教學課程：使用 Azure Active Directory B2C 設定 Grit IAM B2B2C 解決方案

在此教學課程中，您將了解如何整合 Azure Active Directory B2C (Azure AD B2C) 驗證與 Grit IAM B2B2C \(英文\) 解決方案。 您可以使用此解決方案，為客戶提供安全、可靠、自助式且方便使用的身分識別和存取管理。 共用設定檔資料 (例如，Web 和行動應用程式中所使用的名字、姓氏、住家地址及電子郵件) 會以集中方式儲存，並將合規性與法規需求納入考量。

針對下列項目使用 Grit 的 B2BB2C 解決方案：

• 驗證、授權、設定檔和角色管理，以及委派的 B2B SaaS 應用程式管理。
• 適用於 Azure AD B2C 應用程式的角色型存取控制。

必要條件

開始之前，請確定已符合下列必要條件：

• 一個 Grit IAM 帳戶。 您可以移至 Grit IAM B2B2C 解決方案 \(英文\) 來取得示範。
• Microsoft Entra訂用帳戶。 如果您沒有帳戶，您可以建立免費的 Azure 帳戶。
• 連結至 Azure 訂用帳戶的 Azure AD B2C 租用戶。 您可以在教學課程：建立 Azure Active Directory B2C 租用戶中進行深入了解。
• 在 Azure 入口網站中設定您的應用程式。

案例描述

Contoso 會與終端客戶和大型企業合作，例如 Fabrikam_big1 和 Fabrikam_big2。 有 Fabrikam_small1 和 Fabrikam_small2 等小型企業客戶，而直接業務會由 Smith1 和 Smith2 等終端客戶來完成。

Contoso 具有 Web 和行動應用程式，並開發新的應用程式。 應用程式依賴使用者共用設定檔資料，例如，名字、姓氏、地址及電子郵件。 他們想要集中處理設定檔資料，因此應用程式不會收集和儲存資料。 他們想要根據特定合規性和法規來儲存設定檔資訊。

此整合由下列元件組成：

• Azure AD B2C Identity Experience Framework (IEF)：執行使用者旅程圖的引擎，其中包含驗證認證、執行 MFA、檢查使用者存取權。 它受Microsoft Entra資料庫和使用 XML 設定的 API 層所協助。

• Grit API 層：此層會公開有關組織與應用程式的使用者設定檔資料及中繼資料。 資料會儲存在Microsoft Entra識別碼和 Cosmos DB 中。

• Grit 上線入口網站：讓管理員用來將應用程式和組織上線。

• Grit 管理入口網站：由 Contoso 管理員及 fabrikam_big1 和 fabirkam_small1 管理員所使用。 委派的管理員可以管理使用者及其存取權。 組織的超級管理員會管理所有使用者。

• Grit Visual IEF 編輯器：低程式碼/無程式碼編輯器，可自訂使用者旅程圖且由 Grit 提供。 它會產生 IEF 所使用的 XML。 Contoso 開發人員會使用它來自訂使用者旅程圖。

• 應用程式：由 Contoso 或協力廠商所開發。 應用程式會使用 Open ID 或 SAML 來連線到客戶身分識別與存取管理 (CIAM) 系統。 其收到的權杖包含使用者設定檔資訊，但可以使用權杖作為驗證機制進行 API 呼叫，以執行使用者設定檔資料的建立、讀取、更新及刪除 (CRUD) 作業。

注意

除了 Visual IEF 編輯器以外，由 Grit 開發的元件將部署於 Contoso Azure 環境中。

使用 Azure AD B2C 設定 Grit B2B2C

使用下列各節提供的指引來開始進行設定。

步驟 1：設定基礎結構

開始進行設定：

• 請連絡 Grit 支援以取得存取權。
• 為了進行評估，Grit 支援小組會在 Grit Azure 訂用帳戶部署基礎結構，而他們將為您提供管理員權限。
• 當您購買此解決方案之後，Grit 工程師將在您的 Azure 訂用帳戶中安裝實際執行版本。
• 基礎結構會與您的虛擬網路 (VNet) 設定整合，支援 APIM (協力廠商 API 管理) 和防火牆。
• Grit 實作工程師可以根據您的基礎結構提供自訂建議。

步驟 2：在管理入口網站中建立管理員

使用 Grit 管理入口網站，為管理員指派對入口網站的存取權，讓他們可在其中執行下列工作：

• 根據權限等級，在階層中新增其他管理員，例如，超級、組織、應用程式管理員。

• 檢視/接受/拒絕所有使用者對應用程式註冊的要求。

• 搜尋使用者。

若要了解如何指派管理員角色，請查看此教學課程 \(英文\)。

步驟 3：將組織上線

針對您的一或多位客戶及其支援 OpenID Connect (OIDC) 和 SAML 的識別提供者 (IdP) 使用上線入口網站。 將沒有 IdP 的客戶上線，以進行本機帳戶驗證。 針對 B2C 應用程式，啟用社交驗證。

在 Grit 上線入口網站中，為租用戶建立超級管理員。 上線入口網站會為每個應用程式和每個組織定義宣告。 之後，入口網站會建立適用於登入和註冊使用者流程的端點 URL。

若要了解如何將組織上線，請查看此教學課程 \(英文\)。

步驟 4：使用 OIDC 或 SAML 整合應用程式

當您將客戶上線之後，Grit 上線入口網站即會提供 URL 來將應用程式上線。

了解您的客戶如何註冊、登入及管理其設定檔。

測試案例

查看應用程式中的驗證案例。 使用 Grit 管理入口網站來變更角色和使用者屬性。 透過邀請使用者來提供對管理入口網站的委派存取權。

下一步

• Azure AD B2C 自訂原則概觀

• 教學課程：在 Azure Active Directory B2C 中建立使用者流程和自訂原則

• SAAS 平台 - 組織應用程式上線入口網站

• SAAS 平台 - 管理入口網站