你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:为 Azure Active Directory B2C 配置 Experian
本教程介绍如何将 Azure Active Directory B2C (Azure AD B2C) 与 Experian CrossCore(一项用于验证用户身份的服务)集成。 它根据用户在注册过程中提供的信息进行风险分析。 CrossCore 允许用户按需登录。
详细了解 Experian 解决方案、服务等。
在本教程中,可以在 CrossCore 风险分析中使用以下属性:
- 电子邮件
- IP 地址
- 名
- Middle Name
- Surname
- 街道地址
- 城市
- 省/市/自治区
- 邮政编码
- 国家/地区
- 电话号码
先决条件
若要开始,需要:
- 一个 Microsoft Entra 订阅
- 如果没有,可以获取一个 Azure 免费帐户
- 一个已关联到你的 Azure 订阅的 Azure AD B2C 租户
方案描述
Experian 集成包括以下组件:
- Azure AD B2C:验证用户凭据的授权服务器,也称为标识提供者 (IdP)
- Experian CrossCore:该服务从用户那里获取输入并验证其身份
- 自定义 REST API:这实现 Azure AD B2C 与 CrossCore 之间的集成
以下体系结构图体现了实施详情。
- 用户进入登录页面,创建新帐户并输入信息。 Azure AD B2C 收集用户属性。
- Azure AD B2C 调用中间层 API 并传递用户属性。
- 中间层 API 收集用户属性并将其转换为 Experian CrossCore 就绪格式。 然后,将其发送到 Experian CrossCore。
- Experian 会使用该信息,并根据风险分析来验证用户标识。 然后,它会将结果返回到中间层 API。
- 中间层 API 处理这些信息,并将相关信息以 JSON 格式发送到 Azure AD B2C。
- Azure AD B2C 从中间层 API 接收信息。 如果失败,将显示一条错误消息。 如果成功,则表明用户已通过身份验证且写入到目录中。
通过 Experian 加入
- 创建 Experian 帐户。 若要开始,请转到 Experian 并滚动到联系人窗体底部。
- 在创建帐户后,你将收到 API 配置信息。 以下各部分将继续这个过程。
为 Azure AD B2C 配置 Experian
部署 API
- 将合作伙伴集成部署到 Azure 服务:转到 /CrossCoreIntegrationApi.sln。
- 从 Visual Studio 发布代码。
注意
使用已部署服务 URL 为 Microsoft Entra ID 配置所需设置。
部署客户端证书
Experian API 调用受客户端证书的保护,由 Experian 提供。
- 按照专用客户端证书中的说明进行操作。
- 将证书上传到 Azure 应用服务。
示例策略有两个步骤:
- 上传证书。
- 设置具有证书指纹的
WEBSITE_LOAD_ROOT_CERTIFICATES
密钥。
配置 API
可以在 Azure 中的应用服务中配置应用程序设置。 使用此方法来配置设置,而不需要将其签入到存储库中。
向 REST API 提供以下应用程序设置:
应用程序设置 | Source | 注释 |
---|---|---|
CrossCoreConfig:TenantId | Experian 帐户配置 | 空值 |
CrossCoreConfig:OrgCode | Experian 帐户配置 | 空值 |
CrossCore:ApiEndpoint | Experian 帐户配置 | 空值 |
CrossCore:ClientReference | Experian 帐户配置 | 空值 |
CrossCore:ModelCode | Experian 帐户配置 | 空值 |
CrossCore:OrgCode | Experian 帐户配置 | 空值 |
CrossCore:SignatureKey | Experian 帐户配置 | 空值 |
CrossCore:TenantId | Experian 帐户配置 | 空值 |
CrossCore:CertificateThumbprint | Experian 证书 | 空值 |
BasicAuth:ApiUsername | 定义 API 的用户名 | 在 ExtId 配置中使用 |
BasicAuth:ApiPassword | 定义 API 的密码 | 在 ExtId 配置中使用 |
创建 API 策略密钥
请参阅自定义策略初学者包,创建两个策略密钥,每个密钥分别用于:
- API 用户名
- 为 HTTP 基本身份验证定义的 API 密码
注意
稍后将需要这些密钥来配置策略。
替换配置值
在合作伙伴集成自定义策略中,查找以下占位符,并将其替换为你实例中的相应值
占位符 | 替换为值 | 示例 |
---|---|---|
{your_tenant_name} | 你的租户短名称 | "yourtenant" from yourtenant.onmicrosoft.com |
{your_trustframeworkbase_policy} | TrustFrameworkBase 策略的 Azure AD B2C 名称 | B2C_1A_experian_TrustFrameworkBase |
{your_tenant_IdentityExperienceFramework_appid} | Azure AD B2C 租户中配置的 IdentityExperienceFramework 应用的应用 ID | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_ ProxyIdentityExperienceFramework_appid} | Azure AD B2C 租户中配置的 ProxyIdentityExperienceFramework 应用的应用 ID | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_extensions_appid} | 租户存储应用程序的应用 ID | 01234567-89ab-cdef-0123-456789abcdef |
{your_tenant_extensions_app_objectid} | 租户存储应用程序的对象 ID | 01234567-89ab-cdef-0123-456789abcdef |
{your_api_username_key_name} | 创建 API 策略密钥中设置的用户名密钥名称 | B2C_1A_RestApiUsername |
{your_api_password_key_name} | 创建 API 策略密钥中设置的密码密钥名称 | B2C_1A_RestApiPassword |
{your_app_service_URL} | 设置的应用服务 URL | https://yourapp.azurewebsites.net |
配置 Azure AD B2C 策略
请参考自定义策略初学者包,了解有关设置 Azure AD B2C 租户和配置策略的说明。
提示
建议客户在属性收集页中添加许可通知。 通知用户:信息将提交给第三方服务来进行身份验证。
测试用户流
- 打开 Azure AD B2C 租户,在“策略”下选择“用户流”。
- 选择前面创建的用户流。
- 选择“运行用户流”。
- 应用程序:注册的应用(示例为 JWT)。
- 回复 URL:重定向 URI。
- 选择“运行用户流”。
- 完成注册流并创建帐户。
- 注销。
- 完成登录流。
- 选择“继续”
- 此时会显示 CrossCore 拼图。