نظرة عامة على النهج المخصص لـ Microsoft Azure Active Directory B2C

  • مقالة

النُّهج المخصصة هي ملفات التكوين التي تعرف سلوك المستأجر Azure Active Directory B2C (Azure AD B2C). بينما يتم تعريف تدفقات المستخدمين مسبقا في مدخل Microsoft Azure Active Directory B2C لمهام الهوية الأكثر شيوعا، يمكن لمطور الهوية تحرير النهج المخصصة لإكمال العديد من المهام المختلفة.

إن النهج المخصص هو قابل للتكوين بشكل كامل ويعتمد على النهج. نهج مخصص ينسق الثقة بين الكيانات في البروتوكولات القياسية. على سبيل المثال، OpenID الاتصال وOAuth وSAML وعدد قليل منها غير قياسي، على سبيل المثال عمليات تبادل المطالبات المستندة إلى النظام المستندة إلى واجهة برمجة تطبيقات REST. يخلق إطار العمل تجارب سهلة الاستخدام ومبتكرة.

يتم تمثيل النهج المخصص كملف واحد أو أكثر بنموذج XML، والتي تشير إلى بعضها البعض في سلسلة هرمية. تحدد عناصر XML اللبنات الأساسية والتفاعل مع المستخدم والأطراف الأخرى ومنطق الأعمال.

حزمة بداية النهج المخصصة

تأتي حزمة بداية النهج المخصصة ل Azure AD B2C مع العديد من النهج التي تم إنشاؤها مسبقا لمساعدتك على البدء بسرعة. تحتوي كل حزمة من حزم البداية هذه على أصغر عدد من التشكيلات الجانبية التقنية ورحلات المستخدم المطلوبة لتحقيق السيناريوهات الموضحة:

  • LocalAccounts - تمكين استخدام الحسابات المحلية فقط.
  • حسابات SocialAccounts - تمكن من استخدام الحسابات الاجتماعية (أو الخارجية) فقط.
  • SocialAndLocalAccounts - يتيح استخدام الحسابات المحلية والاجتماعية على حد سواء. تشير معظم عيناتنا إلى هذه النهج.
  • SocialAndLocalAccountsWithMFA - تمكين خيارات المصادقة الاجتماعية والمحلية ومتعددة العوامل.

في مستودع GitHub لعينات Azure AD B2C، يمكنك العثور على نماذج للعديد من رحلات وسيناريوهات مستخدم CIAM المخصصة ل Azure AD B2C المحسنة. على سبيل المثال، تحسينات نهج الحساب المحلي، وتحسينات نهج الحساب الاجتماعي، وتحسينات المصادقة متعددة العوامل (MFA)، وتحسينات واجهة المستخدم، والتعزيزات العامة، وترحيل التطبيق، وترحيل المستخدم، والوصول المشروط، واختبار الويب، وCI/CD.

فهم الأساسيات

المطالبات

توفر المطالبة تخزينًا مؤقتًا للبيانات أثناء تنفيذ نهج Azure AD B2C. المطالبات تشبه المتغير في لغة برمجة. يمكنه تخزين معلومات حول المستخدم، مثل الاسم الأول أو اسم العائلة أو أي مطالبة أخرى تم الحصول عليها من المستخدم أو الأنظمة الأخرى (تبادل المطالبات). مخطط المطالبات هو المكان الذي تعلن فيه عن مطالباتك.

عند تشغيل النهج، يقوم Microsoft Azure Active Directory B2C بإرسال واستلام المطالبات من وإلى الأطراف الداخلية والخارجية ثم يرسل مجموعة فرعية من هذه المطالبات إلى تطبيق الجهة المعتمدة كجزء من الرمز المميز. يتم استخدام المطالبات بهذه الطرق:

  • يتم حفظ المطالبة أو قراءتها أو تحديثها مقابل عنصر مستخدم الدليل.
  • تم استلام مطالبة من موفر هوية خارجي.
  • يتم إرسال المطالبات أو استلامها باستخدام خدمة REST API مخصصة.
  • يتم جمع البيانات كمطالبات من المستخدم أثناء التسجيل أو تحرير تدفقات ملف التعريف.

