通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Active Directory B2C 配置 TheAccessHub Admin Tool

  • 项目

通过本教程了解如何将 Azure Active Directory B2C (Azure AD B2C) 与 N8 Identity N8IDTheAccessHub Admin Tool 集成。 此解决方案可解决客户帐户迁移和客户服务请求 (CSR) 管理。

将此解决方案用于以下场景:

  • 你已有一个站点并希望迁移到 Azure AD B2C。
    • 但是,客户帐户迁移具有挑战性,包括密码。
  • 你需要一个 CSR 工具来管理 Azure AD B2C 帐户。
  • 委托的 CSR 管理是一项要求。
  • 你想要将存储库中的数据同步并合并到 Azure AD B2C 中。

先决条件

若要开始,需要:

  • 一个已关联到你的 Azure 订阅的 Azure AD B2C 租户
  • TheAccessHub Admin Tool 环境
  • 可选:
    • 要从中迁移客户数据的数据库或轻型目录访问协议 (LDAP) 的连接和凭据信息
    • 自定义策略配置的 Azure AD B2C 环境,用于将 TheAccessHub Admin Tool 集成到注册策略流中

方案描述

TheAccessHub Admin Tool 在 N8ID Azure 订阅或客户订阅中运行。 以下体系结构图体现了实施详情。

n8identity 体系结构示意图。

  1. 用户进入登录页面,创建帐户并输入信息。 Azure AD B2C 收集用户属性。
  2. Azure AD B2C 调用 TheAccessHub Admin Tool 并传递用户属性。
  3. TheAccessHub Admin Tool 在数据库中检查当前用户信息。
  4. 用户记录从数据库同步到 TheAccessHub Admin Tool。
  5. TheAccessHub Admin Tool 与委派的 CSR 或支持管理员共享数据。
  6. TheAccessHub Admin Tool 与 Azure AD B2C 同步用户记录。
  7. 根据 TheAccessHub Admin Tool 的响应,Azure AD B2C 向用户发送自定义的欢迎电子邮件。

在 Azure AD B2C 租户中创建全局管理员

TheAccessHub Admin Tool 权限代表全局管理员读取用户信息并在 Azure AD B2C 租户中进行更改。 对常规管理员的更改不会影响 TheAccessHub Admin Tool 与租户的交互。

若要创建全局管理员,请执行以下操作:

  1. 在 Azure 门户中,以管理员身份登录到 Azure AD B2C 租户。
  2. 转到“Microsoft Entra ID”>“用户”。
  3. 选择“新建用户”。
  4. 选择“创建用户”以创建普通目录用户,而不是客户。
  5. 在标识信息窗体上:
  • 输入“用户名”,例如 theaccesshub。
  • 输入“帐户名称”,例如 TheAccessHub Service Account。
  1. 选择“显示密码”。
  2. 复制并保存初始密码。
  3. 要分配全局管理员角色,请为“用户”选择用户的当前角色。
  4. 选择“全局管理员”记录。
  5. 选择“创建”。

将 TheAccessHub Admin Tool 连接到 Azure AD B2C 租户

TheAccessHub Admin Tool 使用 Microsoft Graph API 来读取目录以及对目录进行更改。 它充当租户中的全局管理员。 使用以下说明添加所需的权限。

若要授权 TheAccessHub Admin Tool 访问你的目录,请执行以下操作:

  1. 使用 N8 Identity 提供的凭据登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“Azure AD B2C 配置”。
  3. 选择“授权连接”。
  4. 在新窗口中,使用全局管理员帐户登录。 首次使用新服务帐户登录时,会出现重置密码的提示。
  5. 按照提示操作并选择“接受”。

使用企业标识配置新的 CSR 用户

创建使用企业 Microsoft Entra 凭据访问 TheAccessHub Admin Tool 的 CSR 或支持用户。

使用单一登录 (SSO) 配置 CSR 或支持用户:

  1. 使用 N8 Identity 提供的凭据登录 TheAccessHub Admin Tool。
  2. 转到“管理器工具”>“管理同事”。
  3. 选择“添加同事”。
  4. 对于“同事类型”,选择“Azure 管理员”。
  5. 对于配置文件信息,选择一个家庭组织来控制谁有权管理该用户。
  6. 对于“登录 ID/Azure AD 用户名”,请输入用户 Microsoft Entra 帐户的用户主体名称。
  7. 在“TheAccessHub 角色”选项卡上,选择“支持人员”托管角色。
  8. 选择“提交”。

注意

支持人员角色提供对“管理同事”视图的访问权限。 将用户放入组或使其成为组织所有者。

使用新标识配置新的 CSR 用户

创建 CSR 或支持用户以使用新的本地凭据访问 TheAccessHub Admin Tool。 此用户适用于不使用 Microsoft Entra ID 的组织。

