Planos de implantação do Azure Ative Directory B2C
O Azure Ative Directory B2C (Azure AD B2C) é uma solução de gerenciamento de identidade e acesso que pode facilitar a integração com sua infraestrutura. Use as diretrizes a seguir para ajudar a entender os requisitos e a conformidade em toda uma implantação do Azure AD B2C.
Planejar uma implantação do Azure AD B2C
Requisitos
- Avalie o principal motivo para desligar os sistemas
- Consulte O que é o Azure Ative Directory B2C?
- Para um novo aplicativo, planeje o design do sistema de Gerenciamento de Acesso de Identidade do Cliente (CIAM)
- Ver, Planeamento e design
- Identificar locais de clientes e criar um locatário no datacenter correspondente
- Confirme os tipos de aplicativos e as tecnologias suportadas:
- Descrição geral da Biblioteca de Autenticação da Microsoft (MSAL)
- Desenvolva com linguagens, estruturas, bancos de dados e ferramentas de código aberto no Azure.
- Para serviços de back-end, use o fluxo de credenciais do cliente
- Para migrar de um provedor de identidade (IdP):
- Migração perfeita
- Aceda a
user-migration
- Selecionar protocolos
- Se você usar Kerberos, Microsoft Windows NT LAN Manager (NTLM) e Web Services Federation (WS-Fed), consulte o vídeo, Migração de aplicativo e identidade para o Azure AD B2C
Após a migração, seus aplicativos podem suportar protocolos de identidade modernos, como Open Authorization (OAuth) 2.0 e OpenID Connect (OIDC).
Intervenientes
O sucesso do projeto de tecnologia depende do gerenciamento de expectativas, resultados e responsabilidades.
- Identificar o arquiteto de aplicativos, o gerente de programa técnico e o proprietário
- Criar uma lista de distribuição (DL) para comunicar com a conta Microsoft ou com as equipas de engenharia
- Faça perguntas, obtenha respostas e receba notificações
- Identificar um parceiro ou recurso fora da sua organização para apoiá-lo
Saiba mais: Inclua as partes interessadas certas
Comunicações
Comunique-se de forma proativa e regular com seus usuários sobre alterações pendentes e atuais. Informe-os sobre como a experiência muda, quando muda, e forneça um contato para suporte.
Linhas cronológicas
Ajude a definir expectativas realistas e a elaborar planos de contingência para cumprir os principais marcos:
- Data do piloto
- Data de lançamento
- Datas que afetam a entrega
- Dependências
Implementar uma implantação do Azure AD B2C
- Implantar aplicativos e identidades de usuário - Implantar aplicativo cliente e migrar identidades de usuário
- Integração e entregas do aplicativo cliente - Integre o aplicativo cliente e teste a solução
- Segurança - Melhore a segurança da solução de identidade
- Conformidade - Atender aos requisitos normativos
- Experiência do usuário - Habilite um serviço amigável
Implantar autenticação e autorização
- Antes que seus aplicativos interajam com o Azure AD B2C, registre-os em um locatário que você gerencia
- Para autorização, use as jornadas de usuário de exemplo do Identity Experience Framework (IEF)
- Usar controle baseado em políticas para ambientes nativos da nuvem
- Ir para
openpolicyagent.orgsaber mais sobre o Open Policy Agent (OPA)
- Ir para
Saiba mais com o PDF do Microsoft Identity, Ganhando experiência com o Azure AD B2C, um curso para desenvolvedores.
Lista de verificação para personas, permissões, delegação e chamadas
- Identifique as personas que acessam seu aplicativo
- Defina como você gerencia as permissões e direitos do sistema hoje e no futuro
- Confirme se você tem um armazenamento de permissões e se há permissões para adicionar ao diretório
- Definir como você gerencia a administração delegada
- Por exemplo, a gestão de clientes dos seus clientes
- Verifique se seu aplicativo chama um Gerenciador de API (APIM)
- Pode haver a necessidade de chamar do IdP antes que o aplicativo seja emitido um token
Implantar aplicativos e identidades de usuário
Os projetos do Azure AD B2C começam com um ou mais aplicativos cliente.
