Руководство по настройке Nok Nok Passport с Azure Active Directory B2C для проверки подлинности FIDO2 без пароля

Узнайте, как интегрировать Nok Nok S3 Authentication Suite в клиент Azure Active Directory B2C (Azure AD B2C). Решения Nok Nok позволяют использовать многофакторную проверку подлинности FIDO, например FIDO UAF, FIDO U2F, WebAuthn и FIDO2 для мобильных и веб-приложений. Решения Nok Nok повышают уровень безопасности и балансируют взаимодействие с пользователем.

Чтобы noknok.com дополнительные сведения: Nok Nok Labs, Inc.

Предварительные требования

Для начала работы необходимы перечисленные ниже компоненты и данные.

• Подписка Azure
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Azure AD B2C, связанный с подпиской Azure.
  • Учебник. Создание клиента Azure Active Directory B2C.
• Перейдите к noknok.com. В верхнем меню выберите Демонстрация.

Описание сценария

Чтобы включить проверку подлинности FIDO без пароля для пользователей, включите Nok Nok в качестве поставщика удостоверений (IdP) в клиенте Azure AD B2C. Интеграция решения Nok Nok включает следующие компоненты:

• Azure AD B2C — сервер авторизации, который проверяет учетные данные пользователя.
• Веб-приложения и мобильные приложения — мобильные или веб-приложения для защиты с помощью решений Nok Nok и Azure AD B2C
• Пакет SDK для приложений Nok Nok или Passport — проверка подлинности Azure AD приложениях с поддержкой B2C.
  • Перейдите на App Store Apple для Nok Nok Passport
  • Или Google Play Nok Nok Passport

На следующей схеме показано решение Nok Nok в качестве поставщика удостоверений для Azure AD B2C с помощью OpenID Connect (OIDC) для проверки подлинности без пароля.

1. На странице входа пользователь выбирает вход или регистрацию и вводит имя пользователя.
2. Azure AD B2C перенаправляет пользователя к поставщику проверки подлинности Nok Nok OIDC.
3. При проверке подлинности на мобильных устройствах отображается QR-код или отправляется push-уведомление. При входе на рабочий стол пользователь перенаправляется на страницу входа в веб-приложение для проверки подлинности без пароля.
4. Пользователь сканирует QR-код с помощью пакета SDK для приложения Nok Nok или приложения Passport. Кроме того, имя пользователя является входной страницей входа.
5. Пользователю будет предложено провести проверку подлинности. Пользователь выполняет проверку подлинности без пароля: биометрические данные, ПИН-код устройства или любой перемещаемый механизм проверки подлинности. В веб-приложении появится запрос проверки подлинности. Пользователь выполняет проверку подлинности без пароля: биометрические данные, ПИН-код устройства или любой перемещаемый механизм проверки подлинности.
6. Сервер Nok Nok проверяет утверждение FIDO и отправляет ответ проверки подлинности OIDC Azure AD B2C.
7. Пользователю предоставляется или запрещается доступ.

Начало работы с Nok Nok

1. Перейдите на страницу контактов noknok.com.
2. Заполните форму для клиента Nok Nok.
3. Приходит сообщение электронной почты со сведениями о доступе к клиенту и ссылками на документацию.
4. Используйте документацию по интеграции Nok Nok, чтобы завершить настройку клиента OIDC.

Интеграция с Azure AD B2C

Используйте следующие инструкции, чтобы добавить и настроить поставщика удостоверений, а затем настроить поток пользователя.

Добавление поставщика удостоверений

Для выполнения следующих инструкций используйте каталог с клиентом Azure AD B2C. Чтобы добавить нового поставщика удостоверений, выполните приведенные далее действия.

1. Войдите в портал Azure как глобальный администратор клиента Azure AD B2C.
2. На панели инструментов портала выберите Каталоги и подписки.
3. В параметрах портала Каталоги и подписки в списке Имя каталога найдите каталог Azure AD B2C.
4. Выберите Переключиться.
5. В левом верхнем углу портал Azure выберите Все службы.
6. Найдите и выберите Azure AD B2C.
7. Перейдите в раздел Информационная панель>Azure Active Directory B2C>Поставщики удостоверений.
8. Выберите пункт Поставщики удостоверений.
9. Выберите Добавить.

Настройка поставщика удостоверений

Чтобы настроить поставщика удостоверений, выполните следующие действия.

1. Выберите Тип поставщика удостоверений>OpenID Connect (предварительная версия) .
2. В поле Имя введите Nok Nok Authentication Provider или другое имя.
3. В поле URL-адрес метаданных введите URI размещенного приложения проверки подлинности Nok Nok, а затем путь, например. https://demo.noknok.com/mytenant/oidc/.well-known/openid-configuration
4. В поле Секрет клиента используйте секрет клиента от Nok Nok.
5. В поле Идентификатор клиента используйте идентификатор клиента, предоставленный Nok Nok.
6. В поле Область используйте адрес электронной почты профиля OpenID.
7. В поле Тип ответа используйте код.
8. В режиме ответа используйте form_post.
9. Нажмите кнопку ОК.
10. Выберите Сопоставление утверждений для этого поставщика удостоверений.
11. В поле UserID выберите Из подписки.
12. В поле Отображаемое имя выберите Из подписки.
13. Для параметра Режим ответа выберите Из подписки.
14. Щелкните Сохранить.

Создание политики для потока пользователя

В следующих инструкциях nok Nok — это новый поставщик OIDC IdP в списке поставщиков удостоверений B2C.

1. В клиенте Azure AD B2C, в разделе Политики выберите Потоки пользователей.
2. Щелкните Создать.
3. Выберите Регистрация и вход.
4. Выберите версию.
5. Нажмите кнопку создания.
6. Введите имя политики.
7. В разделе Поставщики удостоверений выберите созданный поставщик удостоверений Nok Nok.
8. Вы можете добавить адрес электронной почты. Azure не будет перенаправлять вход в Nok Nok; появится экран с параметрами пользователя.
9. Оставьте поле Многофакторная идентификация .
10. Выберите Применить политики условного доступа.
11. В разделе Атрибуты пользователя и утверждения маркера в параметре Сбор атрибутов выберите Email Адрес.
12. Добавьте атрибуты пользователя для собираемого идентификатора Microsoft Entra с утверждениями, которые Azure AD B2C возвращает клиентскому приложению.
13. Нажмите кнопку создания.
14. Выберите новый поток пользователя.
15. На панели слева выберите Утверждения приложений.
16. В разделе параметры установите флажок адрес электронной почты .
17. Щелкните Сохранить.

Тестирование потока пользователя

1. Откройте клиент Azure AD B2C и в разделе Политики выберите Identity Experience Framework.
2. Выберите созданный signUpSignIn.
3. Выберите Выполнить поток пользователя.
4. В поле Приложение выберите зарегистрированное приложение. Пример — JWT.
5. В поле URL-адрес ответа выберите URL-адрес перенаправления.
6. Выберите Выполнить поток пользователя.
7. Выполните поток регистрации и создайте учетную запись.
8. После создания атрибута пользователя вызывается Nok Nok.

Если поток не завершен, убедитесь, что пользователь сохранен или не сохранен в каталоге.

Дальнейшие действия

• Общие сведения о настраиваемой политике Azure AD B2C
• Учебник. Создание потоков пользователей и пользовательских политик в Azure Active Directory B2C