Plany wdrażania usługi Azure Active Directory B2C

Usługa Azure Active Directory B2C (Azure AD B2C) to rozwiązanie do zarządzania tożsamościami i dostępem, które może ułatwić integrację z infrastrukturą. Skorzystaj z poniższych wskazówek, aby zrozumieć wymagania i zgodność w całym wdrożeniu usługi Azure AD B2C.

Planowanie wdrożenia usługi Azure AD B2C

Wymagania

• Ocena głównej przyczyny wyłączenia systemów
  • Zobacz Co to jest usługa Azure Active Directory B2C?
• W przypadku nowej aplikacji zaplanuj projekt systemu zarządzania dostępem do tożsamości klienta (CIAM)
  • Zobacz, Planowanie i projektowanie
• Identyfikowanie lokalizacji klientów i tworzenie dzierżawy w odpowiednim centrum danych
  • Zobacz Samouczek: tworzenie dzierżawy usługi Azure Active Directory B2C
• Potwierdź typy aplikacji i obsługiwane technologie:
  • Przegląd Microsoft Authentication Library (MSAL)
  • Programowanie przy użyciu języków open source, struktur, baz danych i narzędzi na platformie Azure.
  • W przypadku usług zaplecza użyj przepływu poświadczeń klienta
• Aby przeprowadzić migrację z dostawcy tożsamości:
  • Bezproblemowa migracja
  • Przejdź do strony user-migration
• Wybieranie protokołów
  • Jeśli używasz protokołu Kerberos, programu Microsoft Windows NT LAN Manager (NTLM) i federacji usług sieci Web (WS-Fed), zobacz wideo, migracja aplikacji i tożsamości do usługi Azure AD B2C

Po migracji aplikacje mogą obsługiwać nowoczesne protokoły tożsamości, takie jak Open Authorization (OAuth) 2.0 i OpenID Connect (OIDC).

Uczestnicy

Sukces projektu technologicznego zależy od zarządzania oczekiwaniami, wynikami i obowiązkami.

• Identyfikowanie architekta aplikacji, menedżera programu technicznego i właściciela
• Tworzenie listy dystrybucyjnej (DL) w celu komunikowania się z zespołami ds. kont Microsoft lub inżynierów
  • Zadawanie pytań, uzyskiwanie odpowiedzi i otrzymywanie powiadomień
• Identyfikowanie partnera lub zasobu spoza organizacji w celu obsługi

Dowiedz się więcej: Uwzględnij odpowiednie osoby biorące udział w projekcie

Komunikacja

Proaktywnie i regularnie komunikują się z użytkownikami na temat oczekujących i bieżących zmian. Poinformuj ich o tym, jak zmienia się środowisko, kiedy się zmienia, i podaj kontakt w celu uzyskania pomocy technicznej.

Harmonogram

Pomóż określić realistyczne oczekiwania i wprowadzić plany awaryjne, aby spełnić kluczowe kamienie milowe:

• Data pilotażu
• Data uruchomienia
• Daty wpływające na dostarczanie
• Zależności

Implementowanie wdrożenia usługi Azure AD B2C

• Wdrażanie aplikacji i tożsamości użytkowników — wdrażanie aplikacji klienckiej i migrowanie tożsamości użytkowników
• Dołączanie i dostarczanie aplikacji klienckiej — dołączanie aplikacji klienckiej i testowanie rozwiązania
• Zabezpieczenia — ulepszanie zabezpieczeń rozwiązania do obsługi tożsamości
• Zgodność — spełnianie wymagań prawnych
• Środowisko użytkownika — włączanie przyjaznej dla użytkownika usługi

Wdrażanie uwierzytelniania i autoryzacji

• Zanim aplikacje wchodzą w interakcję z usługą Azure AD B2C, zarejestruj je w dzierżawie, którą zarządzasz
  • Zobacz Samouczek: tworzenie dzierżawy usługi Azure Active Directory B2C
• Aby uzyskać autoryzację, skorzystaj z przykładowych podróży użytkowników programu Identity Experience Framework (IEF)
  • Zobacz Azure Active Directory B2C: niestandardowe podróże użytkowników CIAM
• Używanie kontroli opartej na zasadach dla środowisk natywnych dla chmury
  • Przejdź do strony , aby dowiedzieć openpolicyagent.org się więcej o programie Open Policy Agent (OPA)

Dowiedz się więcej za pomocą pliku PDF tożsamości firmy Microsoft, zdobywając wiedzę z usługą Azure AD B2C, kurs dla deweloperów.

