Konfigurieren von Azure AD B2C für den Kundenidentitätsschutz

Konfigurieren von Azure AD B2C für den Kundenidentitätsschutz

01.05.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Konfiguration und Verwendung von Azure AD B2C (Business-to-Consumer) zum Schutz und zur Verwaltung von Kundenidentitäten anleiten. In einer digitalen Welt, in der das Kundenerlebnis an erster Stelle steht, ist die Bereitstellung eines sicheren, intuitiven und anpassbaren Registrierungs- und Anmeldeprozesses von entscheidender Bedeutung. Azure AD B2C ist eine Customer Identity and Access Management (CIAM)-Lösung, die es Ihren Kunden ermöglicht, sich mit ihren sozialen Identitäten (wie Google, Facebook) oder lokalen Konten bei Ihren Anwendungen und APIs anzumelden und anzumelden [1].

Einführung

Die Kundenidentität ist die Grundlage des modernen digitalen Erlebnisses. Web- und Mobilanwendungen benötigen ein robustes System zur Verwaltung der Registrierung, Anmeldung und Profile von Millionen von Kunden, das Sicherheit, Skalierbarkeit und Einhaltung von Datenschutzbestimmungen gewährleistet. Die Entwicklung und Wartung eines internen CIAM-Systems ist komplex, teuer und anfällig für Sicherheitsfehler. Lösungen wie Azure AD B2C beseitigen diese Komplexität, indem sie eine Platform-as-a-Service (PaaS) bereitstellen, die alle Aspekte des Kundenidentitätsmanagements abdeckt [2].

Azure AD B2C erweitert die Funktionen von Azure Active Directory, um den spezifischen Anforderungen verbraucherorientierter Anwendungen gerecht zu werden. Es ermöglicht Unternehmen, das Kundenidentitätserlebnis vollständig anzupassen, von Anmelde- und Registrierungsseiten bis hin zu den gesammelten Attributen. Darüber hinaus sind erweiterte Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA), bedingter Zugriff und Identitätsschutz integriert, um Kundenkonten vor häufigen Bedrohungen wie Brute-Force-Angriffen und kompromittierten Anmeldeinformationen zu schützen [3].

In diesem praktischen Leitfaden werden Voraussetzungen, B2C-Konzepte, die Erstellung und Konfiguration eines B2C-Mandanten, die Registrierung von Anwendungen, die Konfiguration anpassbarer Benutzerabläufe (Registrierung, Anmeldung, Profilbearbeitung, Passwortzurücksetzung), die Integration in Anwendungen sowie das Testen und Validieren der Authentifizierung behandelt. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und prägnante Erklärungen bereitgestellt, damit der Leser diese Funktionen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Checks und Best Practices besprochen, um sicherzustellen, dass die Identitäten Ihrer Kunden effizient, selbstständig, professionell und zuverlässig geschützt und verwaltet werden.

Warum ist Azure AD B2C für den Schutz von Kundenidentitäten von entscheidender Bedeutung?

  • Verbessertes Kundenerlebnis: Bietet Social-Login-Optionen und vollständige Anpassung der Benutzeroberfläche, was zu einem flüssigen und konsistenten Benutzererlebnis führt.
  • Robuste Sicherheit: Integriert Sicherheitsfunktionen der Enterprise-Klasse wie MFA, bedingten Zugriff und Identitätsschutz, um Kundenkonten vor Angriffen zu schützen.
  • Skalierbarkeit und Zuverlässigkeit: Entwickelt, um Millionen von Benutzern und Milliarden von Authentifizierungen zu verarbeiten und eine hohe Verfügbarkeit und Leistung zu gewährleisten.
  • Compliance: Hilft bei der Einhaltung von Datenschutzbestimmungen wie DSGVO und LGPD durch Kontrolle über die Speicherung und Verarbeitung von Kundendaten.
  • Kostenreduzierung: Der Aufbau und die Wartung einer komplexen internen Identitätsinfrastruktur entfällt.
  • Flexibilität: Unterstützt eine Vielzahl von Authentifizierungsprotokollen (OpenID Connect, OAuth 2.0, SAML) und kann in praktisch jede Anwendung integriert werden.

Voraussetzungen

Um Azure AD B2C zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Aktives Azure-Abonnement: Ein Azure-Abonnement zum Erstellen und Verwalten von Ressourcen.
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Benutzeradministrator“ im Azure-Abonnement.
  3. Azure AD B2C-Mandant: Ein neuer Azure AD B2C-Mandant, bei dem es sich um ein von Ihrem unternehmenseigenen Azure AD-Mandanten getrenntes Verzeichnis handelt.