مرونة التعامل مع مطالباتك

تعد تحويلات المطالبات وظائف محددة مسبقاً يمكن استخدامها لتحويل مطالبة معينة إلى مطالبة أخرى أو تقييم مطالبة أو تعيين قيمة مطالبة. على سبيل المثال إضافة عنصر إلى مجموعة سلسلة أو تغيير حالة سلسلة أو تقييم مطالبة التاريخ والوقت. يحدد تحويل المطالبات طريقة تحويل، والتي تم تعريفها مسبقا أيضا.

تخصيص وترجمة واجهة المستخدم الخاصة بك

لتجميع معلومات من المستخدمين عن طريق تقديم صفحة في متصفح الويب لديهم، استخدم ملف التعريف التقني المؤكد ذاتياً. يمكنك تحرير ملف التعريف التقني الذي أكدته بنفسك من أجل إضافة مطالبات وتخصيص مدخلات المستخدم.

من أجل تخصيص واجهة المستخدم لملف التعريف التقني الذي قمت بتأكيده بنفسك، فإنك تحدد عنوان URL في عنصر تعريف المحتوى بمحتوى HTML المخصص. في ملف التعريف التقني الذي تم التأكيد عليه ذاتياً، تقوم بالإشارة إلى معرف تعريف المحتوى هذا.

لتخصيص سلاسل خاصة بلغة معينة، استخدم عنصر الترجمة. قد يحتوي تعريف المحتوى على مرجع الترجمة الذي يحدد قائمة بالموارد المترجمة المراد تحميلها. يدمج Microsoft Azure AD B2C عناصر واجهة المستخدم مع محتوى HTML الذي تم تحميله من عنوان URL الخاص بك وبعد ذلك يعرض الصفحة للمستخدم.

نظرة عامة على نهج الطرف المعتمد

يستدعي تطبيق الجهة المعتمدة، والذي يُعرف في بروتوكول SAML باسم مقدم الخدمة، نهج الطرف المعتمد لتنفيذ رحلة مستخدم معينة. تحدد نهج الجهة المعتمدة رحلة المستخدم المراد تنفيذها وقائمة المطالبات التي يتضمنها الرمز المميز.

Diagram showing the policy execution flow

تتلقى جميع تطبيقات الطرف المعتمد التي تستخدم نفس النهج نفس مطالبات الرمز المميز، ويمر المستخدم برحلة المستخدم نفسها.

رحلات المستخدم

تسمح لك رحلات المستخدم بتحديد منطق العمل مع المسار الذي يتبعه المستخدم للوصول إلى التطبيق الخاص بك. يتم أخذ المستخدم خلال رحلة المستخدم لاسترداد المطالبات التي سيتم تقديمها إلى التطبيق الخاص بك. يتم إنشاء رحلة المستخدم من سلسلة من خطوات التنسيق. يجب أن يصل المستخدم إلى الخطوة الأخيرة للحصول على رمز مميز.

تصف الإرشادات التالية كيف يمكنك إضافة خطوات التنسيق إلى نهج حزمة بدء الحساب الاجتماعي والمحلي. فيما يلي مثال على استدعاء REST API الذي تمت إضافته.

customized user journey

خطوات التنظيم

تشير خطوة التنسيق إلى طريقة تنفذ الغرض أو الوظيفة المقصودة. تسمى هذه الطريقة ملف التعريف التقني. عندما تحتاج رحلة المستخدم الخاصة بك إلى التفريع لتمثيل منطق الأعمال بشكل أفضل، تشير خطوة التنسيق إلى رحلة فرعية. تحتوي الرحلة الفرعية على مجموعتها الخاصة من خطوات التنسيق.

يجب أن يصل المستخدم إلى آخر خطوة تزامن في رحلة المستخدم للحصول على رمز مميز. ولكن قد لا يحتاج المستخدمون إلى السفر عبر جميع خطوات التزامن. يمكن تنفيذ خطوات التنظيم بشكل مشروط بناءً على الشروط المسبقة المحددة في خطوة التزامن.

بعد اكتمال خطوة التنسيق، يقوم Microsoft Azure Active Directory B2C بتخزين المطالبات الناتجة في حقيبة المطالبات. يمكن استخدام المطالبات الموجودة في حقيبة المطالبات من خلال أي خطوات تنسيق أخرى في رحلة المستخدم.

يوضح الرسم البياني التالي كيف يمكن لخطوات تنسيق رحلة المستخدم الوصول إلى حقيبة المطالبات.

