Поделиться через

Руководство. Настройка Azure Active Directory B2C для работы с Keyless

  • Статья

Узнайте, как настроить Azure Active Directory B2C (Azure AD B2C) с помощью решения Sift Keyless без пароля. Используя Azure AD B2C в качестве поставщика удостоверений (IdP), интегрируйте keyless с клиентскими приложениями, чтобы обеспечить проверку подлинности без пароля. Биометрические Zero-Knowledge без ключей (ZKB) — это многофакторная проверка подлинности без пароля, которая помогает избежать мошенничества, фишинга и повторного использования учетных данных, а также улучшает взаимодействие с клиентами и защищает конфиденциальность.

Перейдите к keyless.io, чтобы узнать о следующем:

Предварительные требования

Чтобы приступить к работе, вам потребуется:

Описание сценария

Интеграция с Keyless предусматривает указанные ниже компоненты.

  • Azure AD B2C — сервер авторизации, который проверяет учетные данные пользователя. Также называется поставщиком удостоверений.
  • Веб-приложения и мобильные приложения — мобильные или веб-приложения для защиты с помощью ключей и Azure AD B2C
  • Мобильное приложение Keyless Authenticator — Мобильное приложение Sift для проверки подлинности в приложениях с поддержкой Azure AD B2C

На следующей схеме архитектуры показана реализация.

Изображение со схемой архитектуры Keyless

  1. Пользователь приходит на страницу входа. Пользователь выбирает вход или регистрацию и вводит имя пользователя.
  2. Приложение отправляет атрибуты пользователя в Azure AD B2C для проверки личности.
  3. Azure AD B2C отправляет атрибуты пользователя в keyless для проверки подлинности.
  4. Keyless отправляет push-уведомление зарегистрированному мобильному устройству пользователей для проверки подлинности, биометрического сканирования лица.
  5. Пользователь отвечает на push-уведомление и ему предоставляется или запрещается доступ.

Добавление поставщика удостоверений, настройка поставщика удостоверений и создание политики потока пользователя

Используйте следующие разделы для добавления поставщика удостоверений, настройки поставщика удостоверений и создания политики потока пользователя.

Добавление поставщика удостоверений

Чтобы добавить новый поставщик удостоверений, выполните следующее:

  1. Войдите в портал Azure как глобальный администратор клиента Azure AD B2C.
  2. Выберите Каталоги + подписки.
  3. На странице Параметры портала Каталоги и подписки в списке Имя каталога найдите каталог Azure AD B2C.
  4. Выберите Переключиться.
  5. В левом верхнем углу портал Azure выберите Все службы.
  6. Найдите и выберите Azure AD B2C.
  7. Перейдите в раздел Информационная панель>Azure Active Directory B2C>Поставщики удостоверений.
  8. Выберите пункт Поставщики удостоверений.
  9. Выберите Добавить.

Настройка поставщика удостоверений

Чтобы настроить поставщика удостоверений, выполните следующие действия.

  1. Выберите Тип поставщика удостоверений>OpenID Connect (предварительная версия) .
  2. В поле Имя выберите Ключ без ключа.
  3. В поле URL-адрес метаданных вставьте URI размещенного приложения проверки подлинности без ключей, а затем путь, например https://keyless.auth/.well-known/openid-configuration.
  4. В поле Секрет клиента выберите секрет, связанный с экземпляром проверки подлинности без ключа. Секрет используется позже в конфигурации контейнера без ключей.
  5. В поле Идентификатор клиента выберите идентификатор клиента. Идентификатор клиента используется позже в конфигурации контейнера без ключей.
  6. В поле Область выберите openid.
  7. Выберите id_token в качестве типа ответа.
  8. В поле Режим ответа выберите form_post.
  9. Нажмите кнопку ОК.
  10. Выберите Сопоставление утверждений для этого поставщика удостоверений.
  11. В поле UserID выберите Из подписки.
  12. В поле Отображаемое имя выберите Из подписки.
  13. Для параметра Режим ответа выберите Из подписки.
  14. Щелкните Сохранить.

Создание политики для потока пользователя

Keyless отображается как новый поставщик удостоверений OpenID Connect (OIDC) с поставщиками удостоверений B2C.

  1. Откройте клиент Azure AD B2C.
  2. В разделе Политики выберите Потоки пользователей.
  3. Выберите Создать поток пользователя.
  4. Выберите Регистрация и вход.
  5. Выберите версию.
  6. Нажмите кнопку создания.
  7. Введите Имя для политики.
  8. В разделе Поставщики удостоверений выберите созданный поставщик удостоверений без ключей.
  9. Введите имя.
  10. Выберите созданного поставщика удостоверений.
  11. Добавьте адрес электронной почты. Azure не будет перенаправлять вход в keyless; появится экран с параметром пользователя.
  12. Оставьте поле Многофакторная идентификация .
  13. Выберите Применить политики условного доступа.
  14. В разделе Атрибуты пользователя и утверждения маркера в параметре Собрать атрибут выберите Email Адрес.
  15. Добавление атрибутов пользователя Microsoft Entra собирает идентификатор с утверждениями, Azure AD B2C возвращает клиентскому приложению.
  16. Нажмите кнопку создания.
  17. Выберите новый поток пользователя.
  18. На панели слева выберите Утверждения приложений.
  19. В разделе параметры установите флажок электронная почта .
  20. Щелкните Сохранить.

Тестирование потока пользователя

  1. Откройте клиент Azure AD B2C.
  2. В разделе Политики выберите Identity Experience Framework.
  3. Выберите созданный signUpSignIn.
  4. Выберите Выполнить поток пользователя.
  5. В поле Приложение выберите зарегистрированное приложение (пример — JWT).
  6. В поле URL-адрес ответа выберите URL-адрес перенаправления.
  7. Выберите Выполнить поток пользователя.
  8. Завершите процесс регистрации и создайте учетную запись.
  9. После создания атрибута пользователя во время потока вызывается keyless.

Если поток не завершен, убедитесь, что пользователь сохранен или не сохранен в каталоге.

Дальнейшие действия