Lista kontrolna osób, uprawnień, delegowania i wywołań

• Identyfikowanie osób, które uzyskują dostęp do aplikacji
• Definiowanie sposobu zarządzania uprawnieniami i uprawnieniami systemu w przyszłości
• Potwierdź, że masz magazyn uprawnień i czy istnieją uprawnienia do dodania do katalogu
• Definiowanie sposobu zarządzania administrowanie delegowanymi
  • Na przykład zarządzanie klientami klientów
• Sprawdzanie, czy aplikacja wywołuje usługę API Manager (APIM)
  • Może być konieczne wywołanie z dostawcy tożsamości przed wystawieniem tokenu przez aplikację

Wdrażanie aplikacji i tożsamości użytkowników

Projekty usługi Azure AD B2C zaczynają się od co najmniej jednej aplikacji klienckiej.

• Nowe środowisko Rejestracje aplikacji dla usługi Azure Active Directory B2C
  • Zapoznaj się z przykładami kodu usługi Azure Active Directory B2C, aby zapoznać się z implementacją
• Konfigurowanie podróży użytkownika na podstawie niestandardowych przepływów użytkownika
  • Porównywanie przepływów użytkownika i zasad niestandardowych
  • Dodawanie dostawcy tożsamości do dzierżawy usługi Azure Active Directory B2C
  • Migrowanie użytkowników do usługi Azure AD B2C
  • Azure Active Directory B2C: niestandardowe podróże użytkowników CIAM na potrzeby zaawansowanych scenariuszy

Lista kontrolna wdrażania aplikacji

• Aplikacje uwzględnione we wdrożeniu CIAM
• Aplikacje w użyciu
  • Na przykład aplikacje internetowe, interfejsy API, aplikacje jednostronicowe (SPA) lub natywne aplikacje mobilne
• Uwierzytelnianie w użyciu:
  • Na przykład formularze federacyjne z usługą Security Assertion Markup Language (SAML) lub federacyjne z funkcją OIDC
  • Jeśli OIDC, potwierdź typ odpowiedzi: kod lub id_token
• Określanie, gdzie są hostowane aplikacje frontonu i zaplecza: lokalne, w chmurze lub w chmurze hybrydowej
• Potwierdź używane platformy lub języki:
  • Na przykład ASP.NET, Java i Node.js
  • Zobacz Szybki start: konfigurowanie logowania dla aplikacji ASP.NET przy użyciu usługi Azure AD B2C
• Sprawdź, gdzie są przechowywane atrybuty użytkownika
  • Na przykład protokół LDAP (Lightweight Directory Access Protocol) lub bazy danych

Lista kontrolna wdrażania tożsamości użytkownika

• Potwierdzanie liczby użytkowników, którzy uzyskują dostęp do aplikacji
• Określ wymagane typy dostawcy tożsamości:
  • Na przykład Facebook, konto lokalne i usługi Active Directory Federation Services (AD FS)
  • Zobacz Usługi federacyjne Active Directory
• Przedstawienie schematu oświadczenia wymaganego z aplikacji, usługi Azure AD B2C i dostawców tożsamości, jeśli ma to zastosowanie
  • Zobacz, ClaimsSchema
• Określanie informacji, które mają być zbierane podczas logowania i rejestracji
  • Konfigurowanie przepływu rejestracji i logowania w usłudze Azure Active Directory B2C

