytelniania Nok Nok S3 z dzierżawą usługi Azure Active Directory B2C (Azure AD B2C). Rozwiązania Nok Nok umożliwiają certyfikowane uwierzytelnianie wieloskładnikowe FIDO, takie jak FIDO UAF, FIDO U2F, WebAuthn i FIDO2 dla aplikacji mobilnych i internetowych. Rozwiązania Nok Nok zwiększają poziom zabezpieczeń podczas równoważenia środowiska użytkownika.

Aby noknok.com dowiedzieć się więcej: Nok Nok Labs, Inc.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne będą następujące elementy:

• Subskrypcja platformy Azure
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
  • Samouczek: Tworzenie dzierżawy usługi Azure Active Directory B2C
• Przejdź do noknok.com. W górnym menu wybierz pozycję Pokaz.

Opis scenariusza

Aby włączyć uwierzytelnianie FIDO bez hasła dla użytkowników, włącz nok Nok jako dostawcę tożsamości (IdP) w dzierżawie usługi Azure AD B2C. Integracja rozwiązania Nok Nok obejmuje następujące składniki:

• Azure AD B2C — serwer autoryzacji weryfikujący poświadczenia użytkownika
• Aplikacje internetowe i mobilne — aplikacje mobilne lub internetowe do ochrony za pomocą rozwiązań Nok Nok i Azure AD B2C
• Zestaw SDK aplikacji Nok Nok lub aplikacja usługi Passport — uwierzytelnianie Azure AD aplikacji z obsługą usługi B2C.
  • Przejdź do App Store Apple dla Nok Nok Passport
  • Lub, Google Play Nok Nok Passport

Na poniższym diagramie przedstawiono rozwiązanie Nok Nok jako dostawcę tożsamości dla Azure AD B2C przy użyciu protokołu OpenID Connect (OIDC) na potrzeby uwierzytelniania bez hasła.

1. Na stronie logowania użytkownik wybiera opcję logowania lub tworzenia konta i wprowadza nazwę użytkownika.
2. Azure AD B2C przekierowuje użytkownika do dostawcy uwierzytelniania Nok Nok OIDC.
3. W przypadku uwierzytelniania mobilnego zostanie wyświetlony kod QR lub powiadomienie wypychane zostanie wyświetlone na urządzeniu użytkownika. W przypadku logowania klasycznego użytkownik jest przekierowywany do strony logowania aplikacji internetowej na potrzeby uwierzytelniania bez hasła.
4. Użytkownik skanuje kod QR przy użyciu zestawu SDK aplikacji Nok Nok lub aplikacji Passport. Alternatywnie nazwa użytkownika to dane wejściowe strony logowania.
5. Użytkownik jest monitowany o uwierzytelnienie. Użytkownik wykonuje uwierzytelnianie bez hasła: dane biometryczne, numer PIN urządzenia lub dowolny wystawca uwierzytelnienia mobilnego. Monit o uwierzytelnienie jest wyświetlany w aplikacji internetowej. Użytkownik wykonuje uwierzytelnianie bez hasła: dane biometryczne, numer PIN urządzenia lub dowolny wystawca uwierzytelnienia mobilnego.
6. Serwer Nok Nok weryfikuje asercji FIDO i wysyła odpowiedź UWIERZYTELNIANIA OIDC do Azure AD B2C.
7. Użytkownik otrzymuje lub odmawia dostępu.

Wprowadzenie do nok Nok

1. Przejdź do strony kontaktów noknok.com.
2. Wypełnij formularz dla dzierżawy Nok Nok.
3. Wiadomość e-mail jest wysyłana z informacjami o dostępie do dzierżawy i linkami do dokumentacji.
4. Skorzystaj z dokumentacji integracji nok nok, aby ukończyć konfigurację OIDC dzierżawy.

Integracja z usługą Azure AD B2C

Skorzystaj z poniższych instrukcji, aby dodać i skonfigurować dostawcę tożsamości, a następnie skonfigurować przepływ użytkownika.