请参阅 TheAccessHub Admin Tool:在没有 SSO 的情况下添加同事管理员

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“管理器工具”>“管理同事”。
  3. 选择“添加同事”。
  4. 对于“同事类型”,选择“本地管理员”。
  5. 对于配置文件信息,选择一个家庭组织来控制谁有权管理该用户。
  6. 在“TheAccessHub 角色”选项卡上,选择“支持人员”托管角色。
  7. 复制“登录 ID/电子邮件地址”和“一次性密码”属性。 将其提供给新用户以登录到 TheAccessHub Admin Tool。
  8. 选择“提交”。

注意

支持人员角色提供对“管理同事”视图的访问权限。 将用户放入组或使其成为组织所有者。

配置分区 CSR 管理

在 TheAccessHub Admin Tool 中,客户和 CSR/支持用户的管理权限通过组织层次结构进行管理。 同事和客户具有一个本组织。 可以将同事或同事组指定为组织所有者。

组织所有者可以管理和更改其拥有的组织或子组织中的同事和客户。 对于多个同事管理一组用户的情况,创建一个具有多个成员的组。 然后,将该组指定为组织所有者。 所有小组成员都可以管理组织中的同事和客户。

创建一个新组

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“组织”>“管理组”。
  3. 选择“添加组”。
  4. 输入“组名”、“组说明”和“组所有者”的值。
  5. 搜索要成为组成员的同事并选中相应复选框。
  6. 选择 添加
  7. 组成员显示在页面底部。 选择行中的“X”以删除成员。
  8. 选择“提交”。

创建一个新组织

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“组织”>“管理组织”。
  3. 选择“添加组织”。
  4. 输入“组织名称”、“组织所有者”和“父级组织”的值
  5. 选择“提交”。

注意

使组织名称与客户数据保持一致。 加载同事和客户数据时,在加载中输入组织名称,同事将在组织中显示。 所有者管理组织和子级组织中的客户和同事。 父级组织对组织负责。

通过树视图修改层次结构

可使用此功能来直观展示同事和组管理。

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“管理器工具”>“树视图”。
  3. 要修改层次结构,请将组织拖到父级组织中。
  4. 选择“保存” 。

自定义欢迎通知

如果你使用 TheAccessHub Admin Tool 将用户从一个解决方案迁移到 Azure AD B2C,可以自定义用户欢迎通知。 通知会在迁移期间发送给用户,并且可以包含一个链接,用于在 Azure AD B2C 目录中设置新密码。

若要自定义通知,请执行以下操作:

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“通知”。
  3. 选择“创建同事”模板。
  4. 选择“编辑”。
  5. 对“消息”和“模板”进行必要的更改。 “模板”字段能够识别 HTML,并且可以发送 HTML 格式的通知。
  6. 选择“保存” 。

将数据从外部数据源迁移到 Azure AD B2C

使用 TheAccessHub Admin Tool,可以从各种数据库、LDAP 和 .csv 文件导入数据,然后将这些数据推送到 Azure AD B2C 租户。 加载数据以将其迁移到 TheAccessHub Admin Tool 中的 Azure AD B2C 用户同事类型。

提示

如果数据源不是 Azure,数据将进入 TheAccessHub Admin Tool 和 Azure AD B2C。 如果外部数据源不是计算机上的 .csv 文件,请在数据加载之前设置数据源。 使用以下步骤创建数据源并加载数据。

配置数据源

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“数据源”。
  3. 选择“添加数据源”。
  4. 提供此数据源的“名称”和“类型”值。
  5. 输入数据库的表单数据:
  • 类型:数据库
  • 数据库类型:选择支持的数据库
  • 连接 URL:输入 JDBC 连接字符串,例如 jdbc:postgresql://myhost.com:5432/databasename
  • 用户名:用于访问数据库的用户名
  • 密码:用于访问数据库的密码
  • 查询:用于提取客户详细信息的 SQL 查询,例如 SELECT * FROM mytable;
  • 选择“测试连接”。 出现一个数据样本以确认连接正常。
  1. 输入 LDAP 的表单数据:
  • 类型:LDAP
  • 主机:运行 LDAP 服务器的计算机的主机名或 IP 地址,例如 mysite.com
  • 端口,LDAP 服务器正在侦听的端口号
  • SSL,为 TheAccessHub Admin Tool 选择该复选框可使用 SSL 与 LDAP 通信(建议)
  • 登录 DN:用于登录和执行 LDAP 搜索的用户帐户可分辨名称 (DN)
  • 密码:用户密码
  • 基本 DN:在其中进行搜索的层次结构顶部的 DN
  • 筛选器:用于获取客户记录的 LDAP 筛选器字符串
  • 属性:客户记录中要传递给 TheAccessHub Admin Tool 的逗号分隔属性列表
  • 选择“测试连接”按钮。 出现一个数据样本以确认连接正常。
  1. 输入 OneDrive 的数据。 类型:OneDrive for Business。
  2. 选择“授权连接”。
  3. 新窗口提示你登录到 OneDrive。 使用对 OneDrive 帐户的读取权限登录。 TheAccessHub Admin Tool 读取 .csv 加载文件。
  4. 按照提示操作并选择“接受”。
  5. 选择“保存” 。

