Planos de implantação do Azure Active Directory B2C
O Azure AD B2C (Azure Active Directory B2C) é uma solução de gerenciamento de identidades e acesso que pode facilitar a integração com a infraestrutura. Use as diretrizes a seguir para ajudar a entender os requisitos e a conformidade em uma implantação do Azure AD B2C.
Planejar a implantação do Azure AD B2C
Requisitos
- Avaliar o principal motivo para desativar sistemas
- Para um novo aplicativo, planeje o design do sistema de CIAM (Gerenciamento de Identidades e Acesso do Cliente)
- Confira Planejamento e design
- Identifique os locais do cliente e crie o locatário no datacenter correspondente
- Confirme os tipos de aplicativo e as tecnologias compatíveis:
- Para migrar de um provedor de identidade (IdP):
- Migração contínua
- Ir para
user-migration
- Selecione Protocolos
- Se você usar o Kerberos, a autenticação do Windows e a especificação Web Services Federation, confira o vídeo Migração de aplicativo e identidade para o Azure AD B2C
Após a migração, seus aplicativos poderão oferecer suporte a protocolos de identidade modernos, como Open Authorization (OAuth) 2.0 e OpenID Connect (OIDC).
Stakeholders
O sucesso do projeto de tecnologia depende do gerenciamento de expectativas, resultados e responsabilidades.
- Identificar o arquiteto de aplicativos, o gerente de programas técnicos e o proprietário
- Criar uma DL (lista de distribuição) para se comunicar com as equipes de engenharia ou da conta Microsoft
- Tirar dúvidas e receber notificações
- Identifique um parceiro ou recurso fora da sua organização para dar suporte a você
Saiba mais: incluir os stakeholders certos
Comunicações
Comunique-se de forma proativa e regular com os usuários sobre alterações pendentes e atuais. Informe-os sobre como e quando a experiência muda, e forneça um contato para suporte.
Linhas do tempo
Ajude a definir expectativas realistas e fazer planos de contingência para atender aos principais marcos:
- Data do piloto
- Data de lançamento
- Datas que afetam a entrega
- Dependências
Implementar uma implantação do Azure AD B2C
- Implantar aplicativos e identidades de usuário – Implantar aplicativo cliente e migrar identidades de usuário
- Integração de aplicativo cliente e entregas – Integrar o aplicativo cliente e testar a solução
- Segurança – Aprimorar a segurança da solução de identidade
- Conformidade – Atender aos requisitos regulatórios
- Experiência do usuário – Habilitar um serviço amigável
Implantar a autenticação e a autorização
- Antes que seus aplicativos interajam com o Azure AD B2C, registre-os em um locatário que você gerencia
- Para autorização, use os percursos do usuário de amostra do IEF (Identity Experience Framework)
- Usar o controle baseado em política para ambientes nativos de nuvem
- Vá para
openpolicyagent.org, para saber mais sobre o OPA (Open Policy Agent)
- Vá para
Saiba mais com o PDF de Identidade da Microsoft, Como obter conhecimento com o Azure AD B2C, um curso para desenvolvedores.
Lista de verificação de personas, permissões, delegação e chamadas
- Identificar as personas que acessam o aplicativo
- Definir como você gerencia permissões e direitos do sistema atualmente e no futuro
- Confirme se você tem um repositório de permissões e se há permissões para adicionar ao diretório
- Definir como você gerencia a administração delegada
- Por exemplo, o gerenciamento de clientes dos seus clientes
- Verificar se o aplicativo chama um APIM (Gerenciamento de API)
- Pode haver a necessidade de chamar do IdP, antes que um token seja emitido para o aplicativo
Implantar os aplicativos e as identidades de usuário
Os projetos do Azure AD B2C começam com um ou mais aplicativos cliente.
