Советы и рекомендации по использованию Azure Active Directory B2C
Приведенные ниже советы и рекомендации охватывают некоторые основные аспекты интеграции Azure Active Directory (Azure AD) с B2C в существующие или новые среды приложений.
Основы
| Рекомендация | Description |
|---|---|
| Выбор потоков пользователя для большинства сценариев | Инфраструктура процедур идентификации Identity Experience Framework в службе Azure AD B2C — это ключевой компонент. Политики полностью описывают процесс идентификации: регистрацию, вход и редактирование профиля. Чтобы вам было проще настроить наиболее распространенные задачи идентификации, на портале Azure AD B2C реализованы предопределенные настраиваемые политики, которые называются потоками пользователей. С помощью потоков пользователей вы можете создавать привлекательные пользовательские интерфейсы и процессы за считанные минуты в несколько щелчков мыши. Узнайте, когда следует использовать потоки пользователей и пользовательские политики. |
| Регистрации приложений | Каждое защищаемое приложение (в веб-версии или классическом исполнении) и API должны быть зарегистрированы в Azure AD B2C. Если у приложения есть как веб-, так и классическая версия для iOS и Android, их можно зарегистрировать в Azure AD B2C как одно приложение с одинаковым идентификатором клиента. Узнайте, как регистрировать приложения OIDC, SAML, веб-приложения и собственные приложения. Ознакомьтесь с типами приложений, которые можно использовать в Azure AD B2C. |
| Переход на оплату активных пользователей за месяц | Среда Azure AD B2C была переведена с модели оплаты активных проверок подлинности на модель оплаты активных пользователей за месяц. Большинство клиентов считают эту модель более экономичной. Подробнее об оплате активных пользователей за месяц. |
Планирование и проектирование
Определите архитектуру своего приложения и службы, проведите инвентаризацию текущих систем и спланируйте переход на Azure AD B2C.
| Рекомендация | Description |
|---|---|
| Проектирование комплексного решения | Включите все зависимости своих приложений при планировании интеграции с Azure AD B2C. Рассмотрите все службы и продукты, которые в настоящее время находятся в вашей среде или которые могут потребоваться добавить в решение (например, Функции Azure, системы управления отношениями клиентов (CRM), шлюз azure Управление API и службы хранилища). Примите во внимание требования к безопасности и масштабируемости всех служб. |
| Документирование пользовательских процессов | Подробно опишите все пути взаимодействия пользователей, которые могут возникают у клиентов в вашем приложении. Добавьте каждый экран и все потоки ветвления, с которыми они могут столкнуться в процессе идентификации и работы с профилями в вашем приложении. Включите в свой план аспекты удобства, специальных возможностей и локализации. |
| Выбор правильного протокола проверки подлинности | Сведения о различных сценариях приложения и рекомендуемых потоках проверки подлинности см. в разделе Сценарии и поддерживаемые потоки проверки подлинности. |
| Пилотный проект для подтверждения концепции — весь комплекс взаимодействий с пользователем | Начните с наших примеров кода Майкрософт и примеров сообщества. |
| Создание плана миграции | Заблаговременное планирование упрощает миграцию. Узнайте больше о миграции пользователей. |
| Удобство использования и безопасность | В решении должен быть подобран оптимальный баланс между удобством использования приложений и приемлемым уровнем риска для организации. |
| Перенос локальных зависимостей в облако | Чтобы создать устойчивое решение, попробуйте перенести существующие зависимости приложений в облако. |
| Перенос существующих приложений в b2clogin.com | Портал login.microsoftonline.com будет выведен из эксплуатации для всех арендаторов Azure AD B2C 4 декабря 2020 г. Подробнее. |
| Защита идентификации и условный доступ | Используйте эти функции и возможности для намного более полного контроля над рискованными проверками подлинности и политиками доступа. Вам потребуется выпуск Azure AD B2C Premium P2. Подробнее. |
| Размер клиента | Необходимо планировать использование размера клиента Azure AD B2C. По умолчанию клиент Azure AD B2C может разместить 1,25 миллиона объектов (учетные записи пользователей и приложения). Это ограничение можно увеличить до 5,25 миллионов объектов, добавив личный домен в клиент и проверив его. Если вам нужен больше размер клиента, обратитесь в службу поддержки. |
| Защита идентификации и условный доступ | Используйте эти возможности для более широкого контроля над рискованными проверками подлинности и политиками доступа. Вам потребуется выпуск Azure AD B2C Premium P2. Подробнее. |
Внедрение
На этапе реализации учитывайте приведенные ниже рекомендации.
| Рекомендация | Description |
|---|---|
| Изменение настраиваемых политик с помощью расширения Azure AD B2C для Visual Studio Code | Скачайте Visual Studio Code и это созданное сообществом расширение из Visual Studio Code Marketplace. Хотя это и не официальный продукт корпорации Майкрософт, расширение Azure AD B2C для Visual Studio Code поддерживает ряд функций, облегчающих работу с пользовательскими политиками. |
| Подробнее об устранении неполадок в Azure AD B2C | Узнайте, как устранять неполадки пользовательских политик на этапе разработки. Узнайте, как выглядит обычный поток проверки подлинности, и используйте средства для обнаружения аномалий и ошибок. Например, с помощью Application Insights вы можете просматривать выходные журналы путей взаимодействия пользователя. |
| Наша библиотека проверенных шаблонов пользовательских политик | Найдите примеры для улучшения взаимодействия пользователей Azure AD B2C с идентификацией и доступом (CIAM). |
Тестирование
Тестирование и автоматизация реализации Azure AD B2C.
