Distributionsplaner för Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) är en lösning för identitets- och åtkomsthantering som underlättar integreringen med infrastrukturen. Använd följande vägledning för att förstå krav och efterlevnad i en Azure AD B2C-distribution.

Planera en Azure AD B2C-distribution

Krav

• Utvärdera den främsta orsaken till att stänga av system
  • Se Vad är Azure Active Directory B2C?
• För ett nytt program planerar du utformningen av CIAM-systemet (Customer Identity Access Management)
  • Se Planering och design
• Identifiera kundplatser och skapa en klientorganisation i motsvarande datacenter
  • Se Självstudie : Skapa en Azure Active Directory B2C-klientorganisation
• Bekräfta dina programtyper och tekniker som stöds:
  • Översikt över Microsoft autentiseringsbibliotek (MSAL)
  • Utveckla med språk, ramverk, databaser och verktyg med öppen källkod i Azure.
  • För serverdelstjänster använder du flödet för klientautentiseringsuppgifter
• Så här migrerar du från en identitetsprovider (IdP):
  • Sömlös migrering
  • Gå till user-migration
• Välj protokoll
  • Om du använder Kerberos, Microsoft Windows NT LAN Manager (NTLM) och Web Services Federation (WS-Fed) kan du läsa videon, program- och identitetsmigreringen till Azure AD B2C

Efter migreringen kan dina program stödja moderna identitetsprotokoll som Open Authorization (OAuth) 2.0 och OpenID Connect (OIDC).

Intressenter

Teknikprojektets framgång är beroende av att hantera förväntningar, resultat och ansvarsområden.

• Identifiera programarkitekten, den tekniska programhanteraren och ägaren
• Skapa en distributionslista (DL) för att kommunicera med Microsoft-kontot eller teknikteamen
  • Ställ frågor, få svar och ta emot meddelanden
• Identifiera en partner eller resurs utanför organisationen för att stödja dig

Läs mer: Inkludera rätt intressenter

Kommunikation

Kommunicera proaktivt och regelbundet med dina användare om väntande och aktuella ändringar. Informera dem om hur upplevelsen ändras, när den ändras och kontakta supporten.

Tidslinjer

Hjälp till att ställa in realistiska förväntningar och göra beredskapsplaner för att uppfylla viktiga milstolpar:

• Pilotdatum
• Startdatum
• Datum som påverkar leveransen
• Beroenden

Implementera en Azure AD B2C-distribution

• Distribuera program och användaridentiteter – Distribuera klientprogram och migrera användaridentiteter
• Registrering och slutprodukt för klientprogram – Registrera klientprogrammet och testa lösningen
• Säkerhet – Förbättra säkerheten för identitetslösningen
• Efterlevnad – Hantera regelkrav
• Användarupplevelse – Aktivera en användarvänlig tjänst

Distribuera autentisering och auktorisering

• Innan dina program interagerar med Azure AD B2C registrerar du dem i en klientorganisation som du hanterar
  • Se Självstudie : Skapa en Azure Active Directory B2C-klientorganisation
• För auktorisering använder du IEF-exempelanvändarresor (IEF)
  • Se Azure Active Directory B2C: Anpassade CIAM-användarresor
• Använda principbaserad kontroll för molnbaserade miljöer
  • Gå till openpolicyagent.org för att lära dig mer om Open Policy Agent (OPA)

Läs mer med Microsoft Identity PDF, Få expertis med Azure AD B2C, en kurs för utvecklare.

Checklista för personas, behörigheter, delegering och anrop

• Identifiera de personer som har åtkomst till ditt program
• Definiera hur du hanterar systembehörigheter och rättigheter i dag och i framtiden
• Bekräfta att du har ett behörighetsarkiv och om det finns behörigheter att lägga till i katalogen
• Definiera hur du hanterar delegerad administration
  • Till exempel kan kundernas kundhantering
• Kontrollera att ditt program anropar en API Manager (APIM)
  • Det kan finnas ett behov av att anropa från IdP innan programmet utfärdas en token

Distribuera program och användaridentiteter

Azure AD B2C-projekt börjar med ett eller flera klientprogram.