Schritt für Schritt: Azure AD B2C konfigurieren

Lassen Sie uns einen B2C-Mandanten erstellen, eine Anwendung registrieren und einen Benutzerfluss konfigurieren.

1. Erstellen eines Azure AD B2C-Mandanten

Ein B2C-Mandant ist ein separates Verzeichnis, in dem die Identitäten Ihrer Kunden gespeichert sind.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die entsprechenden Berechtigungen verfügtEs ist notwendig.
  3. Geben Sie im oberen Suchfeld „Azure Active Directory B2C“ ein und wählen Sie es aus den Ergebnissen aus.

  4. Klicken Sie auf „+ Neuen Azure AD B2C-Mandanten erstellen“.

  5. Erstellen Sie einen B2C-Mandanten:

    • Mandantentyp: „Azure AD B2C Tenant“.
    • Name der Organisation: Geben Sie einen Namen für Ihre Organisation ein (z. B. „MyCompanyB2C“).
    • Anfänglicher Domänenname: Wählen Sie einen eindeutigen Domänennamen (z. B. „mycompanyab2c.onmicrosoft.com“).
    • Land/Region: Wählen Sie Ihr Land/Ihre Region aus.
    • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.
    • Ressourcengruppe: Erstellen Sie eine neue Ressourcengruppe (z. B. „rg-b2c“) oder wählen Sie eine vorhandene aus.

  6. Klicken Sie auf „Überprüfen + erstellen“ und dann auf Erstellen.

    • Erklärung: Die Erstellung eines B2C-Mandanten kann einige Minuten dauern. Nach der Erstellung müssen Sie in dieses neue B2C-Verzeichnis wechseln, um es zu verwalten.

2. Registrieren einer Anwendung in Azure AD B2C

Jede Anwendung, die Azure AD B2C zur Authentifizierung verwendet, muss registriert werden.

  1. Stellen Sie im Azure-Portal sicher, dass Sie sich im Azure AD B2C-Mandanten befinden (verwenden Sie die Verzeichnisauswahl in der oberen rechten Ecke).
  2. Wählen Sie im linken Navigationsbereich unter „Verwalten“ Anwendungsregistrierungen aus.

  3. Klicken Sie auf „+ Neue Registrierung“.

  4. Antrag registrieren:

    • Name: Geben Sie einen Namen für Ihre Anwendung ein (z. B. „WebApp-MinhaEmpresa“).
    • Unterstützte Kontotypen: Wählen Sie „Konten in einem beliebigen Organisationsverzeichnis oder Identitätsanbieterverzeichnis (zur Authentifizierung von Benutzern mit Benutzerflüssen)“.
    • Umleitungs-URI (optional): Wählen Sie „Web“ und geben Sie die URL ein, an die das Authentifizierungstoken nach der Anmeldung gesendet wird (z. B. „https://localhost:5001/signin-oidc“ für die lokale Entwicklung oder die Produktions-URL Ihrer Anwendung).
    • Berechtigungen: Aktivieren Sie „Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen“.

  5. Klicken Sie auf Registrieren.

  6. Notieren Sie sich nach der Registrierung die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant). Sie benötigen sie zur Konfiguration Ihrer Anwendung.

3. Benutzerflüsse erstellen

Benutzerflüsse sind vordefinierte, anpassbare Identitätserlebnisse für Registrierung, Anmeldung, Profilbearbeitung und Passwortzurücksetzung.

  1. Wählen Sie im linken Navigationsbereich Ihres Azure AD B2C-Mandanten unter „Richtlinien“ die Option Benutzerflüsse aus.

  2. Klicken Sie auf „+Neuer Benutzerfluss“.

  3. Erstellen Sie einen Benutzerfluss:

    • Benutzerflusstyp: Wählen Sie „Registrieren und anmelden“.
    • Version: „Empfohlen“.
    • Name: Geben Sie einen Namen ein (z. B. „B2C_1_signup_signin“).
    • Identitätsanbieter: Wählen Sie „E-Mail-Adresse des lokalen Kontos“ (und andere wie „Google“, „Facebook“, wenn Sie soziale Anbieter integrieren möchten).
    • Benutzerattribute und Token-Ansprüche: Wählen Sie die Attribute aus, die Sie bei der Registrierung erfassen möchten (z. B. „E-Mail-Adresse“, „Vorname“, „Nachname“) und die Ansprüche, die im Token enthalten sein sollen.
    • Multi-Faktor-Authentifizierung (MFA): „Deaktiviert“ (für dieses Beispiel, kann aber für zusätzliche Sicherheit aktiviert werden).
    • Bedingter Zugriff: „Deaktiviert“ (für dieses Beispiel).