- A nova experiência de Registros de aplicativo para Azure Active Directory B2C
- Veja os exemplos de código do Azure Active Directory B2C para implementação
- Configurar o percurso do usuário com base em fluxos de usuário personalizados
Lista de verificação de implantação do aplicativo
- Aplicativos incluídos na implantação do CIAM
- Aplicativos em uso
- Por exemplo, aplicativos web, APIs, aplicativos web de página única (SPAs) ou aplicativos móveis nativos
- Autenticação em uso:
- Por exemplo, formulários federados com Security Assertion Markup Language (SAML) ou federados com OIDC
- No caso de OIDC, confirme o tipo de resposta: código ou id_token
- Determinar onde os aplicativos de front-end e back-end estão hospedados: local, nuvem ou nuvem híbrida
- Confirme as plataformas ou linguagens usadas:
- Por exemplo, ASP.NET, Java e Node.js
- Confira Guia de início rápido: configurar entrada para um aplicativo do ASP.NET usando o Azure Active Directory B2C
- Verificar onde os atributos de usuário são armazenados
- Por exemplo, LDAP (Lightweight Directory Access Protocol) ou bancos de dados
Lista de verificação de implantação de identidade do usuário
- Confirmar o número de usuários que acessam os aplicativos
- Determine os tipos de IdP necessários:
- Por exemplo, Facebook, conta local e Serviços de Federação do Active Directory (AD FS)
- Confira Serviços de Federação do Active Directory (AD FS)
- Defina o esquema de declaração necessário no aplicativo, no Azure AD B2C e nos IdPs, se aplicável
- Confira ClaimsSchema
- Determinar as informações a serem coletadas na entrada e na inscrição
Integração e entrega do aplicativo cliente
Use a lista de verificação a seguir para integrar um aplicativo
| Área | Descrição |
|---|---|
| Grupo de usuários de destino do aplicativo | Selecione entre clientes finais, clientes empresariais ou um serviço digital. Determine a necessidade de entrada do funcionário. |
| Valor de negócios do aplicativo | Entenda a necessidade ou objetivo comercial para determinar a melhor solução Azure AD B2C e integração com outros aplicativos clientes. |
| Os grupos de identidade | Identidades de cluster para os grupos com requisitos, como B2C, B2B, B2E e B2M para contas de serviço e entrada de dispositivo IoT. |
| IdP (provedor de identidade) | Confira Selecionar um provedor de identidade. Por exemplo, para um aplicativo móvel C2C, use um processo de fácil entrada. O B2C com serviços digitais tem requisitos de conformidade. Considere a entrada por email. |
| Restrições regulatórias | Determine a necessidade de perfis remotos ou políticas de privacidade. |
| Fluxo de entrada e inscrição | Confirme a verificação por email ou a verificação por email durante a inscrição. Para fazer o check-out de processos, confira Como funciona: autenticação multifator do Microsoft Entra. Confira o vídeo Migração de usuário do Azure AD B2C usando a API do Microsoft Graph. |
| Aplicativo e protocolo de autenticação | Implemente aplicativos cliente, como aplicativo Web, SPA (aplicativo de página única) ou nativo. Protocolos de autenticação para os aplicativos cliente e Azure AD B2C: OAuth, OIDC e SAML. Confira o vídeo Como proteger APIs Web com o Microsoft Entra ID. |
| migração de usuário | Confirme se você migrará usuários para o Azure AD B2C: migração JIT e importação/exportação em massa. Confira o vídeo Estratégias de migração de usuários do Azure AD B2C. |
Use a lista de verificação a seguir para entrega.
