你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

通过 Azure Active Directory B2C 配置 Grit 的生物识别身份验证

本示例教程介绍如何将 Grit 的生物识别身份验证与 Azure Active Directory B2C (Azure AD B2C) 集成。 生物识别身份验证为用户提供了使用指纹、人脸 ID 或 Windows Hello 进行登录的选项。 它适用于桌面和移动应用程序，前提是设备能够执行生物识别身份验证。

生物识别身份验证具有以下优势：

1. 对于不经常登录或经常忘记密码而导致频繁重置密码的用户，生物识别身份验证可以减少问题。

2. 与多重身份验证 (MFA) 相比，生物识别身份验证更实惠且更安全。

3. 提高了安全性，可防止针对高价值客户的钓鱼攻击。

4. 在用户执行高价值操作（如信用卡交易）之前，添加了一层额外的身份验证。

先决条件

若要开始，需要：

• Grit 的 Visual IEF 生成器的许可证。 有关许可详细信息，请联系 Grit 支持人员。 本教程中不需要许可证。

• Azure 订阅。 如果没有，可获取免费帐户。

• 已链接到 Azure 订阅的 Azure AD B2C 租户。

方案描述

在本教程中，我们将介绍以下方案：

最终用户会创建一个具有用户名和密码（以及 MFA，如有必要）的帐户。 如果他们的设备支持生物识别，则他们已注册生物识别，并且其帐户链接到设备的生物识别身份验证。 除非用户选择不登录，否则该设备上将来的任何登录都将通过生物识别进行。

用户可以将多个设备链接到同一帐户。 用户将需要通过其电子邮件/密码（以及 MFA，如有必要）进行登录，然后会显示链接新设备的选项。

例如，用户具有 Contoso 帐户。 该用户从支持 Windows Hello 的工作计算机访问该帐户。 该用户还会从不支持 Windows Hello 的家庭计算机和 Android 手机访问该帐户。

1. 使用工作计算机登录后，用户将看到在 Windows Hello 中注册的选项。 如果用户选择此选项，将来的任何登录都将通过 Windows Hello 进行。

2. 使用家庭计算机登录后，系统不会提示用户注册生物识别，因为设备不支持生物识别。

3. 使用 Android 手机登录后，系统会要求用户注册生物识别。 将来的任何登录都将通过生物识别进行。

使用 Grit 的可视化流程图可以实现多种其他方案。 请联系 Grit 支持人员以讨论你的方案。

通过 Grit 的生物识别身份验证加入

有关加入的详细信息，请联系 Grit 支持人员。

通过 Azure AD B2C 配置 Grit 的生物识别身份验证

1. 导航到 https://www.gritiefedit.com 并按照系统要求输入电子邮件。

2. 在快速入门向导中按“取消”。

3. 在弹出窗口中，选择“自定义用户旅程”。 在“生物指标”下，选中“启用生物识别”复选框。

4. 向下滚动并选择“生成模板”，此时会显示流程图。

5. 在左侧菜单中，选择“运行流程图”>“部署流程图”。

6. 如果设备支持 Windows Hello 或生物识别验证器，请选择“测试身份验证旅程生成器”链接，否则将链接发送到支持生物识别身份验证的设备。

7. 将在新选项卡中打开一个网页。在“使用社交帐户登录”下，选择“createNewAccount”。

8. 完成帐户创建步骤。 当系统询问是否“设置生物识别设备登录”时，请选择“是”。

9. 执行生物识别的步骤取决于你所使用的设备。

10. 此时会显示一个显示令牌的页面。 打开提供的链接。

11. 这次将通过生物识别进行登录。

对另一个设备重复相同的步骤。 无需再次注册，请使用创建的凭据登录。

其他资源

• Grit 文档

• 使用 Azure AD B2C 配置 Grit IAM B2B2C 解决方案

• 使用 Grit Visual IEF 编辑器编辑 Azure AD B2C Identity Experience Framework (IEF) XML

• 使用 Grit 的应用代理将旧应用迁移到 Azure AD B2C