将数据从数据源同步到 Azure AD B2C

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“数据同步”。
  3. 选择“新加载”。
  4. 同事类型:Azure AD B2C 用户。
  5. 选择“源”。 在对话框中,选择数据源。 如果创建了 OneDrive 数据源,选择该文件。
  6. 要创建新的客户帐户,请更改第一项策略,将“在 TheAccessHub 中找不到同事执行的操作”更改为“不执行任何操作”。
  7. 要更新客户帐户,请更改第二项策略,将“在源和 TheAccessHub 数据不匹配时执行的操作”更改为“不执行任何操作”。
  8. 选择“下一步”。
  9. 在“搜索映射配置”中,识别加载记录与 TheAccessHub Admin Tool 中客户的相关性。
  10. 选择源标识属性。 匹配具有相同值的 TheAccessHub Admin Tool 属性。 如果存在匹配,则会重写记录。 否则,将创建一个新客户。
  11. 对检查次数进行排序。 例如,可以先检查电子邮件地址,然后检查名字和姓氏。
  12. 在左侧菜单中选择“数据映射”。
  13. 在“数据映射配置”中,指定从源属性填充的 TheAccessHub Admin Tool 属性。 对于客户,未映射的属性保持不变。 如果映射具有当前组织值的属性 org_name,则创建的客户会进入组织。
  14. 选择“下一步”。
  15. 要定期加载此负载,请选择“每天/每周”或“每月”。 否则,请保留默认计划“立即执行”。
  16. 选择“提交”。
  17. 对于“立即执行”计划,将有一个新记录添加到“数据同步”。
  18. 当验证为 100% 时,选择新记录以查看结果。 对于计划加载,记录将在计划的时间之后显示。
  19. 如果没有错误,请选择“运行”。 否则,若要删除负载,请从“更多”菜单中选择“删除”。
  20. 如果有错误,可以手动更新记录。 在每条记录上,选择“更新”并进行更正。
  21. 当“数据同步”为 100% 时,客户会在 Azure AD B2C 中出现或收到更改。

提示

如果有多个错误,可以继续执行并稍后解决错误。 在 TheAccessHub Admin Tool 中,使用“支持干预”。

同步 Azure AD B2C 客户数据

作为一次性或持续的操作,TheAccessHub Admin Tool 可以将客户信息从 Azure AD B2C 同步到 TheAccessHub Admin Tool 中。 此操作可确保 CSR 或支持管理员看到最新的客户信息。

若要将数据从 Azure AD B2C 同步到 TheAccessHub Admin Tool,请执行以下操作:

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“数据同步”。
  3. 选择“新加载”。
  4. 同事类型:Azure AD B2C 用户。
  5. 对于“选项”,保留默认值。
  6. 选择“下一步”。
  7. 对于“数据映射和搜索”,请保留默认值。 异常:如果将属性 org_name 映射到当前组织值,则创建的客户会出现在组织中。
  8. 选择“下一步”。
  9. 要定期加载,请选择“每天/每周”或“每月”计划。 否则,请保留“立即执行”默认值。 建议定期执行。
  10. 选择“提交”。
  11. 如果选择了“立即执行”,则会有一个新记录出现在“数据同步”上。 验证 100% 后,选择新记录以查看加载结果。 对于计划加载,记录将在计划的时间之后显示。
  12. 如果没有错误,请选择“运行”。 否则,要删除负载,请从“更多”菜单中选择“删除”。
  13. 如果有错误,请手动更新每条记录并选择“更新”。
  14. 当“数据同步”为 100% 时,将启动更改。

提示

如果有多个错误,可以继续执行并稍后解决错误。 在 TheAccessHub Admin Tool 中,使用“支持干预”

配置 Azure AD B2C 策略

如果不定期同步 TheAccessHub Admin Tool,它可能会与 Azure AD B2C 不一致。 可以使用 TheAccessHub Admin Tool API 和 Azure AD B2C 策略,在发生更改时立即通知 TheAccessHub Admin Tool。 此解决方案要求具有 Azure AD B2C 自定义策略方面的技术知识。

创建用于调用 TheAccessHub Admin Tool API 的安全凭据

对于注册自定义策略,可通过以下步骤启用安全证书以通知 TheAccessHub Admin Tool 关于新账户的内容。

  1. 使用提供的凭据 N8ID 登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“管理工具”>“API 安全”。
  3. 然后选择“生成” 。
  4. 复制“证书密码”。
  5. 对于客户端证书,选择“下载”。
  6. 使用 HTTPS 客户端证书身份验证中的说明将客户端证书添加到 Azure AD B2C。

检索自定义策略示例

  1. 使用 N8 Identity 提供的凭据登录 TheAccessHub Admin Tool。
  2. 转到“系统管理”>“管理工具”>“Azure B2C 策略”。
  3. 提供你的 Azure AD B2C 租户域和 Identity Experience Framework 配置中的两个 Identity Experience Framework ID。
  4. 选择“保存” 。
  5. 选择“下载”以获取 .zip 文件,其中包含用于在客户注册时将客户添加到 TheAccessHub Admin Tool 的基本策略。
  6. 使用创建用户流中的说明在 Azure AD B2C 中设计自定义策略。

后续步骤