Azure AD B2C user journey

الملف التقني

يوفر الملف التعريفي التقني واجهة للتواصل مع أنواع مختلفة من الأطراف. تجمع رحلة المستخدم بين استدعاء ملفات التعريف التقنية عبر خطوات التنسيق لتحديد منطق عملك.

تشترك جميع أنواع ملفات التعريف التقنية في نفس المفهوم. يمكنك إرسال مطالبات الإدخال وتشغيل تحويل المطالبات والتواصل مع الطرف الذي تم تكوينه. بعد اكتمال العملية، يقوم ملف التعريف التقني بإرجاع مطالبات المخرجات إلى حقيبة المطالبات. لمزيد من المعلومات، راجع نظرة عامة على ملفات التعريف التقنية.

الملف التقني للتحقق من الصحة

عندما يتفاعل المستخدم مع واجهة المستخدم، قد ترغب في التحقق من صحة البيانات التي تم جمعها. للتفاعل مع المستخدم، يجب استخدام ملف تعريف فني مؤكد ذاتياً.

للتحقق من صحة إدخال المستخدم، يتم استدعاء ملف تعريف فني للتحقق من ملف التعريف التقني المؤكد ذاتياً. ملف التعريف التقني للتحقق هو طريقة لاستدعاء أي ملف تعريف تقني غير تفاعلي. في هذه الحالة، يمكن لملف التعريف التقني إرجاع مطالبات الإخراج، أو رسالة خطأ. يتم عرض رسالة الخطأ للمستخدم على الشاشة، مما يسمح للمستخدم بإعادة المحاولة.

يوضح الرسم التخطيطي التالي كيف يستخدم Microsoft Azure Active Directory B2C ملف تعريف تقني للتحقق من صحة بيانات اعتماد المستخدم.

Validation technical profile diagram

نموذج الميراث

تتضمن كل حزمة بداية الملفات التالية:

  • ملف أساسي يحتوي على معظم التعريفات. للمساعدة في استكشاف الأخطاء وإصلاحها والصيانة طويلة المدى لنُهجك، حاول تقليل عدد التغييرات التي تجريها على هذا الملف.
  • ملف ترجمة يحتوي على سلاسل الترجمة. ملف النهج هذا مشتق من الملف الأساسي. استخدم هذا الملف لاستيعاب لغات مختلفة لتناسب احتياجات العملاء.
  • ملف ملحقات يحتوي على تغييرات التكوين الفريدة للمستأجر الخاص بك. هذا النهج مشتق من ملف التعريب. استخدم هذا الملف لإضافة وظائف جديدة أو تجاوز الوظائف الموجودة. على سبيل المثال، استخدم هذا الملف للاتحاد مع موفري الهوية الجدد.
  • ملف Relying Party (RP) وهو ملف يركز على مهمة واحدة يتم استدعاؤه مباشرة بواسطة تطبيق الجهة المعتمدة، مثل تطبيقات الويب أو الجوال أو سطح المكتب. تتطلب كل مهمة فريدة، مثل التسجيل أو تسجيل الدخول أو تحرير ملف التعريف، ملف نهج الجهة المعتمِدة الخاصة بها. هذا الملف النهج مشتق من ملف الملحقات.

نموذج الوراثة كما يلي:

  • يمكن أن ترث النهج الفرعية في أي مستوى من النهج الأصلية وتوسيعها بإضافة عناصر جديدة.
  • لسيناريوهات أكثر تعقيداً، يمكنك إضافة المزيد من مستويات التوريث (حتى 10 في المجموع).
  • يمكنك إضافة المزيد من نُهج الطرف المعتمد. على سبيل المثال، حذف حسابي وتغيير رقم الهاتف ونهج الجهة المعتمدة على SAML والمزيد.

يوضح الرسم البياني التالي العلاقة بين ملفات النهج وتطبيقات الطرف المعتمد.

Diagram showing the trust framework policy inheritance model

الإرشادات وأفضل الممارسات

أفضل الممارسات

ضمن نهج Microsoft Azure Active Directory B2C المخصص، يمكنك دمج منطق الأعمال الخاص بك لبناء تجارب المستخدم التي تتطلبها وتوسيع وظائف الخدمة. لدينا مجموعة من أفضل الممارسات والتوصيات للبدء.

