Tutorial para configurar o Nevis com o Azure Active Directory B2C para autenticação sem palavra-passe
Neste tutorial, saiba como ativar a autenticação sem palavra-passe no Azure Active Directory B2C (Azure AD B2C) com a aplicação Nevis Access para permitir a autenticação do cliente e cumprir os requisitos de transação da Diretiva 2 (PSD2) dos Serviços de Pagamento. O PSD2 é uma diretiva da União Europeia (UE), administrada pela Comissão Europeia (Direcção-Geral do Mercado Interno) para regular os serviços de pagamento e os prestadores de serviços de pagamento em toda a UE e o Espaço Económico Europeu (EEE).
Pré-requisitos
Para começar, precisará de:
- Uma conta de demonstração do Nevis
- Aceda ao nevis.net do Nevis + Microsoft Azure AD B2C para pedir uma conta
Uma subscrição do Azure
- Se não tiver uma, pode obter uma conta gratuita do Azure
- Um inquilino Azure AD B2C associado à sua subscrição do Azure
Nota
Para integrar o Nevis no fluxo da política de inscrição, configure o ambiente Azure AD B2C para utilizar políticas personalizadas.
Veja Tutorial: Criar fluxos de utilizador e políticas personalizadas no Azure Active Directory B2C.
Descrição do cenário
Adicione a aplicação de marca Access à sua aplicação de back-end para autenticação sem palavra-passe. Os seguintes componentes constituem a solução:
- Azure AD inquilino B2C com uma política de início de sessão e inscrição combinada para o back-end
- Instância do Nevis e a API REST para melhorar Azure AD B2C
- A sua aplicação de marca Access
O diagrama mostra a implementação.
- Um utilizador tenta iniciar sessão ou inscrever-se numa aplicação com Azure AD política B2C.
- Durante a inscrição, o Access é registado no dispositivo do utilizador com um código QR. É gerada uma chave privada no dispositivo do utilizador e é utilizada para assinar pedidos de utilizador.
- Azure AD B2C utiliza um perfil técnico RESTful para iniciar sessão com a solução Nevis.
- O pedido de início de sessão vai para o Access, como uma mensagem push, código QR ou uma ligação avançada.
- O utilizador aprova a tentativa de início de sessão com a respetiva biometria. Uma mensagem vai para Nevis, que verifica o início de sessão com a chave pública armazenada.
- Azure AD B2C envia um pedido ao Nevis para confirmar que o início de sessão está concluído.
- É concedido ou negado ao utilizador acesso à aplicação com uma mensagem de êxito ou falha Azure AD B2C.
Integrar o inquilino do Azure AD B2C
Pedir uma conta nevis
- Aceda a nevis.net para Nevis + Microsoft Azure AD B2C.
- Utilize o pedido de formulário de uma conta.
- Chegam dois e-mails:
- Notificação da conta de gestão
- Convite para aplicações móveis
Adicionar o inquilino do Azure AD B2C à sua conta nevis
- No e-mail de avaliação da conta de gestão, copie a chave de gestão.
- Num browser, abra https://console.nevis.cloud/.
- Utilize a chave de gestão para iniciar sessão na consola de gestão.
- Selecione Adicionar Instância.
- Selecione a instância criada.
- Na navegação lateral, selecione Integrações Personalizadas.
- Selecione Adicionar integração personalizada.
- Em Nome da Integração, introduza o Azure AD nome do inquilino B2C.
- Para URL/Domínio, introduza
https://yourtenant.onmicrosoft.com
. - Selecione Seguinte
- Selecione Concluído.
Nota
Irá precisar do token de acesso nevis mais tarde.
Instalar o Nevis Access no telemóvel
- A partir do e-mail de convite da aplicação móvel Nevis, abra o convite da aplicação Test Flight .
- Instale a aplicação.
Integrar Azure AD B2C com Nevis
- Inicie sessão no portal do Azure.
- Mude para o inquilino Azure AD B2C. Nota: o Azure AD inquilino B2C normalmente está num inquilino separado.
- No menu, selecione Identity Experience Framework (IEF).
- Selecione Chaves de Política.
- Selecione Adicionar.
- Crie uma nova chave.
- Em Opções, selecione Manual.
- Em Nome, selecione AuthCloudAccessToken.
- Em Segredo, cole o Token de Acesso nevis armazenado.
- Para Utilização da Chave, selecione Encriptação.
