Azure Active Directory B2C 部署計劃

Azure Active Directory B2C (Azure AD B2C) 是一種身分識別和存取權管理解決方案，可輕鬆與您的基礎結構整合。 請使用下列指導，了解整個 Azure AD B2C 部署過程的需求和合規性。

規劃 Azure AD B2C 部署

需求

• 評定關閉系統的主要原因
  • 請參閱 Azure Active Directory B2C 是什麼？
• 若是新的應用程式，請規劃客戶身分識別存取管理 (CIAM) 系統的設計
  • 請參閱規劃和設計
• 識別客戶的位置，並在對應的資料中心內建立租用戶
  • 請參閱教學課程：建立 Azure Active Directory B2C 租用戶
• 確認您的應用程式類型和支援的技術：
  • Microsoft 驗證資源庫 (MSAL) 概觀
  • 在 Azure中使用開放原始碼語言、架構、資料庫和工具進行開發。
  • 若是後端服務，請使用用戶端認證流程
• 從識別提供者 (IdP) 移轉：
  • 無縫移轉
  • 請前往 user-migration
• 選取通訊協定
  • 如果您使用 Kerberos、Microsoft Windows NT LAN Manager (NTLM) 和 Web 服務同盟 (WS-Fed)，請參閱影片將應用程式和身分識別移轉至 Azure AD B2C

移轉之後，您的應用程式即可支援新式身分識別通訊協定，例如 Open Authorization (OAuth) 2.0 和 OpenID Connect (OIDC)。

利害關係人

技術專案的成功取決於如何管理期望、結果和責任。

• 識別應用程式架構師、技術專案經理和負責人
• 建立通訊群組清單 (DL) 以與 Microsoft 帳戶或工程團隊通訊
  • 提出問題、取得解答及接收通知
• 識別組織外部可支援您的合作夥伴或資源

深入了解：加入正確的專案關係人

通訊

主動並定期與使用者溝通待決和目前的變更。 通知他們體驗將如何變更、何時變更，並提供尋求支援的連絡對象。

時間表

協助建立切實可行的預期，並制定達成關鍵里程碑的應變計劃：

• 試驗日期
• 實行日期
• 影響交付的日期
• 相依性

實行 Azure AD B2C 部署

• 部署應用程式和使用者身分識別 - 部署用戶端應用程式並移轉使用者身分識別
• 用戶端應用程式上線和交付項目 - 將用戶端應用程式上線，並測試解決方案
• 安全性 - 增強身分識別解決方案的安全性
• 合規性 - 滿足法規需求
• 使用者體驗 - 提供方便使用的服務

部署驗證與授權

• 先在您管理的租用戶中註冊應用程式，方可與 Azure AD B2C 互動
  • 請參閱教學課程：建立 Azure Active Directory B2C 租用戶
• 針對授權，請使用 Identity Experience Framework (IEF) 範例使用者旅程圖
  • 請參閱 Azure Active Directory B2C：自訂 CIAM 使用者旅程圖
• 對雲端原生環境使用原則式控制
  • 請前往 openpolicyagent.org 深入了解 Open Policy Agent (OPA)

若要深入了解，請參閱適用於開發人員的課程：取得 Azure AD B2C 專業知識 Microsoft 身分識別 PDF。

角色、權限、委派和呼叫的檢查清單

• 識別存取應用程式的角色
• 定義您目前和未來如何管理系統權限和權利
• 確認您有權限存放區，以及是否有權限要新增到目錄中
• 定義如何管理委派管理
  • 例如，您客戶的客戶管理
• 驗證您的應用程式會呼叫 API 管理員 (APIM)
  • 向應用程式發出權杖之前，可能需要來自 IdP 的呼叫