Dołączanie i dostarczanie aplikacji klienckiej

Użyj poniższej listy kontrolnej dotyczącej dołączania aplikacji

Obszar	opis
Docelowa grupa użytkowników aplikacji	Wybierz spośród klientów końcowych, klientów biznesowych lub usługi cyfrowej. Określ potrzebę logowania pracownika.
Wartość biznesowa aplikacji	Poznaj potrzebę biznesową lub cel, aby określić najlepsze rozwiązanie usługi Azure AD B2C i integrację z innymi aplikacjami klienckimi.
Grupy tożsamości	Tożsamości klastra w grupach z wymaganiami, takimi jak business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E) i business-to-machine (B2M) na potrzeby logowania urządzeń IoT i kont usług.
Dostawca tożsamości (IdP)	Zobacz Wybieranie dostawcy tożsamości. Na przykład w przypadku aplikacji mobilnej typu klient-klient (C2C) użyj łatwego procesu logowania. Usługa B2C z usługami cyfrowymi ma wymagania dotyczące zgodności. Rozważ zalogowanie się w wiadomości e-mail.
Ograniczenia regulacyjne	Określ potrzebę korzystania z profilów zdalnych lub zasad ochrony prywatności.
Przepływ logowania i rejestracji	Potwierdź weryfikację wiadomości e-mail lub weryfikację poczty e-mail podczas rejestracji. Aby zapoznać się z procesami wyewidencjonowywaniem, zobacz Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft. Zobacz wideo Migracja użytkowników usługi Azure AD B2C przy użyciu interfejsu API programu Microsoft Graph.
Protokół aplikacji i uwierzytelniania	Zaimplementuj aplikacje klienckie, takie jak aplikacja internetowa, jednostronicowa aplikacja (SPA) lub natywna. Protokoły uwierzytelniania dla aplikacji klienckiej i usługi Azure AD B2C: OAuth, OIDC i SAML. Zobacz wideo Ochrona internetowych interfejsów API za pomocą identyfikatora Entra firmy Microsoft.
Migracja użytkowników	Sprawdź, czy przeprowadzisz migrację użytkowników do usługi Azure AD B2C: migracja just in time (JIT) i importowanie/eksportowanie zbiorcze. Zobacz wideo Strategie migracji użytkowników usługi Azure AD B2C.

Użyj poniższej listy kontrolnej do dostarczenia.

Obszar	opis
Informacje o protokole	Zbierz ścieżkę podstawową, zasady i adres URL metadanych obu wariantów. Określ atrybuty, takie jak przykładowe logowanie, identyfikator aplikacji klienckiej, wpisy tajne i przekierowania.
Przykłady aplikacji	Zobacz Przykłady kodu usługi Azure Active Directory B2C.
Testy penetracyjne	Poinformuj zespół operacyjny o testach piórowych, a następnie przetestuj przepływy użytkowników, w tym implementację protokołu OAuth. Zobacz, Testy penetracyjne i Reguły testowania penetracyjnego zakontraktowania.
Testowanie jednostek	Test jednostkowy i generowanie tokenów. Zobacz Platforma tożsamości Microsoft i poświadczenia hasła właściciela zasobu OAuth 2.0. Jeśli osiągniesz limit tokenu usługi Azure AD B2C, zobacz Azure AD B2C: żądania obsługi plików. Ponowne używanie tokenów w celu zmniejszenia badania infrastruktury. Skonfiguruj przepływ poświadczeń hasła właściciela zasobu w usłudze Azure Active Directory B2C. Nie należy używać przepływu ROPC do uwierzytelniania użytkowników w aplikacjach.
Testowanie obciążeniowe	Dowiedz się więcej o limitach i ograniczeniach usługi Azure AD B2C. Oblicz oczekiwane uwierzytelnianie i logowania użytkowników miesięcznie. Oceń czasy trwania dużego obciążenia i przyczyny biznesowe: wakacje, migracja i zdarzenie. Określ oczekiwane szczytowe wskaźniki rejestracji, ruchu i dystrybucji geograficznej, na przykład na sekundę.

Zabezpieczenia

Użyj poniższej listy kontrolnej, aby zwiększyć bezpieczeństwo aplikacji.

