共用方式為

使用 Azure Active Directory B2C 設定 TheAccessHub 管理員 Tool

  • 發行項

在本教學課程中,瞭解如何從 N8 Identity N8ID整合 Azure Active Directory B2C (Azure AD B2C) 與TheAccessHub 管理員 Tool。 解決方案可解決客戶帳戶移轉和客戶服務要求 (CSR) 管理。

針對下列案例使用此解決方案:

  • 您有一個網站,而且想要遷移至 Azure AD B2C。
    • 不過,客戶帳戶移轉是一項挑戰,包括密碼。
  • 您需要 CSR 工具來管理 Azure AD B2C 帳戶。
  • 委派的 CSR 管理是一項需求。
  • 您想要將資料從存放庫同步處理併合並至 Azure AD B2C。

必要條件

若要開始,您需要:

  • 連結至 Azure 訂用帳戶的 Azure AD B2C 租用戶
  • TheAccessHub 管理員 Tool environment
  • 選擇性:
    • 您要從中移轉客戶資料的資料庫或輕量型目錄存取通訊協定 (LDAP) 連線和認證資訊
    • 針對自訂原則設定的 Azure AD B2C 環境,可將 TheAccessHub 管理員 Tool 整合到註冊原則流程中

案例描述

TheAccessHub 管理員 Tool 會在 N8ID Azure 訂用帳戶或客戶訂用帳戶中執行。 下列架構圖顯示該實作。

n8identity 結構的圖表。

  1. 使用者抵達登入頁面、建立帳戶,並輸入資訊。 Azure AD B2C 會收集使用者屬性。
  2. Azure AD B2C 會呼叫 TheAccessHub 管理員 Tool,並傳遞使用者屬性。
  3. AccessHub 管理員工具會檢查您的資料庫是否有目前的使用者資訊。
  4. 使用者記錄會從資料庫同步處理到 TheAccessHub 管理員 Tool。
  5. AccessHub 管理員工具會與委派的 CSR 或技術服務人員系統管理員共用資料。
  6. TheAccessHub 管理員 Tool 會同步處理使用者記錄與 Azure AD B2C。
  7. 根據 TheAccessHub 管理員工具回應,Azure AD B2C 會將自訂的歡迎電子郵件傳送給使用者。

在 Azure AD B2C 租用戶中建立全域管理員

TheAccessHub 管理員 Tool 許可權代表全域管理員來讀取使用者資訊,並在您的 Azure AD B2C 租使用者中進行變更。 對一般系統管理員所做的變更不會影響 TheAccessHub 管理員工具與租使用者的互動。

若要建立全域管理員:

  1. 在Azure 入口網站中,以系統管理員身分登入您的 Azure AD B2C 租使用者。
  2. 移至[Microsoft Entra識別碼>使用者]。
  3. 選取 [新增使用者]。
  4. 選擇 [建立使用者] 以建立一般目錄使用者,而非客戶。
  5. 在身分識別資訊表單上:
  • 輸入 使用者名稱,例如 theaccesshub。
  • 輸入 帳戶名稱,例如 TheAccessHub 服務帳戶。
  1. 選取 [顯示密碼]。
  2. 複製並儲存初始密碼。
  3. 若要指派全域管理員角色,針對 [ 使用者],請選取使用者的目前角色。
  4. 選取全域管理員記錄。
  5. 選取 [建立]。

將 TheAccessHub 管理員 Tool 連線到您的 Azure AD B2C 租使用者

AccessHub 管理員工具會使用 Microsoft 圖形 API來讀取和變更目錄。 它會作為您租用戶中的全域管理員。 使用下列指示來新增所需的許可權。

若要授權 TheAccessHub 管理工具以存取您的目錄:

  1. 使用提供的認證 N8 身分識別來登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [Azure AD B2C 設定]。
  3. 選取 [授權連線]。
  4. 在新的視窗中,使用全域管理員帳戶登入。 當您第一次使用新的服務帳戶登入時,可能會顯示重設密碼的提示。
  5. 遵循提示並選取 [ 接受]。