部署應用程式和使用者身分識別

AAD B2C 專案從一個或多個用戶端應用程式開始。

• Azure Active Directory B2C 的新應用程式註冊體驗
  • 如需實作，請參閱 Azure Active Directory B2C 程式碼範例
• 根據自訂的使用者流程，設定您的使用者旅程圖
  • 比較使用者流程與自訂原則
  • 將識別提供者新增至 Azure Active Directory B2C 租用戶
  • 將使用者移轉至 Azure AD B2C
  • 適用於進階案例的 Azure Active Directory B2C：自訂 CIAM 使用者旅程圖

應用程式部署檢查清單

• CIAM 部署中包含的應用程式
• 使用中的應用程式
  • 例如：網頁應用程式、API、單頁應用程式 (SPA) 或原生行動應用程式
• 使用中的驗證：
  • 例如：與安全性聲明標記語言 (SAML) 或 OIDC 同盟的表單
  • 如果是 OIDC，請確認回應類型：code 或 id_token
• 決定前端和後端應用程式的託管位置：內部部署、雲端或混合式雲端
• 確認使用中的平台或語言：
  • 例如：ASP.NET、JAVA 和 Node.js
  • 請參閱快速入門：設定使用 Azure Active Directory B2C 登入 ASP.NET 應用程式
• 驗證儲存使用者屬性的位置
  • 例如：輕量型目錄存取通訊協定 (LDAP) 或資料庫

使用者身分識別部署檢查清單

• 確認存取應用程式的使用者數目
• 判斷需要的 IdP 類型：
  • 例如：Facebook、本機帳戶和 Active Directory 同盟服務 (AD FS)
  • 請參閱 Active Directory 同盟服務
• 列出您的應用程式、Azure AD B2C 和 IdP 需要的宣告結構描述 (如果適用)
  • 請參閱 ClaimsSchema
• 決定登入和註冊期間要收集的資訊
  • 在 Azure Active Directory B2C 中設定註冊和登入流程

用戶端應用程式上線與交付

請使用下列檢查清單將應用程式上線

區域	描述
應用程式目標使用者群組	選取終端客戶、企業客戶或數位服務。 判斷員工登入的需求。
應用程式商務價值	了解商務需求或目標，以判斷最佳的 Azure AD B2C 解決方案，並與其他用戶端應用程式整合。
您的身分識別群組	依需求將身分識別分為群組，例如企業對消費者 (B2C)、企業對企業 (B2B)、企業對員工 (B2E) 及適用於 IoT 裝置登入和服務帳戶的企業對機器 (B2M)。
識別提供者 (IDP)	請參閱選取識別提供者。 例如，客戶對客戶 (C2C) 行動應用程式應使用簡單的登入流程。 含有數位服務的 B2C 會有合規性需求。 請考慮電子郵件登入。
法規約束	判斷遠端設定檔或隱私權原則的需求。
登入和註冊流程	確認電子郵件驗證或註冊期間的電子郵件驗證。 關於結帳流程，請參閱運作方式：Microsoft Entra 多重要素驗證。 請觀看影片使用 Microsoft Graph API 進行 Azure AD B2C 使用者移轉。
應用程式和驗證通訊協定	實作用戶端應用程式，例如 Web 應用程式、單頁應用程式 (SPA) 或原生應用程式。 用戶端應用程式和 Azure AD B2C 的驗證通訊協定：OAuth、OIDC 和 SAML。 請參閱影片使用 Microsoft Entra ID 保護 Web API。
使用者移轉	確認您是否會將使用者移轉至 Azure AD B2C：Just-In-Time (JIT) 移轉和大量匯入/匯出。 請觀看影片Azure AD B2C 使用者移轉策略。