Dodawanie nowego dostawcy tożsamości

Aby uzyskać poniższe instrukcje, użyj katalogu z dzierżawą usługi Azure AD B2C. Aby dodać nowego dostawcę tożsamości:

1. Zaloguj się do Azure Portal jako administrator globalny dzierżawy usługi Azure AD B2C.
2. Na pasku narzędzi portalu wybierz katalogi i subskrypcje.
3. W obszarze Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog Azure AD B2C.
4. Wybierz pozycję Przełącz.
5. W lewym górnym rogu Azure Portal wybierz pozycję Wszystkie usługi.
6. Wyszukaj i wybierz pozycję Azure AD B2C.
7. Przejdź do pozycji Pulpit nawigacyjny>Dostawcy tożsamościusługi Azure Active Directory B2C>.
8. Wybierz pozycję Dostawcy tożsamości.
9. Wybierz pozycję Dodaj.

Konfigurowanie dostawcy tożsamości

Aby skonfigurować dostawcę tożsamości:

1. Wybierz typ >dostawcy tożsamościOpenID Connect (wersja zapoznawcza).
2. W polu Nazwa wprowadź ciąg Nok Nok Authentication Provider lub inną nazwę.
3. W polu Adres URL metadanych wprowadź identyfikator URI hostowanej aplikacji Nok Nok Authentication, a następnie ścieżkę, taką jak https://demo.noknok.com/mytenant/oidc/.well-known/openid-configuration
4. W przypadku klucza tajnego klienta użyj klucza tajnego klienta z nok Nok.
5. W polu Identyfikator klienta użyj identyfikatora klienta dostarczonego przez Nok Nok.
6. W polu Zakres użyj adresu e-mail profilu OpenID.
7. W polu Typ odpowiedzi użyj kodu.
8. W przypadku trybu odpowiedzi użyj form_post.
9. Wybierz przycisk OK.
10. Wybierz pozycję Mapuj oświadczenia tego dostawcy tożsamości.
11. W polu UserID (Identyfikator użytkownika) wybierz pozycję From subscription (Z subskrypcji).
12. W polu Nazwa wyświetlana wybierz pozycję Z subskrypcji.
13. W obszarze Tryb odpowiedzi wybierz pozycję Z subskrypcji.
14. Wybierz pozycję Zapisz.

Tworzenie zasad przepływu użytkownika

Aby uzyskać poniższe instrukcje, Nok Nok jest nowym dostawcą tożsamości OIDC na liście dostawców tożsamości B2C.

1. W dzierżawie usługi Azure AD B2C w obszarze Zasady wybierz pozycję Przepływy użytkownika.
2. Wybierz pozycję Nowy.
3. Wybierz pozycję Zarejestruj się i zaloguj się.
4. Wybierz wersję.
5. Wybierz przycisk Utwórz.
6. Wprowadź nazwę zasad.
7. W obszarze Dostawcy tożsamości wybierz utworzony dostawcę tożsamości Nok Nok.
8. Możesz dodać adres e-mail. Platforma Azure nie przekierowuje logowania do nok Nok; zostanie wyświetlony ekran z opcjami użytkownika.
9. W polu Uwierzytelnianie wieloskładnikowe pozostaw pole .
10. Wybierz pozycję Wymuszaj zasady dostępu warunkowego.
11. W obszarze Atrybuty użytkownika i oświadczenia tokenu w opcji Zbieraj atrybut wybierz pozycję Email Adres.
12. Dodaj atrybuty użytkownika dla identyfikatora Microsoft Entra do zbierania z oświadczeniami, które Azure AD B2C wracają do aplikacji klienckiej.
13. Wybierz przycisk Utwórz.
14. Wybierz nowy przepływ użytkownika.
15. W panelu po lewej stronie wybierz pozycję Oświadczenia aplikacji.
16. W obszarze opcji zaznacz pole wyboru wiadomości e-mail
17. Wybierz pozycję Zapisz.

Testowanie przepływu użytkownika

1. Otwórz dzierżawę usługi Azure AD B2C i w obszarze Zasady wybierz pozycję Identity Experience Framework.
2. Wybierz utworzony element SignUpSignIn.
3. Wybierz pozycję Uruchom przepływ użytkownika.
4. W polu Aplikacja wybierz zarejestrowaną aplikację. Przykładem jest JWT.
5. W polu Adres URL odpowiedzi wybierz adres URL przekierowania.
6. Wybierz pozycję Uruchom przepływ użytkownika.
7. Wykonaj przepływ rejestracji i utwórz konto.
8. Po utworzeniu atrybutu użytkownika jest wywoływany nok Nok.

Jeśli przepływ jest niekompletny, upewnij się, że użytkownik jest lub nie został zapisany w katalogu.

Następne kroki

• omówienie zasad niestandardowych usługi Azure AD B2C
• Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure Active Directory B2C