  4. Klicken Sie auf Erstellen.

  5. Wiederholen Sie den Vorgang, um weitere Benutzerabläufe zu erstellen, z. B. „Passwort zurücksetzen“ (z. B. „B2C_1_password_reset“) und „Profil bearbeiten“ (z. B. „B2C_1_profile_edit“).

    • Erklärung: Benutzerflüsse sind das Rückgrat des Kundenidentitätserlebnisses. Sie definieren die Reihenfolge der Bildschirme und Interaktionen, die ein Benutzer während des Authentifizierungsprozesses haben wird. Sie können das Erscheinungsbild und Verhalten dieser Flüsse anpassen.

4. Anpassen der Benutzeroberfläche (UI) von Benutzerflüssen

Sie können das Erscheinungsbild der Anmelde- und Registrierungsseiten an das Branding Ihrer Anwendung anpassen.

  1. Wählen Sie im linken Navigationsbereich Ihres Azure AD B2C-Mandanten Benutzerflüsse aus.
  2. Klicken Sie auf den von Ihnen erstellten Benutzerfluss (z. B. „B2C_1_signup_signin“).
  3. Wählen Sie im linken Navigationsbereich Seitenlayouts aus.

  4. Sie können das Layout jeder Seite (z. B. „Einheitliche Anmeldeseite“, „Registrierungsseite für lokales Konto“) mithilfe von benutzerdefiniertem CSS oder HTML an Ihre Marke anpassen.

    • Erklärung: Für eine erweiterte Anpassung können Sie Ihre eigenen HTML-/CSS-/JavaScript-Dateien auf einem Azure Blob Storage hosten und darauf verweisensie hier.

5. Azure AD B2C mit einer Anwendung integrieren

Bei der Integration müssen Sie Ihre Anwendung so konfigurieren, dass sie Azure AD B2C zur Authentifizierung verwendet. Der Prozess variiert je nach Plattform und Framework Ihrer Anwendung. Wir werden ein konzeptionelles Beispiel für eine Webanwendung verwenden.

  1. Konfigurieren Sie die Anwendung für die Verwendung von OpenID Connect: Ihre Anwendung muss einen OpenID Connect-Client verwenden, um mit Azure AD B2C zu kommunizieren.

  2. Konfigurationsparameter: Sie benötigen die folgenden Parameter von Ihrem B2C-Mandanten und Ihrer registrierten Anwendung:

    • Client-ID (Anwendungs-ID): Die ID Ihrer registrierten Anwendung (z. B. „xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx“).
    • B2C-Mandanten-ID (Mandanten-ID): Der Name Ihres B2C-Mandanten (z. B. „mycompanyab2c.onmicrosoft.com“).
    • Benutzerflussname (Richtlinienname): Der Name des Benutzerflusses, den Sie für die Anmeldung verwenden möchten (z. B. „B2C_1_signup_signin“).
    • Umleitungs-URI: Die URL, die Sie bei der Anwendungsregistrierung konfiguriert haben (z. B. „https://localhost:5001/signin-oidc“).

    • OpenID Connect-Metadatenendpunkt: Dieser Endpunkt stellt die B2C-Konfigurationsinformationen bereit. Das Format ist normalerweise „https://.b2clogin.com/.onmicrosoft.com//v2.0/.well-known/openid-configuration“.

    • Konfigurationsbeispiel (Pseudocode für eine ASP.NET Core-Webanwendung): „scharf // Startup.cs oder Program.cs Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme) .AddMicrosoftIdentityWebApp(options => { Configuration.Bind("AzureAdB2C", Optionen); options.Instance = "https://minhaempresab2c.b2clogin.com"; options.Domain = "mycompanyab2c.onmicrosoft.com"; options.ClientId = ""; options.SignUpSignInPolicyId = "B2C_1_signup_signin"; options.CallbackPath = "/signin-oidc"; options.SignedOutCallbackPath = "/signout-oidc"; options.ClientSecret = ""; // Nur für Web-Apps, die keine SPAs sind }); „

    • Erklärung: Die Bibliothek „Microsoft.Identity.Web“ vereinfacht die Integration von Azure AD B2C mit .NET-Anwendungen. Für andere Plattformen gibt es gleichwertige SDKs und Bibliotheken.

Validierung und Tests

Es ist wichtig, den Authentifizierungsprozess und die Benutzererfahrung zu testen.

1. Testen des Registrierungs- und Anmeldebenutzerflusses

  1. Szenario: Greifen Sie auf Ihre Webanwendung zu, die für die Verwendung von Azure AD B2C konfiguriert ist. Versuchen Sie, einen neuen Benutzer zu registrieren und melden Sie sich dann mit dem neu erstellten Konto an.
  2. Erwartete Aktion: Sie sollten zur Azure AD B2C-Registrierungs-/Anmeldeseite weitergeleitet werden, ein Konto erstellen, sich anmelden können und erfolgreich zu Ihrer Anwendung zurückgeleitet werden.
  3. Verifizierung:
    • Navigieren Sie im Azure-Portal in Ihrem B2C-Mandanten unter „Verwalten“ zu Benutzer. Der neue Benutzer sollte in der Liste erscheinen.
    • Überprüfen Sie die Azure AD B2C-Überwachungsprotokolle, um Registrierungs- und Anmeldeereignisse zu bestätigen.

2. Passwort-Reset testen

  1. Szenario: Versuchen Sie, das Passwort eines Benutzers mithilfe des Benutzerflows zum Zurücksetzen des Passworts zurückzusetzen.
  2. Erwartete Aktion: Der Benutzer sollte in der Lage sein, sein Passwort zurückzusetzen und sich mit dem neuen Passwort anzumelden.
  3. Verifizierung:
    • Überprüfen Sie die Azure AD B2C-Überwachungsprotokolle, um das Ereignis zum Zurücksetzen des Kennworts zu bestätigen.

3. Überprüfung der Überwachungsprotokolle in Azure AD B2C

  1. Navigieren Sie im Azure-Portal in Ihrem B2C-Mandanten zu Azure Active Directory > Überwachung > Überwachungsprotokolle.
  2. Filtern Sie die Protokolle nach „Kategorie“ = „Kernverzeichnis“ und „Aktivität“ = „Anmelden“ oder „Anmelden“.
  3. Überprüfen Sie die Ereignisdetails, um den Erfolg der Authentifizierungsvorgänge zu bestätigen.

Sicherheitstipps und Best Practices

  • MFA aktivieren: Aktivieren Sie immer die Multi-Faktor-Authentifizierung (MFA) für Login-Benutzerströme, insbesondere für Konten mit Berechtigungen oder Zugriff auf vertrauliche Daten. MFA ist eine der wirksamsten Abwehrmaßnahmen gegen Angriffe auf die Kompromittierung von Anmeldedaten.
  • Bedingten Zugriff verwenden: Integrieren Sie Azure AD B2C mit bedingtem Zugriff, um risikobasierte Sicherheitsrichtlinien durchzusetzen, z. B. die Anforderung von MFA für Anmeldungen von unbekannten Standorten oder nicht konformen Geräten [3].
  • Identitätsschutz:Verwenden Sie Azure AD B2C-Identitätsschutzfunktionen, um Identitätsrisiken wie durchgesickerte Anmeldeinformationen oder anormale Anmeldungen zu erkennen und zu beheben.
  • Sichere UI-Anpassung: Stellen Sie beim Anpassen von Anmelde-/Registrierungsseiten sicher, dass benutzerdefiniertes HTML/CSS/JavaScript keine Sicherheitslücken mit sich bringt (z. B. XSS). Verwenden Sie sicheren Blobspeicher mit korrekt konfiguriertem CORS.
  • Benutzerattribute einschränken: Sammeln Sie nur die Benutzerattribute, die für Ihre Anwendung und Ihr Unternehmen unbedingt erforderlich sind. Dies minimiert das Risiko einer Datenoffenlegung und hilft bei der Compliance.
  • Protokollüberwachung: Überwachen Sie kontinuierlich Azure AD B2C-Überwachungsprotokolle und Anmeldeprotokolle, um verdächtige Aktivitäten oder Angriffsversuche zu erkennen.
  • Rotation des Client-Geheimnisses: Wenn Ihre Anwendung ein Client-Geheimnis verwendet, müssen Sie es regelmäßig rotieren und sicher speichern (z. B. Azure Key Vault).
  • Integration mit Social-Media-Anbietern: Konfigurieren Sie bei der Integration von Social-Identity-Anbietern wie Google oder Facebook diese korrekt und befolgen Sie die Sicherheitsrichtlinien der jeweiligen Anbieter.

Allgemeine Fehlerbehebung

  • Fehler beim Erstellen des B2C-Mandanten:
    • Überprüfen Sie, ob Sie in Ihrem Azure-Abonnement über die erforderlichen Berechtigungen verfügen.
    • Stellen Sie sicher, dass der ursprüngliche Domänenname eindeutig ist und nicht verwendet wird.
  • Umleitungsfehler nach Anmeldung/Registrierung:
    • Stellen Sie sicher, dass der in der Anwendungsregistrierung in Azure AD B2C konfigurierte „Umleitungs-URI“ genau mit der Rückgabe-URL Ihrer Anwendung übereinstimmt.
    • Stellen Sie sicher, dass das Protokoll (HTTP/HTTPS) und der Port korrekt sind.
  • Benutzerfluss funktioniert nicht oder zeigt Fehler an:
    • Stellen Sie sicher, dass der Benutzerfluss korrekt erstellt wurde und dass Identitätsanbieter und Benutzerattribute ausgewählt sind.
    • Testen Sie den Benutzerfluss direkt über das Azure-Portal (klicken Sie auf der Benutzerflussseite auf „Benutzerfluss ausführen“), um das Problem einzugrenzen.
    • Überprüfen Sie die Audit-Protokolle auf Fehlermeldungen.
  • UI-Anpassung wird nicht angewendet:
    • Überprüfen Sie, ob die URLs benutzerdefinierter CSS-/HTML-Dateien korrekt und öffentlich zugänglich sind (sofern sie im Blob-Speicher gehostet werden).
    • Stellen Sie sicher, dass CORS auf Ihrem Blob-Speicher richtig konfiguriert ist, um den Zugriff von der Domäne „b2clogin.com“ aus zu ermöglichen.
    • Leeren Sie Ihren Browser-Cache, um sicherzustellen, dass die neuesten Änderungen geladen werden.
  • Probleme bei der Anwendungsintegration:
    • Überprüfen Sie, ob „Kunden-ID“, „B2C-Mandanten-ID“ und „Benutzerflussname“ in Ihrer Anwendung korrekt konfiguriert sind.
    • Stellen Sie sicher, dass die Authentifizierungsbibliotheken in Ihrer Anwendung auf dem neuesten Stand sind.
    • Überprüfen Sie Ihre Anwendungsprotokolle auf Authentifizierungsfehlermeldungen.

Fazit

Azure AD B2C ist eine leistungsstarke und flexible Lösung zur Verwaltung und zum Schutz der Identitäten Ihrer Kunden und bietet ein verbessertes Benutzererlebnis und robuste Sicherheit. Durch die Delegierung der Komplexität des Identitätsmanagements an Microsoft können sich Unternehmen auf ihr Kerngeschäft konzentrieren und sicherstellen, dass ihre Kundendaten sicher und konform sind. Eine sorgfältige Implementierung von Benutzerflüssen, die Integration mit bewährten Sicherheitsmethoden und eine kontinuierliche Überwachung sind entscheidend für die Maximierung der Vorteile von Azure AD B2C. Mit diesem praktischen Leitfaden sind Sicherheitsexperten und IT-Administratoren bestens für die Konfiguration, Validierung und Verwaltung von Azure AD B2C gerüstet, um die Identitäten ihrer Kunden zu schützen und die allgemeine Sicherheitslage ihrer Anwendungen zu stärken.

Referenzen:

[1] Microsoft Learn. Azure Active Directory B2C-Dokumentation. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/ [2] Microsoft Learn. Best Practices für Azure AD B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/best-practices [3] Microsoft Learn. Identitätsschutz und bedingter Zugriff in Azure AD B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/conditional-access-identity-protection-overview [4] Microsoft Learn. Registrieren Sie eine Webanwendung in Azure Active Directory B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-register-applications [5] Microsoft Learn. Erstellen Sie Benutzerflüsse und benutzerdefinierte Richtlinien – Azure Active Directory B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/tutorial-create-user-flows [6] Microsoft Learn. Konfigurieren Sie die Authentifizierung in einer Beispiel-Webanwendung mit Azure AD B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/configure-authentication-sample-web-app [7] Microsoft Learn. Untersuchen Sie Risiken mit Identity Protection in Azure AD B2C. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/active-directory-b2c/identity-protection-investigate-risk