使用您的企業身分識別設定新的 CSR 使用者

建立 CSR 或 Helpdesk 使用者,以企業Microsoft Entra認證存取 TheAccessHub 管理員 Tool。

若要使用單一登入設定 CSR 或 Helpdesk 使用者, (SSO) :

  1. 使用提供的認證 N8 身分識別來登入 TheAccessHub 管理員 Tool。
  2. 前往 [管理員工具] > [管理同事]。
  3. 選取 [新增同事]。
  4. 針對 [同事類型],選取 [Azure 系統管理員]。
  5. 針對設定檔資訊,選取主組織來控制誰有權管理此使用者。
  6. 針對[登入識別碼/Azure AD 使用者名稱],輸入使用者Microsoft Entra帳戶的使用者主體名稱。
  7. 在 [ TheAccessHub 角色 ] 索引標籤上,選取 技術支援人員 受控角色。
  8. 選取 [提交] 。

注意

技術服務人員角色可讓您存取 [管理同事 ] 檢視。 將使用者放在群組中,或讓他們成為組織擁有者。

使用新的身分識別設定新的 CSR 使用者

建立 CSR 或 Helpdesk 使用者,以使用新的本機認證存取 TheAccessHub 管理員 Tool。 此使用者適用于不使用Microsoft Entra識別碼的組織。

請參閱AccessHub 管理員工具:在沒有 SSO 的情況下新增同事管理員

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [管理員工具] > [管理同事]。
  3. 選取 [新增同事]。
  4. 針對 [同事類型],選取 [本機系統管理員]。
  5. 針對設定檔資訊,選取主組織來控制誰有權管理此使用者。
  6. 在 [ TheAccessHub 角色 ] 索引標籤上,選取 技術支援人員 受控角色。
  7. 複製 [登入識別碼/電子郵件] 和 [單次密碼] 屬性。 提供他們給新使用者以登入 TheAccessHub 管理員 Tool。
  8. 選取 [提交] 。

注意

技術服務人員角色可讓您存取 [管理同事 ] 檢視。 將使用者放在群組中,或讓他們成為組織擁有者。

設定已分割的 CSR 管理

在 TheAccessHub 管理員 Tool 中,管理客戶和 CSR/Helpdesk 使用者的許可權是透過組織階層來管理。 同事和客戶有主組織。 您可以將同事或同事群組指派為組織擁有者。

組織擁有者可以管理及變更組織中的同事和客戶,或他們所擁有的子組織。 若要讓多個同事管理一組使用者,請建立具有多個成員的群組。 然後,將群組指派為組織擁有者。 所有群組成員都可以管理組織中的同事和客戶。

建立新群組

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [組織] > [管理群組]。
  3. 選取 [新增群組] 。
  4. 輸入 [群組名稱]、[群組描述] 和 [群組擁有者] 的值。
  5. 搜尋並選取同事成為群組成員的方塊。
  6. 選取 [新增]。
  7. 群組成員會出現在頁面底部。 選取資料列上的 X 以移除成員。
  8. 選取 [提交] 。

建立新的組織

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 移至[組織>管理組織]。
  3. 選取 [新增組織]。
  4. 輸入 [組織名稱]、 [組織擁有者] 和 [父組織] 的值
  5. 選取 [提交] 。

注意

將組織名稱與客戶資料對齊。 載入同事和客戶資料時,您在載入中輸入組織名稱時,同事會出現在組織中。 擁有者會管理組織中的客戶和同事和子組織。 父組織負責組織。

透過樹狀檢視修改階層

使用此函式將同事和群組管理視覺化。

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [管理員工具] > [樹狀檢視]。
  3. 若要修改階層,請將組織拖曳到父組織。
  4. 選取 [儲存]。

自訂歡迎使用通知

如果您使用 TheAccessHub 管理員 Tool,將使用者從一個解決方案移轉至 Azure AD B2C,您可以自訂使用者歡迎通知。 通知會在移轉期間傳送給使用者,並可包含連結,以在 Azure AD B2C 目錄中設定新密碼。

自訂通知:

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [通知]。
  3. 選取 [建立同事] 範本。
  4. 選取 [編輯]。
  5. 訊息範本進行必要的變更。 [範本] 欄位具有 HTML 感知功能,而且可以傳送 HTML 格式的通知。
  6. 選取 [儲存]。