| Área | Descrição |
|---|---|
| Informações de protocolo | Reúna o caminho base, as políticas e a URL de metadados de ambas as variantes. Especifique atributos como entrada de amostra, ID do aplicativo cliente, segredos e redirecionamentos. |
| Exemplos de aplicativo | Confira Exemplos de código do Azure Active Directory B2C. |
| Teste de penetração | Informe sua equipe de operações sobre os testes de penetração e, em seguida, teste os fluxos de usuário, incluindo a implantação do OAuth. Confira Teste de penetração e Regras do teste de penetração de participação. |
| Teste de unidade | Realize o teste de unidade e gere tokens. Confira Plataforma de identidade da Microsoft e credenciais de senha do proprietário do recurso OAuth 2.0. Se você atingir o limite de token do Azure AD B2C, confira Azure AD B2C: Solicitações de Suporte a Arquivos. Reutilize os tokens para reduzir a investigação na infraestrutura. Configure um fluxo de credenciais de senha de proprietário do recurso no Azure Active Directory B2C. Você não deve usar o fluxo ROPC para autenticar usuários em seus aplicativos. |
| Teste de carga | Saiba mais sobre Restrições e limites de serviço do Azure AD B2C. Calcule as autenticações esperadas e as entradas do usuário por mês. Avalie as durações de tráfego de alta carga e os motivos comerciais: feriado, migração e evento. Determine as taxas de pico esperadas para inscrição, tráfego e distribuição geográfica, por exemplo, por segundo. |
Segurança
Use a lista de verificação a seguir para aprimorar a segurança do aplicativo.
- Método de autenticação, como autenticação multifator:
- A autenticação multifator é recomendada para usuários que acionam transações de alto valor ou outros eventos de risco. Por exemplo, processos bancários, financeiros e de check-out.
- Quais métodos de autenticação e verificação estão disponíveis no ID do Microsoft Entra?
- Confirmar o uso de mecanismos anti-bot
- Avaliar o risco das tentativas de criar uma conta ou entrada fraudulenta
- Confirmar as posturas condicionais necessárias como parte da entrada ou da criação de conta
Acesso Condicional e Microsoft Entra ID Protection
- O perímetro de segurança moderno agora se estende para além da rede de uma organização. O perímetro inclui a identidade do usuário e do dispositivo.
- Consulte, O que é Acesso Condicional?
- Aprimorar a segurança do Azure AD B2C com o Microsoft Entra ID Protection
Conformidade
Para ajudar a cumprir os requisitos regulamentares e melhorar a segurança do sistema back-end, você pode usar redes virtuais (VNets), restrições de IP, Firewall de Aplicativo Web e assim por diante. Considere os seguintes requisitos:
- Os requisitos de conformidade regulatória
- Por exemplo, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
- Acesse pcisecuritystandards.org para saber mais sobre o Conselho de Padrões de Segurança da PCI
- Armazenamento de dados em um repositório de banco de dados separado
- Determine se essas informações não podem ser gravadas no diretório
Experiência do usuário
Use a lista de verificação a seguir para ajudar a definir os requisitos de experiência do usuário.
- Identifique as integrações para estender as funcionalidades do CIAM e criar experiências incríveis para o usuário final
- Usar capturas de tela e histórias de usuário para mostrar a experiência do usuário final do aplicativo
- Por exemplo, capturas de tela de entrada, inscrição, SUSI (inscrição/entrada), edição de perfil e redefinição de senha
- Procure dicas transmitidas usando parâmetros de cadeia de caracteres de consulta em sua solução CIAM
- Para alta personalização da experiência do usuário, considere usar um desenvolvedor front-end
- No Azure AD B2C, você pode personalizar o HTML e o CSS
- Confira Diretrizes para usar JavaScript
- Implemente uma experiência inserida usando o suporte ao iframe:
- Confira Experiência incorporada de entrada ou de inscrição
- Para um aplicativo de página única, use uma segunda página HTML de entrada que é carregada no elemento
<iframe>
Monitoramento, auditoria e registro
Use a lista de verificação a seguir para monitoramento, auditoria e registro.
- Monitoramento
- Auditoria e log
Recursos
- Registrar um aplicativo Microsoft Graph
- Gerenciar o Azure AD B2C com Microsoft Graph
- Implantar políticas personalizadas com o Azure Pipelines
- Gerenciar Azure AD B2C políticas personalizadas com Azure PowerShell
Próximas etapas
Recomendações e melhores práticas para Azure Active Directory B2C