- Selecione Criar.
Configurar e carregar a nevis.html para o armazenamento de blobs do Azure
- No seu Ambiente de Identidade (IDE), aceda à pasta /master/samples/Nevis/policy .
- Em /samples/Nevis/policy/nevis.html abra o ficheiro de nevis.html.
- Substitua o authentication_cloud_url pelo URL
https://<instance_id>.mauth.nevis.cloud
da consola do Nevis Administração . - Selecione Guardar.
- Criar uma conta de armazenamento de Blobs do Azure.
- Carregue o ficheiro nevis.html para o armazenamento de blobs do Azure.
- Configurar o CORS.
- Ative a partilha de recursos de várias origens (CORS) para o ficheiro.
- Na lista, selecione o ficheiro nevis.html .
- No separador Descrição geral , junto ao URL, selecione o ícone copiar ligação .
- Abra a ligação num novo separador do browser para confirmar que é apresentada uma caixa cinzenta.
Nota
Irá precisar da ligação do blob mais tarde.
Personalizar TrustFrameworkBase.xml
- No IDE, aceda à pasta /samples/Nevis/policy .
- Abra TrustFrameworkBase.xml.
- Substitua o inquilino pelo nome da conta de inquilino do Azure em TenantId.
- Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyURI.
- Substitua todas as instâncias authentication_cloud_url pelo URL da consola do Nevis Administração.
- Selecione Guardar.
Personalizar TrustFrameworkExtensions.xml
- No IDE, aceda à pasta /samples/Nevis/policy .
- Abra TrustFrameworkExtensions.xml.
- Substitua o inquilino pelo nome da conta de inquilino do Azure em TenantId.
- Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyURI.
- Em BasePolicy, no TenantId, substitua o inquilino pelo nome da conta de inquilino do Azure.
- Em BuildingBlocks, substitua LoadUri pelo URL da ligação do blob nevis.html, na sua conta de armazenamento de blobs.
- Selecione Guardar.
Personalizar SignUpOrSignin.xml
- No IDE, aceda à pasta /samples/Nevis/policy .
- Abra o ficheiro SignUpOrSignin.xml .
- Substitua o inquilino pelo nome da conta de inquilino do Azure no TenantId.
- Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyUri.
- Em BasePolicy, em TenantId, substitua o inquilino pelo nome da conta de inquilino do Azure.
- Selecione Guardar.
Carregar políticas personalizadas para Azure AD B2C
- No portal do Azure, abra o inquilino Azure AD B2C.
- Selecione Estrutura de Experiência de Identidade.
- Selecione Carregar política personalizada.
- Selecione o ficheiroTrustFrameworkBase.xml que modificou.
- Selecione a caixa de verificação Substituir a política personalizada se já existir .
- Selecione Carregar.
- Repita os passos 5 e 6 para TrustFrameworkExtensions.xml.
- Repita os passos 5 e 6 para SignUpOrSignin.xml.
Testar o fluxo de utilizador
Testar a criação da conta e a configuração do Access
- No portal do Azure, abra o inquilino Azure AD B2C.
- Selecione Estrutura de Experiência de Identidade.
- Desloque-se para baixo até Políticas personalizadas e selecione B2C_1A_signup_signin.
- Selecione Executar agora.
- Na janela, selecione Inscrever-se agora.
- Adicione o seu endereço de e-mail.
- Selecione Enviar código de verificação.
- Copie o código de verificação do e-mail.
- Selecione Verificar.
- Preencha o formulário com a sua nova palavra-passe e nome a apresentar.
- Selecione Criar.
- É apresentada a página de análise do código QR.
- No telemóvel, abra a aplicação Nevis Access.
- Selecione Face ID.
- É apresentado o ecrã Registo de autenticação com êxito .
- Selecione Continuar.
- No telemóvel, autentique-se com o seu rosto.
- A página de boas-vindas jwt.ms é apresentada com os detalhes do token descodificado.
Testar o início de sessão sem palavra-passe
- Em Identity Experience Framework, selecione o B2C_1A_signup_signin.
- Selecione Executar agora.
- Na janela, selecione Autenticação Sem Palavra-passe.
- Introduza o seu endereço de e-mail.
- Selecione Continuar.
- No telemóvel, em Notificações, selecione Notificação da aplicação Nevis Access.
- Autentice-se com o seu rosto.
- A página de boas-vindas jwt.ms é apresentada com os seus tokens.