- A nova experiência de registros de aplicativos para o Azure Ative Directory B2C
- Consulte Exemplos de código B2C do Azure Ative Directory para implementação
- Configure sua jornada do usuário com base em fluxos de usuário personalizados
- Comparando fluxos de usuários e políticas personalizadas
- Adicionar um provedor de identidade ao locatário do Azure Ative Directory B2C
- Migrar usuários para o Azure AD B2C
- Azure Ative Directory B2C: Jornadas de usuário CIAM personalizadas para cenários avançados
Lista de verificação de implantação de aplicativos
- Aplicativos incluídos na implantação do CIAM
- Aplicações em uso
- Por exemplo, aplicativos Web, APIs, aplicativos Web de página única (SPAs) ou aplicativos móveis nativos
- Autenticação em uso:
- Por exemplo, formulários federados com SAML (Security Assertion Markup Language) ou federados com OIDC
- Se OIDC, confirme o tipo de resposta: código ou id_token
- Determine onde os aplicativos front-end e back-end estão hospedados: local, na nuvem ou na nuvem híbrida
- Confirme as plataformas ou idiomas em uso:
- Por exemplo, ASP.NET, Java e Node.js
- Consulte Guia de início rápido: configurar o logon para um aplicativo ASP.NET usando o Azure AD B2C
- Verificar onde os atributos do usuário são armazenados
- Por exemplo, LDAP (Lightweight Directory Access Protocol) ou bancos de dados
Lista de verificação de implantação de identidade do usuário
- Confirmar o número de utilizadores que acedem às aplicações
- Determine os tipos de IdP necessários:
- Por exemplo, Facebook, conta local e Serviços de Federação do Ative Directory (AD FS)
- Consulte Serviços de Federação do Ative Directory
- Descrever o esquema de declaração exigido do seu aplicativo, Azure AD B2C e IdPs, se aplicável
- Consulte, ClaimsSchema
- Determinar as informações a recolher durante o início de sessão e a inscrição
Integração e entregas de aplicativos cliente
Use a lista de verificação a seguir para integrar um aplicativo
| Área | Description |
|---|---|
| Grupo de usuários de destino do aplicativo | Selecione entre clientes finais, clientes empresariais ou um serviço digital. Determine a necessidade de entrada do funcionário. |
| Valor comercial do aplicativo | Entenda a necessidade ou meta comercial para determinar a melhor solução do Azure AD B2C e a integração com outros aplicativos cliente. |
| Os seus grupos de identidade | Agrupe identidades em grupos com requisitos, como business-to-consumer (B2C), business-to-business (B2B), business-to-employee (B2E) e business-to-machine (B2M) para login de dispositivo IoT e contas de serviço. |
| Provedor de identidade (IdP) | Consulte Selecionar um provedor de identidade. Por exemplo, para um aplicativo móvel cliente a cliente (C2C), use um processo de login fácil. B2C com serviços digitais tem requisitos de conformidade. Considere o início de sessão por e-mail. |
| Restrições regulamentares | Determine a necessidade de perfis remotos ou políticas de privacidade. |
| Fluxo de entrada e inscrição | Confirme a verificação de e-mail ou a verificação de e-mail durante a inscrição. Para processos de check-out, consulte Como funciona: autenticação multifator do Microsoft Entra. Veja o vídeo Migração de usuário do Azure AD B2C usando a API do Microsoft Graph. |
| Protocolo de aplicação e autenticação | Implemente aplicativos cliente, como aplicativo Web, aplicativo de página única (SPA) ou nativo. Protocolos de autenticação para aplicativo cliente e Azure AD B2C: OAuth, OIDC e SAML. Veja o vídeo Protegendo APIs da Web com o Microsoft Entra ID. |
| Migração de usuários | Confirme se você migrará usuários para o Azure AD B2C: migração Just-in-time (JIT) e importação/exportação em massa. Veja o vídeo Estratégias de migração de usuários do Azure AD B2C. |
Use a seguinte lista de verificação para entrega.