將外部資料來源中的資料移轉至 Azure AD B2C

使用 TheAccessHub 管理員 Tool,您可以從各種資料庫、LDAP 和 .csv 檔案匯入資料,然後將該資料推送至 Azure AD B2C 租使用者。 您會將資料載入,以將資料移轉至 TheAccessHub 管理員 Tool 中的 Azure AD B2C 使用者同事類型。

提示

如果資料來源不是 Azure,資料會進入 TheAccessHub 管理員 Tool 和 Azure AD B2C。 如果外部資料源不是您電腦上的 .csv 檔案,請先設定資料來源,再載入資料。 使用下列步驟來建立資料來源並載入資料。

設定資料來源

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [資料來源]。
  3. 選取 [新增資料來源]。
  4. 提供此資料來源的 [名稱] 和 [類型] 值。
  5. 輸入資料庫的表單資料:
  • 類型資料庫
  • 資料庫類型:選取支援的資料庫
  • 連線 URL:輸入 JDBC 連接字串,例如 jdbc:postgresql://myhost.com:5432/databasename
  • 使用者名稱:用來存取資料庫的使用者名稱
  • 密碼:用來存取資料庫的密碼
  • 查詢:用來擷取客戶詳細資料的 SQL 查詢,例如 SELECT * FROM mytable; '
  • 選取 [測試連線]。 資料範例隨即出現,以確認連線正常運作。
  1. 輸入 LDAP 的表單資料:
  • 類型LDAP
  • 主機:LDAP 伺服器執行所在電腦的主機名稱或 IP 位址,例如 mysite.com
  • LDAP伺服器正在接聽的埠、埠號碼
  • SSL,選取 TheAccessHub 管理員 工具的方塊,以與 LDAP 通訊 (建議)
  • 登入 DN:使用者帳戶辨別名稱 (DN) 登入並執行 LDAP 搜尋
  • 密碼:使用者密碼
  • 基底 DN:要在其中執行搜尋的階層頂端 DN
  • 篩選:LDAP 篩選字串以取得您的客戶記錄
  • 屬性:以逗號分隔的屬性清單,從您的客戶記錄傳遞至 TheAccessHub 管理員 工具
  • 選取 [測試連線]。 資料範例隨即出現,以確認連線正常運作。
  1. 輸入 OneDrive 的資料。 類型商務用 OneDrive。'
  2. 選取 [授權連線]。
  3. 新的視窗會提示您登入 OneDrive。 使用 OneDrive 帳戶的讀取權限登入。 AccessHub 管理員 工具讀取 .csv 載入檔案。
  4. 遵循提示並選取 [ 接受]。
  5. 選取 [儲存]。

將資料來源中的資料同步至 Azure AD B2C

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [資料同步]。
  3. 選取 [新增載入]。
  4. 同事類型Azure AD B2C 使用者
  5. 選取 [來源]。 在對話方塊中,選取您的資料來源。 如果您已建立 OneDrive 資料來源,請選取檔案。
  6. 若要建立新的客戶帳戶,請變更第一個原則, 如果同事在 TheAccessHub THEN:Do Nothing
  7. 若要更新客戶帳戶,請變更第二個原則 IF 來源和 TheAccessHub 資料不符 THEN不執行任何動作
  8. 選取 [下一步]。
  9. [搜尋對應] 組態中,識別與 TheAccessHub 管理員 Tool 中客戶的負載記錄相互關聯。
  10. 選取來源識別屬性。 比對屬性 TheAccessHub 管理員工具屬性具有相同的值。 如果有相符專案,則會覆寫記錄。 否則,會建立新的客戶。
  11. 排序檢查數目。 例如,請先檢查電子郵件,然後再檢查名字和姓氏。
  12. 在左側功能表上,選取 [資料對應]。
  13. [資料對應] 組態中,指派要從來源屬性填入的 TheAccessHub 管理員 Tool 屬性。 客戶未對應的屬性會保持不變。 如果您將屬性 org_name 與目前的組織值對應,則建立的客戶會進入組織。
  14. 選取 [下一步]。
  15. 若要讓此負載成為週期性,請選取 [每日/每週 ] 或 [ 每月]。 否則,請保留預設值 [立即]。
  16. 選取 [提交] 。
  17. 針對 [立即 ] 排程,新記錄會新增至 資料同步處理
  18. 驗證為 100% 時,請選取新記錄以查看結果。 針對排程的載入,記錄會出現在排程時間之後。
  19. 如果沒有錯誤,請選取 [ 執行]。 否則,若要從 [更多 ] 功能表中移除載入,請選取 [ 移除]。
  20. 如果發生錯誤,您可以手動更新記錄。 在每個記錄上,選取 [更新 ] 並進行更正。
  21. 資料同步 處理為 100% 時,客戶就會在 Azure AD B2C 中出現或收到變更。