  • أنشئ منطقك ضمن نهج الامتداد، أو نهج الجهة المعتمدة. يمكنك إضافة عناصر جديدة، والتي تتجاوز النهج الأساسي عن طريق الرجوع إلى نفس المعرف. يسمح لك هذا الأسلوب بتوسيع نطاق مشروعك مع تسهيل ترقية النهج الأساسي لاحقا إذا قامت Microsoft بإصدار حزم بدء جديدة.
  • في النهج الأساسية، نوصي بشدة بتجنب إجراء أي تغييرات. عند الضرورة، قم بإبداء التعليقات حيث يتم إجراء التغييرات.
  • عندما تتجاوز عنصراً، مثل بيانات التعريف لملف التعريف التقني، تجنب نسخ ملف التعريف التقني بالكامل من النهج الأساسية. بدلاً من ذلك، انسخ القسم المطلوب فقط من العنصر. راجع تعطيل التحقق من البريد الإلكتروني للحصول على مثال لكيفية إجراء التغيير.
  • لتقليل تكرار ملفات التعريف التقنية، حيث تتم مشاركة الوظائف الأساسية، استخدم تضمين ملف التعريف التقني.
  • تجنب الكتابة إلى دليل Microsoft Entra أثناء تسجيل الدخول، مما قد يؤدي إلى مشكلات في التقييد.
  • إذا كانت سياستك تحتوي على تبعيات خارجية، مثل واجهات برمجة تطبيقات REST، فتأكد من توفرها بشكل كبير.
  • لتجربة مستخدم أفضل، تأكد من نشر قوالب HTML المخصصة لديك بشكل عام باستخدام تسليم المحتوى عبر الإنترنت. تتيح لك شبكة توصيل المحتوى Azure (CDN) تقليل أوقات التحميل وحفظ النطاق الترددي وتحسين سرعة الاستجابة.
  • إذا كنت تريد إجراء تغيير على رحلة المستخدم، فقم بنسخ رحلة المستخدم بالكامل من النهج الأساسية إلى نهج الامتداد. قم بتوفير معرف رحلة مستخدم فريد لرحلة المستخدم التي نسختها. ثم في نهج الطرف المعتمد، قم بتغيير عنصر رحلة المستخدم الافتراضية للإشارة إلى رحلة المستخدم الجديدة.

استكشاف الأخطاء وإصلاحها

عند التطوير باستخدام نُهج Microsoft Azure Active Directory B2C، قد تواجه أخطاء أو استثناءات أثناء تنفيذ رحلة المستخدم الخاصة بك. يمكن التحقق من ذلك باستخدام Application Insights.

التكامل المستمر

باستخدام خط تدفق التكامل والتسليم المستمر (CI/CD) الذي أعددته في خطوط تدفق Azure، يمكنك تضمين نُهج Microsoft Azure Active Directory B2C المخصصة في تسليم البرامج وإتمام التحكم في التعليمات البرمجية. أثناء النشر في بيئات Microsoft Azure Active Directory B2C المختلفة، على سبيل المثال التطوير والاختبار والإنتاج، نوصي بإزالة العمليات اليدوية وإجراء الاختبار التلقائي باستخدام خطوط تدفق Azure.

إعداد البيئة الخاصة بك

تبدأ في استخدام نهج Microsoft Azure Active Directory B2C المخصص:

  1. إنشاء مستأجر Azure AD B2C
  2. تسجيل تطبيق ويب باستخدام مدخل Microsoft Azure حتى تتمكن من اختبار سياستك.
  3. أضف مفاتيح النهج الضرورية وسجل تطبيقات Identity Experience Framework.
  4. احصل على حزمة بدء نهج Microsoft Azure Active Directory B2C وقم بتحميلها إلى المستأجر الخاص بك.
  5. بعد تحميل حزمة البدء، اختبر نهج الاشتراك أو تسجيل الدخول.
  6. نوصي بتنزيل Visual Studio Code (VS Code) وتثبيته. Visual Studio Code هو محرر شفرة مصدر خفيف الوزن ولكنه قوي، يعمل على سطح المكتب الخاص بك ومتاح لأنظمة Windows وmacOS وLinux. باستخدام VS Code، يمكنك التنقل بسرعة عبر ملفات XML للنهج المخصص لـ Microsoft Azure Active Directory B2C وتحريرها عن طريق تثبيت ملحق Microsoft Azure Active Directory B2C لـ VS Code

الخطوات التالية

بعد إعداد نهج Microsoft Azure Active Directory B2C واختبارها، يمكنك البدء في تخصيص سياستك. راجع المقالات التالية للتعرف على كيفية: