Konfigureer Azure AD B2C vir kliëntidentiteitbeskerming

Konfigureer Azure AD B2C vir kliëntidentiteitbeskerming

05/01/2025

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en gebruik van Azure AD B2C (Besigheid-tot-verbruiker) om klante-identiteite te beskerm en te bestuur. In 'n digitale wêreld waar klante-ervaring uiters belangrik is, is die aanbied van 'n veilige, intuïtiewe en aanpasbare registrasie- en aanmeldproses van kardinale belang. Azure AD B2C is 'n Customer Identity and Access Management (CIAM) oplossing wat jou kliënte toelaat om aan te meld en by jou toepassings en API's aan te meld deur hul sosiale identiteite (soos Google, Facebook) of plaaslike rekeninge te gebruik [1].

Inleiding

Kliënt-identiteit is die grondslag van die moderne digitale ervaring. Web- en mobiele toepassings het 'n robuuste stelsel nodig om die registrasie, aanmelding en profiele van miljoene kliënte te bestuur, wat sekuriteit, skaalbaarheid en voldoening aan privaatheidsregulasies verseker. Die ontwikkeling en instandhouding van 'n interne CIAM-stelsel is kompleks, duur en vatbaar vir sekuriteitsfoute. Oplossings soos Azure AD B2C skakel hierdie kompleksiteit uit deur 'n platform-as-'n-diens (PaaS) te verskaf wat alle aspekte van klantidentiteitsbestuur hanteer [2].

Azure AD B2C brei die vermoëns van Azure Active Directory uit om te voldoen aan die spesifieke behoeftes van toepassings wat aan die verbruiker kyk. Dit stel organisasies in staat om die kliënt-identiteitservaring heeltemal aan te pas, van aanmeld- en registrasiebladsye tot die eienskappe wat ingesamel word. Daarbenewens integreer dit met gevorderde sekuriteitskenmerke soos multi-faktor-verifikasie (MFA), voorwaardelike toegang en identiteitsbeskerming om klanterekeninge te beskerm teen algemene bedreigings soos brute force-aanvalle en gekompromitteerde geloofsbriewe [3].

Hierdie praktiese gids sal voorvereistes, B2C-konsepte dek, hoe om 'n B2C-huurder te skep en op te stel, toepassings te registreer, aanpasbare gebruikervloeie (registrasie, aanmelding, profielredigering, wagwoordterugstelling), hoe om met toepassings te integreer en hoe om stawing te toets en te valideer, te dek. Stap-vir-stap instruksies, praktiese voorbeelde en bondige verduidelikings sal verskaf word sodat die leser hierdie kenmerke kan implementeer, toets en valideer. Daarbenewens sal sekuriteitswenke, nakomingskontroles en beste praktyke bespreek word om te verseker dat jou kliënte se identiteite beskerm en doeltreffend, outonoom, professioneel en betroubaar bestuur word.

Waarom is Azure AD B2C noodsaaklik vir die beskerming van klante-identiteite?

  • Verbeterde klante-ervaring: Verskaf sosiale aanmeldopsies en volledige aanpassing van die gebruikerskoppelvlak, wat 'n vloeiende en konsekwente gebruikerservaring tot gevolg het.
  • Robuuste sekuriteit: Integreer ondernemingsgraadsekuriteitskenmerke soos MFA, Voorwaardelike Toegang en Identiteitsbeskerming om klanterekeninge teen aanvalle te beskerm.
  • Skaalbaarheid en betroubaarheid: Ontwerp om miljoene gebruikers en miljarde stawings te hanteer, wat hoë beskikbaarheid en werkverrigting verseker.
  • Voldoening: Help om aan dataprivaatheidsregulasies soos GDPR en LGPD te voldoen deur beheer oor die berging en verwerking van klantdata.
  • Kostevermindering: Elimineer die behoefte om 'n komplekse interne identiteitsinfrastruktuur te bou en in stand te hou.
  • Flexibiliteit: Ondersteun 'n wye reeks verifikasieprotokolle (OpenID Connect, OAuth 2.0, SAML) en kan met feitlik enige toepassing geïntegreer word.

Voorvereistes

Om Azure AD B2C op te stel, benodig u die volgende items:

  1. Aktiewe Azure-intekening: 'n Azure-intekening om hulpbronne te skep en te bestuur.
  2. Administratiewe toegang: 'n Rekening met die rol van 'Global Administrator' of 'Gebruikersadministrateur' in die Azure-intekening.
  3. Azure AD B2C-huurder: 'n Nuwe Azure AD B2C-huurder, wat 'n aparte gids van jou korporatiewe Azure AD-huurder is.

Stap vir stap: konfigureer Azure AD B2C

Kom ons skep 'n B2C-huurder, registreer 'n toepassing en stel 'n gebruikersvloei op.

1. Skep 'n Azure AD B2C-huurder

'n B2C-huurder is 'n aparte gids wat jou kliënte se identiteite stoor.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die regte hetis nodig.
  3. In die boonste soekveld, tik Azure Active Directory B2C en kies dit uit die resultate.

  4. Klik + Skep 'n nuwe Azure AD B2C-huurder.

  5. Skep 'n B2C-huurder:

    • Tipe huurder: Azure AD B2C-huurder.
    • Organisasienaam: Gee 'n naam vir jou organisasie (byvoorbeeld: MyCompanyB2C).
    • Aanvanklike domeinnaam: Kies 'n unieke domeinnaam (bv: mycompanyab2c.onmicrosoft.com).
    • Land/streek: Kies jou land/streek.
    • Intekening: Kies jou Azure-intekening.
    • Hulpbrongroep: Skep 'n nuwe hulpbrongroep (bv.: rg-b2c) of kies 'n bestaande een.

  6. Klik Hersien + skep en dan Skep.

    • Verduideliking: B2C-huurderskepping kan 'n paar minute neem. Sodra dit geskep is, sal jy na hierdie nuwe B2C-gids moet oorskakel om dit te bestuur.

2. Registrasie van 'n toepassing in Azure AD B2C

Elke toepassing wat Azure AD B2C vir stawing sal gebruik, moet geregistreer word.

  1. In die Azure-portaal, maak seker dat jy op die Azure AD B2C-huurder is (gebruik die gidskieser in die regter boonste hoek).
  2. In die linkernavigasievenster, kies Aansoekregistrasies onder Bestuur.

  3. Klik + Nuwe registrasie.

  4. Registreer 'n aansoek:

    • Naam: Gee 'n naam vir jou aansoek (byvoorbeeld: WebApp-MinhaEmpresa).
    • Ondersteunde rekeningtipes: Kies Rekeninge in enige organisatoriese gids of identiteitsverskaffergids (om gebruikers met gebruikersvloei te staaf).
    • Herlei URI (opsioneel): Kies Web en voer die URL in waarheen die stawingteken na aanmelding gestuur sal word (bv. https://localhost:5001/signin-oidc vir plaaslike ontwikkeling of die produksie-URL van jou aansoek).
    • Toestemmings: Merk Gee administrateurtoestemming vir openid- en offline_access-toestemmings.

  5. Klik Registreer.

  6. Na registrasie, let op die Aansoek ID (kliënt) en Directory ID (huurder). Jy sal hulle nodig hê om jou toepassing op te stel.

3. Skep gebruikersvloei

Gebruikersvloei is voorafbepaalde, aanpasbare identiteitservarings vir registrasie, aanmelding, profielredigering en wagwoordterugstelling.

  1. In die linkernavigasiepaneel van jou Azure AD B2C-huurder, kies Gebruikervloei onder Beleide.

  2. Klik +Nuwe gebruikervloei.

  3. Skep 'n gebruikersvloei:

    • Gebruikervloeitipe: Kies Registreer en meld aan.
    • Weergawe: Aanbeveel.
    • Naam: Gee 'n naam (byvoorbeeld: B2C_1_signup_signin).
    • Identiteitsverskaffers: Kies Plaaslike rekening-e-pos (en ander soos Google, Facebook as jy sosiale verskaffers wil integreer).
    • Gebruikerskenmerke en teken-eise: Kies die eienskappe wat jy tydens registrasie wil insamel (bv. E-posadres, Voornaam, Vannaam) en die eise wat by die teken ingesluit sal word.
    • Multi-Factor Authentication (MFA): Disabled (vir hierdie voorbeeld, maar kan geaktiveer word vir ekstra sekuriteit).
    • Voorwaardelike toegang: Gedeaktiveer (vir hierdie voorbeeld).

  4. Klik Skep.

  5. Herhaal die proses om ander gebruikersvloei te skep, soos Wagwoordterugstel (bv. B2C_1_wagwoord_terugstel) en Profielwysiging (bv. B2C_1_profiel_wysig).

    • Verduideliking: Gebruikersvloei is die ruggraat van die kliënt-identiteitservaring. Hulle definieer die volgorde van skerms en interaksies wat 'n gebruiker tydens die verifikasieproses sal hê. U kan die voorkoms en gedrag van hierdie vloeie aanpas.

4. Pasmaak van die gebruikerskoppelvlak (UI) van gebruikersvloei

Jy kan die voorkoms van die aanmeld- en registrasiebladsye aanpas om by jou toepassing se handelsmerk te pas.

  1. Kies Gebruikersvloei in die linkernavigasiepaneel van jou Azure AD B2C-huurder.
  2. Klik op die gebruikervloei wat jy geskep het (byvoorbeeld: B2C_1_signup_signin).
  3. Kies Bladsyuitlegte in die linkernavigasiepaneel.

  4. Jy kan die uitleg van elke bladsy aanpas (byvoorbeeld: Verenigde aanmeldbladsy, Lokale rekeningregistrasiebladsy) deur gebruik te maak van gepasmaakte CSS of HTML om by jou handelsmerk te pas.

    • Verduideliking: Vir gevorderde aanpassing, kan jy jou eie HTML/CSS/JavaScript-lêers op 'n Azure blob-berging huisves en daarna verwyshulle hier.

5. Integreer Azure AD B2C met 'n toepassing

Integrasie behels die konfigurasie van jou toepassing om Azure AD B2C vir stawing te gebruik. Die proses wissel na gelang van die platform en raamwerk van jou aansoek. Ons sal 'n konseptuele voorbeeld vir 'n webtoepassing gebruik.

  1. Konfigureer die toepassing om OpenID Connect te gebruik: Jou toepassing sal 'n OpenID Connect-kliënt moet gebruik om met Azure AD B2C te kommunikeer.

  2. Konfigurasieparameters: Jy sal die volgende parameters van jou B2C-huurder en geregistreerde toepassing benodig:

    • Kliënt-ID (Aansoek-ID): Die ID van jou geregistreerde aansoek (byvoorbeeld: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).
    • B2C-huurder-ID (huurder-ID): Die naam van jou B2C-huurder (byvoorbeeld: mycompanyab2c.onmicrosoft.com).
    • Gebruikersvloeinaam (beleidsnaam): Die naam van die gebruikervloei wat jy vir aanmelding wil gebruik (bv: B2C_1_signup_signin).
    • Herleiding-URI: Die URL wat jy in die toepassingregistrasie opgestel het (byvoorbeeld: https://localhost:5001/signin-oidc).

    • OpenID Connect Metadata Eindpunt: Hierdie eindpunt verskaf die B2C konfigurasie inligting. Die formaat is tipies https://<tenant_name_b2c>.b2clogin.com/<tenant_name_b2c>.onmicrosoft.com/<userflow_name>/v2.0/.well-known/openid-configuration.

    • Konfigurasievoorbeeld (pseudokode vir 'n ASP.NET Core-webtoepassing): skerp // Startup.cs of Program.cs dienste.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(opsies => { Configuration.Bind("AzureAdB2C", opsies); options.Instance = "https://minhaempresab2c.b2clogin.com"; options.Domain = "mycompanyab2c.onmicrosoft.com"; options.ClientId = "<CLIENT_ID_DA_APLICACAO>"; options.SignUpSignInPolicyId = "B2C_1_signup_signin"; options.CallbackPath = "/signin-oidc"; options.SignedOutCallbackPath = "/signout-oidc"; options.ClientSecret = "<CUSTOMER_SEGREDO_SE_USADO>"; // Slegs vir webtoepassings wat nie SPA's is nie });

    • Verduideliking: Die Microsoft.Identity.Web-biblioteek vereenvoudig integrasie van Azure AD B2C met .NET-toepassings. Vir ander platforms is daar ekwivalente SDK's en biblioteke.

Bekragtiging en toetsing

Dit is van kardinale belang om die verifikasieproses en gebruikerservaring te toets.

1. Toets die registrasie- en aanmeldgebruikersvloei

  1. Scenario: Toegang tot jou webtoepassing wat opgestel is om Azure AD B2C te gebruik. Probeer om 'n nuwe gebruiker te registreer en meld dan aan met die nuutgeskepte rekening.
  2. Verwagte aksie: Jy behoort herlei te word na die Azure AD B2C registrasie/aanmeldbladsy, in staat wees om 'n rekening te skep, aan te meld, en suksesvol na jou aansoek herlei te word.
  3. Verifikasie:
    • In die Azure-portaal, in jou B2C-huurder, navigeer na Gebruikers onder Bestuur. Die nuwe gebruiker moet in die lys verskyn.
    • Gaan Azure AD B2C ouditlogboeke na om registrasie- en aanmeldgebeure te bevestig.

2. Toets Wagwoord Herstel

  1. Scenario: Probeer om 'n gebruiker se wagwoord terug te stel deur die wagwoordterugstelgebruikervloei te gebruik.
  2. Verwagte aksie: Die gebruiker behoort hul wagwoord terug te stel en met die nuwe wagwoord aan te meld.
  3. Verifikasie:
    • Gaan die Azure AD B2C-ouditlogboeke na om die wagwoordterugstellingsgebeurtenis te bevestig.

3. Kontroleer ouditlogboeke in Azure AD B2C

  1. In die Azure-portaal, in jou B2C-huurder, gaan na Azure Active Directory > Monitoring > Ouditlogboeke.
  2. Filtreer die logs volgens Kategorie = Kerngids en Aktiwiteit = Aanmeld of Aanmeld.
  3. Gaan die gebeurtenisbesonderhede na om die sukses van stawingbewerkings te bevestig.

Sekuriteitswenke en beste praktyke

  • Aktiveer MFA: Aktiveer altyd multi-faktor-verifikasie (MFA) vir aanmeldgebruikersvloei, veral vir rekeninge met voorregte of toegang tot sensitiewe data. MFA is een van die doeltreffendste verdediging teen geloofwaardige kompromie-aanvalle.
  • Gebruik voorwaardelike toegang: Integreer Azure AD B2C met voorwaardelike toegang om risiko-gebaseerde sekuriteitsbeleide af te dwing, soos om MFA te vereis vir aanmeldings vanaf onbekende liggings of toestelle wat nie voldoen nie [3]. Identiteitsbeskerming:Gebruik Azure AD B2C Identity Protection-kenmerke om identiteitsrisiko's op te spoor en te herstel, soos uitgelekte geloofsbriewe of abnormale aanmeldings.
  • Veilige UI-aanpassing: Wanneer jy aanmeld-/registrasiebladsye pasmaak, maak seker dat gepasmaakte HTML/CSS/JavaScript nie sekuriteitskwesbaarhede (bv. XSS) bekendstel nie. Gebruik veilige blobberging met korrek gekonfigureerde CORS.
  • Beperk gebruikerskenmerke: Versamel slegs daardie gebruikerkenmerke wat streng nodig is vir jou toepassing en besigheid. Dit verminder die risiko van datablootstelling en help met voldoening.
  • Logboekmonitering: Monitor Azure AD B2C-ouditlogboeke en aanmeldlogboeke deurlopend om verdagte aktiwiteit of poging tot aanvalle op te spoor.
  • Client Secret Rotation: As jou toepassing 'n kliëntgeheim gebruik, maak seker dat jy dit gereeld roteer en dit veilig stoor (bv. Azure Key Vault).
  • Integrasie met sosiale verskaffers: Wanneer jy verskaffers van sosiale identiteite soos Google of Facebook integreer, stel hulle korrek op en volg elke verskaffer se sekuriteitsriglyne.

Algemene probleemoplossing

  • Fout met die skep van B2C-huurder:
    • Kontroleer dat u die nodige toestemmings in u Azure-intekening het.
    • Maak seker dat die aanvanklike domeinnaam uniek is en nie in gebruik is nie.
  • Herleidingsfout na aanmelding/registrasie:
    • Verifieer dat die Redirect URI wat in die toepassingregistrasie in Azure AD B2C gekonfigureer is, presies ooreenstem met die terugkeer-URL van u toepassing.
    • Maak seker dat die protokol (HTTP/HTTPS) en poort korrek is.
  • Gebruikervloei werk nie of vertoon fout:
    • Verifieer dat die gebruikersvloei korrek geskep is en dat identiteitsverskaffers en gebruikerskenmerke gekies is.
    • Toets die gebruikersvloei direk vanaf die Azure-portaal (op die gebruikersvloeibladsy, klik Laat gebruikersvloei) om die probleem te isoleer.
    • Gaan ouditlogboeke na vir foutboodskappe.
  • UI-aanpassing word nie toegepas:
    • Kontroleer dat die URL's van pasgemaakte CSS/HTML-lêers korrek en publiek toeganklik is (indien dit op blobberging aangebied word).
    • Maak seker dat CORS korrek op jou blobberging opgestel is om toegang vanaf die b2clogin.com-domein toe te laat.
    • Maak jou blaaierkas skoon om te verseker dat die jongste veranderinge gelaai is. Programintegrasiekwessies:
    • Maak seker dat die Klant-ID, B2C-huurder-ID en Gebruikervloeinaam korrek in jou toepassing opgestel is.
    • Maak seker dat die verifikasiebiblioteke in jou aansoek op datum is.
    • Gaan jou toepassinglogboeke na vir verifikasiefoutboodskappe.

Gevolgtrekking

Azure AD B2C is 'n kragtige en buigsame oplossing vir die bestuur en beskerming van u kliënte se identiteit, wat 'n verbeterde gebruikerservaring en robuuste sekuriteit bied. Deur die kompleksiteit van identiteitsbestuur aan Microsoft te delegeer, kan organisasies op hul kernbesigheid fokus, om te verseker dat hul kliëntedata veilig en voldoen. Versigtige implementering van gebruikersvloei, integrasie met beste sekuriteitspraktyke en deurlopende monitering is van kritieke belang om die voordele van Azure AD B2C te maksimeer. Met hierdie praktiese gids sal sekuriteitspersoneel en IT-administrateurs goed toegerus wees om Azure AD B2C op te stel, te bekragtig en te bestuur, hul kliënte se identiteit te beskerm en die algehele sekuriteitsposisie van hul toepassings te versterk.

Verwysings:

[1] Microsoft Learn. Azure Active Directory B2C-dokumentasie. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/ [2] Microsoft Learn. Beste praktyke vir Azure AD B2C. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/best-practices [3] Microsoft Learn. * Identiteitsbeskerming en voorwaardelike toegang in Azure AD B2C. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/conditional-access-identity-protection-overview [4] Microsoft Learn. Registreer 'n webtoepassing in Azure Active Directory B2C. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-register-applications [5] Microsoft Learn. Skep gebruikersvloei en pasgemaakte beleide - Azure Active Directory B2C. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-create-user-flows [6] Microsoft Learn. Konfigureer verifikasie in 'n voorbeeldwebtoepassing met Azure AD B2C. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/configure-authentication-sample-web-app [7] Microsoft Learn. Ondersoek risiko's met Identiteitsbeskerming in Azure AD B2C*. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/identity-protection-investigate-risk