你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:为 Azure Active Directory B2C 配置 Haventec Authenticate 以进行单步、多重无密码身份验证
了解如何将 Azure Active Directory B2C (Azure AD B2C) 与 Haventec Authenticate 集成,后者是一种无密码技术,可消除密码、共享机密和摩擦。
若要了解详细信息,请转到 haventec.com:Haventec
方案描述
Authenticate 集成包括以下组件:
-
Azure AD B2C - 验证用户凭据的授权服务器
- 也称为标识提供者 (IdP)
- Web 和移动应用程序 - 受 Authenticate 和 Azure AD B2C 保护的 OpenID Connect (OIDC) 移动或 Web 应用程序
- Haventec Authenticate 服务 - Azure AD B2C 租户的外部 IdP
下图演示了 Haventec Authenticate 集成中的注册和登录用户流。
- 用户选择登录或注册并输入用户名。
- 应用程序将用户特性发送到 Azure AD B2C,以便进行标识验证。
- Azure AD B2C 收集用户属性并将其发送到 Haventec Authenticate。
- 对于新用户,Authenticate 会向用户的移动设备发送推送通知。 它可以发送电子邮件,其中包含用于注册设备的一次性密码 (OTP)。
- 用户做出响应并被授权或拒绝访问。 新的加密密钥将推送到用户设备以供将来的会话使用。
Authenticate 入门
转到 haventec.com 上的“获取 Haventec Authenticate 的演示”页。 在个性化演示请求表单中,表明你对 Azure AD B2C 集成感兴趣。 演示环境准备就绪后,你会收到一封电子邮件。
将 Authenticate 与 Azure AD B2C 集成
按照以下说明准备 Azure AD B2C 并将其与 Authenticate 集成。
先决条件
要开始,需要:
Azure 订阅
- 如果没有,获取一个 Azure 免费帐户
一个关联到 Azure 订阅的 Azure AD B2C 租户
Haventec Authenticate 演示环境
创建 Web 应用程序注册
必须在你管理的租户中注册应用程序,然后这些应用程序才能与 Azure AD B2C 交互。
请参阅教程:在 Azure Active Directory B2C 中注册 Web 应用程序
在 Azure AD B2C 中添加新的标识提供者
有关以下说明,请将目录与 Azure AD B2C 租户配合使用。
- 以 Azure AD B2C 租户的全局管理员身份登录到 Azure 门户。
- 在顶部菜单中,选择“目录 + 订阅”。
- 选择包含租户的目录。
- 在 Azure 门户左上角,选择“所有服务”。
- 搜索并选择“Azure AD B2C”。
- 导航到“仪表板”>“Azure Active Directory B2C”>“标识提供者”。
- 选择“新的 OpenID Connect 提供程序”
- 选择 添加 。
配置标识提供者
若要配置标识提供者,请执行以下操作:
- 选择“标识提供者类型”>“OpenID Connect”。
- 对于“名称”,请输入 Haventec 或其他名称。
- 对于“元数据 URL”,请使用
https://iam.demo.haventec.com/auth/realms/*your\_realm\_name*/.well-known/openid-configuration
。 - 对于“客户端 ID”,请输入从 Haventec 管理 UI 记录的应用程序 ID。
- 对于“客户端密码”,请输入从 Haventec 管理 UI 记录的应用程序密码。
- 对于“范围”,请择“OpenID 电子邮件配置文件”。
- 对于“响应类型”,请选择“代码”。
- 对于“响应模式”,请选择“form_post”。
- 对于“域提示”,请留空。
- 选择“确定” 。
- 选择“映射此标识提供者的声明”。
- 对于“用户 ID”,选择“从订阅”。
- 对于“显示名称”,选择“从订阅”。
- 对于“给定名称”,请使用 given_name。
- 对于“姓氏”,请使用 family_name。
- 对于“电子邮件”,请使用电子邮件。
- 选择“保存” 。
创建用户流策略
对于以下说明,Haventec 是 B2C 标识提供者列表中的新 OIDC 标识提供者。
- 在 Azure AD B2C 租户中的“策略”下,选择“用户流”。
- 选择“新建用户流”。
- 选择“注册和登录”>“版本”>“创建”。
- 输入策略的名称。
- 在“标识提供者”中,选择创建的 Haventec 标识提供者。
- 对于“本地帐户”,请选择“无”。 此选项将禁用电子邮件和密码身份验证。
- 选择“运行用户流”。
- 在窗体中,输入回复 URL,例如
https://jwt.ms
。 - 浏览器将重定向到 Haventec 登录页。
- 系统会提示用户注册或输入 PIN。
- 将执行身份验证质询。
- 浏览器将重定向到回复 URL。
测试用户流
- 在 Azure AD B2C 租户中的“策略”下,选择“用户流”。
- 选择创建的“用户流”。
- 选择“运行用户流”。
- 对于“应用程序”,请选择已注册的应用。 示例为 JWT。
- 对于“回复 URL”,请选择重定向 URL。
- 选择“运行用户流”。
- 执行注册流并创建帐户。
- 此时将调用 Haventec Authenticate。
后续步骤
- 转到 docs.haventec.com 以查看 Haventec 文档
- Azure AD B2C 自定义策略概述