下列檢查清單適用於交付項目。

區域	描述
通訊協定資訊	收集兩個變數的基底路徑、原則和中繼資料 URL。 指定屬性，例如範例登入、用戶端應用程式識別碼、祕密和重新導向。
應用程式範例	請參閱 Azure Active Directory B2C 程式碼範例。
滲透測試	向您的營運團隊告知滲透測試相關資訊，然後測試使用者流程，包括 OAuth 實作。 請參閱滲透測試和互動的滲透測試規則。
單元測試	單元測試和產生權杖。 請參閱 Microsoft 身分識別平台和 OAuth 2.0 資源擁有者密碼認證。 如果達到 Azure AD B2C 權杖限制，請參閱 Azure AD B2C：檔案支援要求。 重複使用權杖可減少對基礎結構的調查。 在 Azure Active Directory B2C 中設定資源擁有者密碼認證流程。 您不應使用 ROPC 流程在應用程式中驗證使用者。
負載測試	了解 Azure AD B2C 服務限制與約束。 計算每月預期的驗證和使用者登入。 評定高負載流量持續時間和商務原因：假日、移轉和事件。 決定註冊、流量和地理分佈的預期尖峰速率，例如每秒。

安全性

請使用下列檢查清單來增強應用程式安全性。

• 驗證方法，例如多重要素驗證：
  • 對於觸發高價值交易或其他風險事件的使用者，建議使用多重要素驗證。 例如：銀行、財務和結帳流程。
  • 請參閱 Microsoft Entra ID 中有哪些可用的驗證方法？
• 確認使用反 Bot 機制
• 評定嘗試建立詐騙帳戶或登入的風險
  • 請參閱教學課程：使用 Azure Active Directory B2C 設定 Microsoft Dynamics 365 Fraud Protection
• 確認登入或註冊過程中需要的條件式態勢

條件式存取和 Microsoft Entra ID Protection

• 現代的安全界限已延伸到組織的網路之外。 周邊包括使用者和裝置身分識別。
  • 請參閱條件式存取是什麼？
• 使用 Microsoft Entra ID Protection 增強 Azure AD B2C 的安全性
  • 請參閱《Azure AD B2C 中的身分識別保護和條件式存取》

合規性

為了協助滿足法規需求，並增強後端系統安全性，您可以使用虛擬網路 (VNet)、IP 限制、Web 應用程式防火牆等等。 請考量下列需求：

• 您的法規合規性需求
  • 例如：支付卡產業資料安全性標準 (PCI DSS)
  • 請前往 pcisecuritystandards.org 以深入了解 PCI 安全性標準委員會
• 將資料儲存體放入不同的資料庫存放區
  • 判斷此資訊是否無法寫入目錄中

使用者體驗

請使用下列檢查清單來定義使用者體驗需求。

• 識別整合對象，以擴充 CIAM 功能並建立順暢的終端使用者體驗
  • Azure Active Directory B2C 獨立軟體廠商 (ISV) 合作夥伴
• 使用螢幕擷取畫面和使用者案例，展示應用程式終端使用者體驗
  • 例如：登入、註冊、註冊/登入 (SUSI)、設定檔編輯和密碼重設的螢幕擷取畫面
• 在 CIAM 解決方案中，尋找使用查詢字串參數傳遞的提示
• 為打造自訂程度高的使用者體驗，請考慮使用前端開發人員
• 在 Azure AD B2C 中，您可以自訂 HTML 和 CSS
  • 請參閱使用 JavaScript 的指導
• 使用 iframe 支援實作內嵌體驗：
  • 請參閱內嵌的註冊或登入體驗
  • 若是單頁應用程式，請使用會載入 <iframe> 元素中的第二個登入 HTML 頁面

監視、稽核與記錄

請在監視、稽核和記錄時使用下列檢查清單。

• 監視
  • 使用 Azure 監視器監視 Azure AD B2C
  • 請觀看影片使用 Azure 監視器來監視和報告 Azure AD B2C
• 稽核和記錄
  • 存取 Azure AD B2C 稽核記錄

資源

• 註冊 Microsoft Graph 應用程式
• 使用 Microsoft Graph 管理 Azure AD B2C
• 使用 Azure Pipelines 部署自訂原則
• 使用 Azure PowerShell 管理 Azure AD B2C 自訂原則

下一步

Azure Active Directory B2C 的建議和最佳做法