• Den nya Appregistreringar för Azure Active Directory B2C
  • Se Azure Active Directory B2C-kodexempel för implementering
• Konfigurera din användarresa baserat på anpassade användarflöden
  • Jämföra användarflöden och anpassade principer
  • Lägga till en identitetsprovider i din Azure Active Directory B2C-klientorganisation
  • Migrera användare till Azure AD B2C
  • Azure Active Directory B2C: Anpassade CIAM-användarresor för avancerade scenarier

Checklista för programdistribution

• Program som ingår i CIAM-distributionen
• Program som används
  • Till exempel webbprogram, API:er, ensideswebbappar (SPA) eller interna mobilappar
• Autentisering som används:
  • Till exempel formulär federerade med SAML (Security Assertion Markup Language) eller federerade med OIDC
  • Om OIDC bekräftar du svarstypen: kod eller id_token
• Ta reda på var klientdels- och serverdelsprogram finns: lokalt, moln eller hybridmoln
• Bekräfta de plattformar eller språk som används:
  • Till exempel ASP.NET, Java och Node.js
  • Se Snabbstart : Konfigurera inloggning för ett ASP.NET-program med Azure AD B2C
• Kontrollera var användarattribut lagras
  • Till exempel Lightweight Directory Access Protocol (LDAP) eller databaser

Checklista för distribution av användaridentitet

• Bekräfta antalet användare som har åtkomst till program
• Fastställ de IdP-typer som behövs:
  • Till exempel Facebook, lokalt konto och Active Directory Federation Services (AD FS) (AD FS)
  • Se, Active Directory Federation Services (AD FS)
• Beskriva anspråksschemat som krävs från ditt program, Azure AD B2C och IP-adresser om tillämpligt
  • Se ClaimsSchema
• Fastställa vilken information som ska samlas in under inloggning och registrering
  • Konfigurera ett registrerings- och inloggningsflöde i Azure Active Directory B2C

Registrering och slutprodukt för klientprogram

Använd följande checklista för registrering av ett program

Område	beskrivning
Programmålanvändargrupp	Välj bland slutkunder, företagskunder eller en digital tjänst. Fastställ ett behov av inloggning med anställda.
Affärsvärde för program	Förstå företagets behov eller mål för att fastställa den bästa Azure AD B2C-lösningen och integreringen med andra klientprogram.
Dina identitetsgrupper	Klusteridentiteter i grupper med krav, till exempel B2C (business-to-business), business-to-business (B2B) business-to-employee (B2E) och business-to-machine (B2M) för IoT-enhetsinloggning och tjänstkonton.
Identitetsprovider (IdP)	Se Välj en identitetsprovider. För en C2C-mobilapp (kund-till-kund) använder du till exempel en enkel inloggningsprocess. B2C med digitala tjänster har efterlevnadskrav. Överväg att logga in via e-post.
Regelbegränsningar	Fastställ ett behov av fjärrprofiler eller sekretesspolicyer.
Inloggnings- och registreringsflöde	Bekräfta e-postverifiering eller e-postverifiering under registreringen. För utcheckningsprocesser, se Så här fungerar det: Microsoft Entra multifaktorautentisering. Se videon om Azure AD B2C-användarmigrering med Hjälp av Microsoft Graph API.
Protokoll för program och autentisering	Implementera klientprogram som webbprogram, ensidesprogram (SPA) eller inbyggda. Autentiseringsprotokoll för klientprogram och Azure AD B2C: OAuth, OIDC och SAML. Se videon Skydda webb-API:er med Microsoft Entra-ID.
Användarmigrering	Bekräfta om du ska migrera användare till Azure AD B2C: JIT-migrering (Just-in-time) och massimport/export. Se videon azure AD B2C-användarmigreringsstrategier.

Använd följande checklista för leverans.