| Рекомендация | Description |
|---|---|
| Подготовка к обработке глобального трафика | Используйте источники трафика с разных глобальных адресов, чтобы протестировать свою среду на соответствие требованиям к производительности и локализации. Убедитесь, что весь код HTML и CSS, а также зависимости отвечают вашим потребностям в плане производительности. |
| Тестирование функциональных возможностей и пользовательского интерфейса | Протестируйте потоки пользователей с начала и до конца. Добавляйте синтетические тесты каждые несколько минут с помощью Selenium, VS Web Test и т. д. |
| Тестирование на проникновение | Прежде чем развертывать решение в рабочей среде, проведите испытания на проникновение, чтобы убедиться, что безопасны все его компоненты, включая зависимости от сторонних производителей. Защитите свои API с помощью маркеров доступа и используйте подходящий протокол проверки подлинности для своего сценария. Узнайте больше о тестировании на проникновение и единых правилах тестирования уязвимостей Microsoft Cloud. |
| A/B-тестирование | Протестируйте новые функции на небольшом случайном наборе пользователей, прежде чем развертывать их для всей пользовательской популяции. Благодаря поддержке JavaScript в Azure AD B2C решение можно интегрировать с такими инструментами тестирования А/Б, как Optimizely, Clarity и др. |
| Нагрузочное тестирование | Azure AD B2C поддерживает масштабирование, однако способность приложения к масштабированию зависит от такой способности у всех его зависимостей. Проведите нагрузочное тестирование своих API и CDN. Узнайте больше об устойчивости с помощью рекомендаций разработчика. |
| Регулирование | Azure AD B2C регулирует трафик, если из одного источника в течение короткого периода поступает слишком много запросов. Используйте при нагрузочном тестировании несколько источников трафика и аккуратно обрабатывайте в своих приложениях код ошибки AADB2C90229. |
| Автоматизация | Автоматизируйте тестирование и развертывание с помощью конвейеров непрерывной поставки и интеграции (CI/CD), например Azure DevOps. |
Operations
Управление средой Azure AD B2C.
| Рекомендация | Description |
|---|---|
| Создание нескольких сред | Чтобы упростить эксплуатацию и развертывание, создайте отдельные среды для разработки, тестирования, подготовки к производству и производственных процессов. Создайте для каждой из них арендаторы Azure AD B2C. |
| Использование системы управления версиями для настраиваемых политик | Вы можете использовать GitHub, Azure Repos или другую облачную систему управления версиями для своих настраиваемых политик Azure AD B2C. |
| Автоматизация управления арендаторами B2C с помощью API Microsoft Graph | Возможности API Microsoft Graph: Управление платформой Identity Experience Framework (настраиваемые политики) Ключи Анализ шаблонов навигации пользователя с помощью инструмента "Маршруты пользователя"в Azure Application Insights |
| Интеграция с Azure DevOps | Конвейер CI/CD упрощает перемещение кода между различными средами и обеспечивает готовность к работе всегда. |
| Развертывание настраиваемой политики | Azure AD B2C использует кэширование для обеспечения производительности конечным пользователям. При развертывании настраиваемой политики с помощью любого метода ожидается задержка до 30 минут , чтобы пользователи видели изменения. В результате этого поведения при развертывании пользовательских политик следует учитывать следующие методики: — Если вы развертываете в среде разработки, задайте DeploymentMode атрибут Development в элементе пользовательского файла <TrustFrameworkPolicy> политики. — развертывание обновленных файлов политики в рабочей среде при низком трафике в приложении. — При развертывании в рабочей среде для обновления существующих файлов политики передайте обновленные файлы с новыми именами, а затем обновите ссылку на приложение на новые имена. После этого можно удалить старые файлы политики. — Можно задать DeploymentMode значение Development в рабочей среде, чтобы обойти поведение кэширования. Однако мы не рекомендуем эту практику. Если вы собираете журналы Azure AD B2C с помощью приложения Аналитика, собираются все утверждения, отправленные и от поставщиков удостоверений, что представляет собой риск безопасности и производительности. |
| Развертывание обновлений регистрации приложений | При изменении регистрации приложения в клиенте Azure AD B2C, например при обновлении URI перенаправления приложения, ожидается задержка до 2 часов (3600s), чтобы изменения вступили в силу в рабочей среде. Рекомендуется изменить регистрацию приложения в рабочей среде при низком трафике в приложении. |
| Интеграция с Azure Monitor | События в журналах аудита хранятся всего семь дней. Вы можете интегрировать их с Azure Monitor, чтобы сохранить для долговременного использования, или со сторонними системами управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде. |
| Настройка активных оповещений и мониторинга | Отслеживайте поведение пользователей в Azure AD B2C с помощью Application Insights. |
Поддержка и обновления состояния
Следите за актуальными сведениями о состоянии службы и выбирайте подходящие каналы поддержки.
| Рекомендация | Description |
|---|---|
| Обновления службы | Оставайтесь в курсе последних событий и анонсов Azure AD B2C. |
| Служба технической поддержки Майкрософт | Отправляйте запросы в службу поддержки при возникновении технических проблем с Azure AD B2C. Поддержка по вопросам выставления счетов и управления подписками предоставляется бесплатно. |
| Состояние Azure | Просматривайте текущее состояние работоспособности всех служб Azure. |