提示

如果有多個錯誤,您可以繼續發生錯誤,稍後再加以解決。 在 TheAccessHub 管理員 工具中,使用支援介入

同步 Azure AD B2C 客戶資料

AccessHub 管理員工具可以將客戶資訊從 Azure AD B2C 同步處理到 TheAccessHub 管理員 Tool 作為一次性或進行中的作業。 這項作業可確保 CSR 或技術服務人員會看到最新的客戶資訊。

將 Azure AD B2C 中的資料同步至 TheAccessHub 管理工具:

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [資料同步]。
  3. 選取 [新增載入]。
  4. 同事類型Azure AD B2C 使用者
  5. 針對 [選項],保留預設值。
  6. 選取 [下一步]。
  7. 針對 [資料對應 & 搜尋],保留預設值。 例外狀況:如果您將 屬性 org_name 對應至目前的組織值,則建立的客戶會出現在組織中。
  8. 選取 [下一步]。
  9. 若要讓負載成為週期性,請選取 [每日/每週 ] 或 [ 每月 排程]。 否則,保留 [立即 ] 預設值。 我們建議週期性。
  10. 選取 [提交] 。
  11. 如果您已選取 [立即], 則 [資料同步處理] 上會出現新的記錄。 驗證為 100% 之後,請選取新記錄以查看負載結果。 針對排程的載入,記錄會出現在排程時間之後。
  12. 如果沒有錯誤,請選取 [ 執行]。 否則,若要從 [更多 ] 功能表中移除載入,請選取 [ 移除]。
  13. 如果發生錯誤,請手動更新每個記錄,然後選取 [ 更新]。
  14. 資料同步 處理為 100% 時,就會起始變更。

提示

如果有多個錯誤,您可以繼續發生錯誤,稍後再加以解決。 在 TheAccessHub 管理員 工具中,使用支援介入

設定 Azure AD B2C 原則

如果您偶爾會同步處理 TheAccessHub 管理員 Tool,則 Azure AD B2C 可能不是最新的。 您可以使用 TheAccessHub 管理員 Tool API 和 Azure AD B2C 原則來通知 TheAccessHub 管理員 工具變更。 此解決方案需要 Azure AD B2C 自訂原則的技術知識。

建立安全認證以叫用 TheAccessHub 管理員工具 API

針對註冊自訂原則,下列步驟會啟用安全憑證,以通知 New 帳戶的 TheAccessHub 管理員 Tool。

  1. 使用提供的認證 N8ID 登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [管理工具] > [API 安全性]。
  3. 選取 [產生]。
  4. 複製 [憑證密碼]。
  5. 針對用戶端憑證,選取 [ 下載]。
  6. 使用 HTTPS 用戶端憑證驗證 中的指示,將用戶端憑證新增至 Azure AD B2C。

擷取您的自訂原則範例

  1. 使用提供的認證 N8 身分識別來登入 TheAccessHub 管理員 Tool。
  2. 前往 [系統管理員] > [管理工具] > [Azure B2C 原則]。
  3. 提供您的 Azure AD B2C 租用戶網域以及 Identity Experience Framework 設定的兩個 Identity Experience Framework 識別碼。
  4. 選取 [儲存]。
  5. 選取 [下載],以取得具有基本原則的 .zip 檔案,而基本原則會在客戶註冊時將客戶新增至 TheAccessHub 管理工具。
  6. 使用 建立使用者流程 中的指示,在 Azure AD B2C 中設計自訂原則。

下一步