Område	beskrivning
Protokollinformation	Samla in bassökvägen, principerna och metadata-URL:en för båda varianterna. Ange attribut som exempelinloggning, klientprogram-ID, hemligheter och omdirigeringar.
Programexempel	Se Azure Active Directory B2C-kodexempel.
Intrångstest	Informera driftteamet om penntester och testa sedan användarflöden, inklusive OAuth-implementeringen. Se Regler för intrångstestning och intrångstestning.
Enhetstestning	Enhetstest och generera token. Se, Microsofts identitetsplattform och autentiseringsuppgifter för OAuth 2.0-resursägares lösenord. Om du når gränsen för Azure AD B2C-token läser du Azure AD B2C: Begäranden om filsupport. Återanvänd token för att minska undersökningen av infrastrukturen. Konfigurera ett flöde för lösenordsautentiseringsuppgifter för resursägare i Azure Active Directory B2C. Du bör inte använda ROPC-flöde för att autentisera användare i dina appar.
Belastningstestning	Läs mer om begränsningar och begränsningar för Azure AD B2C-tjänsten. Beräkna förväntade autentiseringar och användarinloggningar per månad. Utvärdera varaktigheter för hög belastningstrafik och affärsorsaker: semester, migrering och händelse. Fastställ förväntade högsta priser för registrering, trafik och geografisk distribution, till exempel per sekund.

Säkerhet

Använd följande checklista för att förbättra programsäkerheten.

• Autentiseringsmetod, till exempel multifaktorautentisering:
  • Multifaktorautentisering rekommenderas för användare som utlöser transaktioner med högt värde eller andra riskhändelser. Till exempel bank-, finans- och utcheckningsprocesser.
  • Se Vilka autentiserings- och verifieringsmetoder är tillgängliga i Microsoft Entra-ID?
• Bekräfta användningen av mekanismer för robotskydd
• Utvärdera risken för försök att skapa ett bedrägligt konto eller inloggning
  • Se självstudie : Konfigurera Microsoft Dynamics 365-bedrägeriskydd med Azure Active Directory B2C
• Bekräfta nödvändiga villkorliga hållningar som en del av inloggningen eller registreringen

Villkorlig åtkomst och Microsoft Entra ID Protection

• Den moderna säkerhetsperimetern sträcker sig nu utanför organisationens nätverk. Perimetern innehåller användar- och enhetsidentitet.
  • Se, Vad är villkorlig åtkomst?
• Förbättra säkerheten för Azure AD B2C med Microsoft Entra ID Protection
  • Se, ID Protection och villkorlig åtkomst i Azure AD B2C

Regelefterlevnad

För att uppfylla regelkraven och förbättra säkerheten för serverdelens system kan du använda virtuella nätverk (VNet), IP-begränsningar, brandvägg för webbprogram och så vidare. Tänk på följande krav:

• Dina krav på regelefterlevnad
  • Till exempel Payment Card Industry Data Security Standard (PCI DSS)
  • Gå till pcisecuritystandards.org för att lära dig mer om PCI Security Standards Council
• Datalagring i ett separat databaslager
  • Avgöra om den här informationen inte kan skrivas in i katalogen

Användarupplevelse

Använd följande checklista för att definiera användarupplevelsekrav.

• Identifiera integreringar för att utöka CIAM-funktioner och skapa sömlösa slutanvändarupplevelser
  • Azure Active Directory B2C oberoende programvaruleverantörspartner (ISV)
• Använd skärmbilder och användarberättelser för att visa programmets slutanvändarupplevelse
  • Till exempel skärmbilder av inloggning, registrering, registrering/inloggning (SUSI), profilredigering och lösenordsåterställning
• Leta efter tips som skickas med hjälp av frågesträngsparametrar i din CIAM-lösning
• För anpassning av hög användarupplevelse bör du överväga att använda en klientdelsutvecklare
• I Azure AD B2C kan du anpassa HTML och CSS
  • Se Riktlinjer för att använda JavaScript
• Implementera en inbäddad upplevelse med hjälp av iframe-stöd:
  • Se Inbäddad registrering eller inloggning
  • För ett ensidesprogram använder du en andra HTML-sida för inloggning som läses in i elementet <iframe>

Övervaka granskning och loggning

Använd följande checklista för övervakning, granskning och loggning.

• Övervakning
  • Övervaka Azure AD B2C med Azure Monitor
  • Se videon Övervakning och rapportering av Azure AD B2C med Azure Monitor
• Granskning och loggning
  • Åtkomst till Azure AD B2C-granskningsloggar

Resurser

• Registrera ett Microsoft Graph-program
• Hantera Azure AD B2C med Microsoft Graph
• Distribuera anpassade principer med Azure Pipelines
• Hantera anpassade Azure AD B2C-principer med Azure PowerShell

Nästa steg

Rekommendationer och metodtips för Azure Active Directory B2C