• Metoda uwierzytelniania, taka jak uwierzytelnianie wieloskładnikowe:
  • Uwierzytelnianie wieloskładnikowe jest zalecane dla użytkowników, którzy wyzwalają transakcje o wysokiej wartości lub inne zdarzenia o podwyższonym ryzyku. Na przykład bankowość, finanse i procesy wyewidencjonowywanie.
  • Zobacz, Jakie metody uwierzytelniania i weryfikacji są dostępne w identyfikatorze Entra firmy Microsoft?
• Potwierdzanie użycia mechanizmów ochrony przed botami
• Ocena ryzyka prób utworzenia fałszywego konta lub logowania
  • Zobacz Samouczek: konfigurowanie usługi Microsoft Dynamics 365 Fraud Protection przy użyciu usługi Azure Active Directory B2C
• Potwierdzanie wymaganych stanów warunkowych w ramach logowania lub rejestracji

Dostęp warunkowy i Ochrona tożsamości Microsoft Entra

• Nowoczesny obwód zabezpieczeń wykracza teraz poza sieć organizacji. Obwód obejmuje tożsamość użytkownika i urządzenia.
  • Zobacz Co to jest dostęp warunkowy?
• Zwiększanie bezpieczeństwa usługi Azure AD B2C przy użyciu Ochrona tożsamości Microsoft Entra
  • Zobacz, ochrona identyfikatorów i dostęp warunkowy w usłudze Azure AD B2C

Zgodność

Aby zapewnić zgodność z wymaganiami prawnymi i zwiększyć bezpieczeństwo systemu zaplecza, możesz użyć sieci wirtualnych , ograniczeń adresów IP, zapory aplikacji internetowej itd. Weź pod uwagę następujące wymagania:

• Wymagania dotyczące zgodności z przepisami
  • Na przykład Payment Card Industry Data Security Standard (PCI DSS)
  • Przejdź do pcisecuritystandards.org, aby dowiedzieć się więcej na temat Rady Standardów Bezpieczeństwa PCI
• Magazyn danych w oddzielnym magazynie bazy danych
  • Ustal, czy nie można zapisać tych informacji w katalogu

Środowisko użytkownika

Skorzystaj z poniższej listy kontrolnej, aby zdefiniować wymagania dotyczące środowiska użytkownika.

• Identyfikowanie integracji w celu rozszerzenia możliwości CIAM i tworzenia bezproblemowych środowisk użytkownika końcowego
  • Partnerzy niezależnego dostawcy oprogramowania (ISV) usługi Azure Active Directory B2C
• Użyj zrzutów ekranu i scenariuszy użytkownika, aby wyświetlić środowisko użytkownika końcowego aplikacji
  • Na przykład zrzuty ekranu logowania, rejestracji, rejestracji/logowania (SUSI), edytowania profilu i resetowania hasła
• Poszukaj wskazówek przekazywanych przy użyciu parametrów ciągu zapytania w rozwiązaniu CIAM
• W przypadku dostosowywania środowiska użytkownika należy rozważyć użycie dewelopera frontonu
• W usłudze Azure AD B2C można dostosować kod HTML i CSS
  • Zobacz Wskazówki dotyczące korzystania z języka JavaScript
• Zaimplementuj środowisko osadzone przy użyciu obsługi elementów iframe:
  • Zobacz Embedded sign-up or sign-in experience ( Środowisko rejestracji osadzonej lub logowania)
  • W przypadku aplikacji jednostronicowej użyj drugiej strony HTML logowania, która ładuje się do <iframe> elementu

Monitorowanie inspekcji i rejestrowania

Poniższa lista kontrolna służy do monitorowania, inspekcji i rejestrowania.

• Monitoring
  • Monitorowanie usługi Azure AD B2C za pomocą usługi Azure Monitor
  • Zobacz wideo Monitorowanie i raportowanie usługi Azure AD B2C przy użyciu usługi Azure Monitor
• Inspekcja i rejestrowanie
  • Uzyskiwanie dostępu do dzienników inspekcji usługi Azure AD B2C

Zasoby

• Rejestrowanie aplikacji programu Microsoft Graph
• Zarządzanie usługą Azure AD B2C za pomocą programu Microsoft Graph
• Wdrażanie zasad niestandardowych za pomocą usługi Azure Pipelines
• Zarządzanie zasadami niestandardowymi usługi Azure AD B2C za pomocą programu Azure PowerShell

Następne kroki

Zalecenia i najlepsze rozwiązania dotyczące usługi Azure Active Directory B2C