| Área | Description |
|---|---|
| Informações sobre o protocolo | Reúna o caminho base, as políticas e a URL de metadados de ambas as variantes. Especifique atributos como entrada de exemplo, ID do aplicativo cliente, segredos e redirecionamentos. |
| Amostras de aplicação | Consulte Exemplos de código B2C do Azure Ative Directory. |
| Testes de penetração | Informe sua equipe de operações sobre testes de caneta e, em seguida, teste os fluxos de usuários, incluindo a implementação OAuth. Consulte Teste de penetração e Regras de engajamento de testes de penetração. |
| Teste de unidades | Teste de unidade e gere tokens. Consulte Plataforma de identidade da Microsoft e Credenciais de senha do proprietário do recurso OAuth 2.0. Se você atingir o limite de token do Azure AD B2C, consulte Azure AD B2C: Solicitações de suporte a arquivos. Reutilize tokens para reduzir a investigação em sua infraestrutura. Configure um fluxo de credenciais de senha de proprietário de recurso no Azure Ative Directory B2C. Você não deve usar o fluxo ROPC para autenticar usuários em seus aplicativos. |
| Teste de carga | Saiba mais sobre os limites e restrições de serviço do Azure AD B2C. Calcule as autenticações esperadas e os logins de usuário por mês. Avalie as durações de tráfego de alta carga e os motivos comerciais: férias, migração e eventos. Determine as taxas de pico esperadas para inscrição, tráfego e distribuição geográfica, por exemplo, por segundo. |
Segurança
Use a lista de verificação a seguir para melhorar a segurança do aplicativo.
- Método de autenticação, como autenticação multifator:
- A autenticação multifator é recomendada para usuários que acionam transações de alto valor ou outros eventos de risco. Por exemplo, processos bancários, financeiros e de check-out.
- Consulte Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
- Confirmar o uso de mecanismos anti-bot
- Avaliar o risco de tentativas de criar uma conta fraudulenta ou iniciar sessão
- Confirme as posturas condicionais necessárias como parte do início de sessão ou inscrição
Acesso Condicional e Proteção de ID do Microsoft Entra
- O perímetro de segurança moderno agora se estende além da rede de uma organização. O perímetro inclui a identidade do usuário e do dispositivo.
- Consulte O que é Acesso Condicional?
- Melhore a segurança do Azure AD B2C com o Microsoft Entra ID Protection
Conformidade
Para ajudar a cumprir os requisitos normativos e melhorar a segurança do sistema back-end, você pode usar redes virtuais (VNets), restrições de IP, Web Application Firewall e assim por diante. Considere os seguintes requisitos:
- Os seus requisitos de conformidade regulamentar
- Por exemplo, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
- Vá para pcisecuritystandards.org para saber mais sobre o PCI Security Standards Council
- Armazenamento de dados em um armazenamento de banco de dados separado
- Determinar se essas informações não podem ser gravadas no diretório
Experiência de utilizador
Use a lista de verificação a seguir para ajudar a definir os requisitos de experiência do usuário.
- Identificar integrações para ampliar os recursos do CIAM e criar experiências perfeitas para o usuário final
- Use capturas de tela e histórias de usuários para mostrar a experiência do usuário final do aplicativo
- Por exemplo, capturas de tela de login, inscrição, inscrição/entrada (SUSI), edição de perfil e redefinição de senha
- Procure dicas passadas usando parâmetros de cadeia de caracteres de consulta em sua solução CIAM
- Para uma personalização de alta experiência do usuário, considere usar um desenvolvedor front-end
- No Azure AD B2C, você pode personalizar HTML e CSS
- Consulte Diretrizes para usar JavaScript
- Implemente uma experiência incorporada usando o suporte a iframe:
- Consulte Inscrição incorporada ou experiência de início de sessão
- Para um aplicativo de página única, use uma segunda página HTML de entrada que é carregada no
<iframe>elemento
Monitoramento, auditoria e registro em log
Use a lista de verificação a seguir para monitoramento, auditoria e registro.
- Monitorização
- Auditoria e registro em log
Recursos
- Registrar um aplicativo do Microsoft Graph
- Gerenciar o Azure AD B2C com o Microsoft Graph
- Implantar políticas personalizadas com o Azure Pipelines
- Gerenciar políticas personalizadas do Azure AD B2C com o Azure PowerShell
Próximos passos
Recomendações e melhores práticas para o Azure Active Directory B2C