Руководство по настройке Haventec Authentication в Azure Active Directory B2C для однофакторной многофакторной проверки подлинности без пароля

Узнайте, как интегрировать Azure Active Directory B2C (Azure AD B2C) с Haventec Authenticate — технологией без пароля, которая устраняет пароли, общие секреты и трения.

Дополнительные сведения см. в haventec.com: Haventec.

Описание сценария

Интеграция проверки подлинности включает следующие компоненты:

• Azure AD B2C — сервер авторизации, который проверяет учетные данные пользователя
  • Также называется поставщиком удостоверений (IdP)
• Веб-приложения и мобильные приложения — мобильные или веб-приложения OpenID Connect (OIDC), защищенные с помощью проверки подлинности и Azure AD B2C
• Служба проверки подлинности Haventec — внешний поставщик удостоверений для клиента B2C Azure AD

На следующей схеме показаны потоки пользователей регистрации и входа в систему в интеграции Haventec Authenticate.

1. Пользователь выбирает вход или регистрацию и вводит имя пользователя.
2. Приложение отправляет атрибуты пользователя в Azure AD B2C для проверки личности.
3. Azure AD B2C собирает атрибуты пользователей и отправляет их в Haventec Authenticate.
4. Для новых пользователей функция Аутентификация отправляет push-уведомление на мобильное устройство пользователя. Он может отправлять сообщения электронной почты с одноразовым паролем (OTP) для регистрации устройства.
5. Пользователь отвечает и ему предоставляется или запрещается доступ. Новые криптографические ключи отправляются на устройство пользователя для последующего сеанса.

Начало работы с проверкой подлинности

Перейдите на страницу haventec.com Получить демонстрацию проверки подлинности Haventec . В форме персонализированного демонстрационного запроса укажите свою заинтересованность в интеграции Azure AD B2C. Когда демонстрационная среда будет готова, появится сообщение электронной почты.

Интеграция аутентификации с Azure AD B2C

Используйте следующие инструкции для подготовки и интеграции Azure AD B2C с проверкой подлинности.

Предварительные требования

Для начала работы необходимы перечисленные ниже компоненты и данные.

• Подписка Azure

  • Если у вас ее нет, получите бесплатную учетную запись Azure.

• Клиент Azure AD B2C, связанный с подпиской Azure

  • См. руководство. Создание клиента Azure Active Directory B2C

• Демонстрационная среда Haventec Authenticate

  • См. статью Получение демонстрации Haventec Authenticate

Создание регистрации веб-приложения

Прежде чем приложения смогут взаимодействовать с Azure AD B2C, зарегистрируйте их в управляемом клиенте.

См. руководство. Регистрация веб-приложения в Azure Active Directory B2C

Добавление нового поставщика удостоверений в Azure AD B2C

Для выполнения следующих инструкций используйте каталог с клиентом Azure AD B2C.

1. Войдите в портал Azure в качестве глобального администратора клиента B2C Azure AD.
2. В верхнем меню выберите Каталог + подписка.
3. Выберите каталог с клиентом.
4. В левом верхнем углу портал Azure выберите Все службы.
5. Найдите и выберите Azure AD B2C.
6. Перейдите в раздел Информационная панель>Azure Active Directory B2C>Поставщики удостоверений.
7. Выберите Новый поставщик OpenID Connect.
8. Выберите Добавить.

Настройка поставщика удостоверений

Чтобы настроить поставщик удостоверений, выполните следующие действия.

1. Выберите элементы Тип поставщика удостоверений>OpenID Connect.
2. В поле Имя введите Haventec или другое имя.
3. В качестве URL-адреса метаданных используйте https://iam.demo.haventec.com/auth/realms/*your\_realm\_name*/.well-known/openid-configuration.
4. В поле Идентификатор клиента введите идентификатор приложения, записанный из пользовательского интерфейса администратора Haventec.
5. В поле Секрет клиента введите секрет приложения, записанный из пользовательского интерфейса администратора Haventec.
6. В поле Область выберите Профиль электронной почты OpenID.
7. В поле Тип ответа выберите Код.
8. Для параметра Режим ответа выберите forms_post.
9. В поле Указание домена оставьте пустым.
10. Нажмите кнопку ОК.
11. Выберите Сопоставление утверждений для этого поставщика удостоверений.
12. В поле Идентификатор пользователя выберите Из подписки.
13. В поле Отображаемое имя выберите Из подписки.
14. В поле Заданное имя используйте given_name.
15. В разделе Фамилия используйте family_name.
16. Для Email используйте Email.
17. Щелкните Сохранить.

Создание политики для потока пользователя

В следующих инструкциях haventec — это новый поставщик удостоверений OIDC в списке поставщиков удостоверений B2C.

1. В клиенте Azure AD B2C в разделе Политики выберите Потоки пользователей.
2. Выберите Создать поток пользователя.
3. Выберите Регистрация и вход>версия>Создать.
4. Введите имя политики.
5. В разделе Поставщики удостоверений выберите созданный поставщик удостоверений Haventec.
6. Для параметра Локальные учетные записи выберите Нет. Этот параметр отключает проверку подлинности по электронной почте и паролю.
7. Выберите Выполнить поток пользователя.
8. В форме введите URL-адрес ответа, например https://jwt.ms.
9. Браузер перенаправляется на страницу входа в Haventec.
10. Пользователю будет предложено зарегистрировать или ввести ПИН-код.
11. Выполняется запрос проверки подлинности.
12. Браузер перенаправляется на URL-адрес ответа.

Тестирование потока пользователя

1. В клиенте Azure AD B2C в разделе Политики выберите Потоки пользователей.
2. Выберите созданный поток пользователя.
3. Выберите Выполнить поток пользователя.
4. В поле Приложение выберите зарегистрированное приложение. Пример — JWT.
5. В поле URL-адрес ответа выберите URL-адрес перенаправления.
6. Выберите Выполнить поток пользователя.
7. Выполните поток регистрации и создайте учетную запись.
8. Метод Haventec Authenticate вызывается.

Дальнейшие действия

• Перейдите к docs.haventec.com документации по Haventec.
• Общие сведения о настраиваемой политике Azure AD B2C