تمكين المصادقة متعددة العوامل في Azure Active Directory B2C

  • مقالة

قبل أن تبدأ استخدم اختر نوع النهجالمحدد لاختيار نوع النهج التي تقوم بإعدادها. يوفر Azure Active Directory B2C طريقتين لتحديد كيفية تفاعل المستخدمين مع تطبيقاتك: من خلال تدفقات محددة مسبقا للمستخدمين أو من خلال سياسات مخصصة قابلة للتكوين بشكل كامل. تختلف الخطوات المطلوبة في هذه المقالة لكل أسلوب.

يتكامل Azure Active Directory B2C (Azure AD B2C) مباشرة مع مصادقة Microsoft Entra متعددة العوامل بحيث يمكنك إضافة طبقة ثانية من الأمان لتجارب التسجيل وتسجيل الدخول في تطبيقاتك. تقوم بتمكين المصادقة متعددة العوامل دون كتابة سطر واحد من التعليمات البرمجية. إذا قمت بالفعل بإنشاء عمليات تسجيل دخول وتدفق المستخدمين، فيمكنك تمكين المصادقة متعددة العوامل.

تساعد هذه الميزة التطبيقات على معالجة سيناريوهات مثل:

  • أنك لا تحتاج إلى مصادقة متعددة العوامل للوصول إلى تطبيق واحد، ولكنك تتطلب الوصول إلى تطبيق آخر. على سبيل المثال، يمكن للعميل تسجيل الدخول إلى تطبيق تأمين السيارات باستخدام حساب تواصل اجتماعي أو محلي، ولكن يجب التحقق من رقم الهاتف قبل الوصول إلى طلب التأمين المنزلي المُسجل في نفس الدليل.
  • إنك لا تحتاج إلى مصادقة متعددة العوامل للوصول إلى أحد التطبيقات بصفة عامة، ولكنك تتطلب الوصول إلى أجزاء حساسة داخل التطبيق. على سبيل المثال، يمكن للعميل تسجيل الدخول إلى تطبيق مصرفي باستخدام حساب اجتماعي أو محلي والتحقق من رصيد الحساب، ولكن يجب التحقق من رقم الهاتف قبل محاولة التحويل البرقي.

المتطلبات الأساسية

أساليب التحقق

مع وجود الوصول المشروط قد يتم أو لا يتم تحدي المستخدمين للحصول على المصادقة متعددة العوامل بناءً على قرارات التكوين التي تتخذها كمسؤول. أساليب المصادقة متعددة العوامل:

  • رسالة بريد إلكتروني - أثناء تسجيل الدخول، يتم إرسال رسالة تحقق إلكترونية تحتوي على كلمة مرور لمرة واحدة (OTP) إلى المستخدم. يوفر المستخدم رمز OTP الذي تم إرساله في البريد الإلكتروني.
  • رسالة نصية أو مكالمة هاتفية - أثناء التسجيل أو تسجيل الدخول الأول، يطلب من المستخدم تقديم رقم هاتف والتحقق منه. أثناء عمليات تسجيل الدخول اللاحقة، تتم مطالبة المستخدم بتحديد خيار المصادقة متعددة العوامل إرسال رمز أو الاتصال بي على الهاتف. اعتمادًا على اختيار المستخدم، يتم إرسال رسالة نصية أو إجراء مكالمة هاتفية على رقم الهاتف الذي تم التحقق منه لتحديد المستخدم. المستخدم إما يوفر رمز OTP المرسلة عبر رسالة نصية أو يوافق على المكالمة الهاتفية.
  • مكالمة هاتفية فقط فقط - يعمل بنفس الطريقة التي يعمل بها خيار الرسائل القصيرة أو المكالمات الهاتفية، ولكن يتم إجراء مكالمة هاتفية فقط.
  • رسالة نصية فقط - يعمل بنفس الطريقة التي يعمل بها خيار الرسائل القصيرة أو المكالمات الهاتفية، ولكن يتم إرسال رسالة نصية فقط.
  • تطبيق Authenticator - TOTP- يجب على المستخدم تثبيت تطبيق مصدق يدعم التحقق من كلمة المرور لمرة واحدة (TOTP) على أساس الوقت، مثل تطبيق Microsoft Authenticator، على جهاز يمتلكه. أثناء التسجيل أو تسجيل الدخول الأول، يقوم المستخدم بمسح رمز الاستجابة السريعة أو يدخل رمزًا يدويًا باستخدام تطبيق المصادق. أثناء عمليات تسجيل الدخول اللاحقة، يقوم المستخدم بكتابة التعليمات البرمجية TOTP التي تظهر على تطبيق المصادق. اطلع على كيفية إعداد تطبيق Microsoft Authenticator.

هام

تطبيق Authenticator - TOTP يوفر أمان أقوى من الرسائل النصية/الهاتف والبريد الإلكتروني هو الأقل أمانًا. تتحمل المصادقة متعددة العوامل المستندة إلى الرسائل القصيرة/الهاتف رسوما منفصلة عن نموذج تسعير Microsoft Azure Active Directory B2C MAU العادي.

استخدم المصادقة متعددة العوامل

  1. سجل الدخول إلى مدخل Azure.

  2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.

  3. في القائمة اليمنى، حدد «Azure AD B2C». أو حدد جميع الخدمات وابحث عن واختر Azure AD B2C.

  4. حدد «متصفحات المستخدم» .

  5. حدد تدفق المستخدم الذي تريد تمكين المصادقة متعددة العوامل له. على سبيل المثال، B2C_1_signinsignup.

  6. حدد الخصائص.

  7. في المقطع لبمصادقة متعدد العوامل حدد نوع الأسلوبالمطلوب. ثم ضمن تطبيق المصادقة متعددة العوامل حدد خيارًا:

    • إيقاف - لا يتم فرض المصادقة متعددة العوامل مطلقًا أثناء تسجيل الدخول، ولا تتم مطالبة المستخدمين بالتسجيل في المصادقة متعددة العوامل أثناء تسجيل الاشتراك أو تسجيل الدخول.

    • دائمًا مطلوبة - يتم طلب المصادقة متعددة العوامل بغض النظر عن إعداد الوصول المشروط الخاص بك. في أثناء تسجيل الاشتراك، تتم مطالبة المستخدمين بالتسجيل في المصادقة متعددة العوامل. في أثناء تسجيل الدخول، إذا لم يكن المستخدمون مسجلين بالفعل في المصادقة متعددة العوامل، فستتم مطالبتهم بالتسجيل.

    • الشرطي - أثناء تسجيل الاشتراك وتسجيل الدخول، تتم مطالبة المستخدمين بالتسجيل في المصادقة متعددة العوامل (المستخدمون الجدد والمستخدمون الحاليون غير المسجلين في المصادقة متعددة العوامل). في أثناء تسجيل الدخول، يتم فرض المصادقة متعددة العوامل فقط عندما يتطلبها تقييم نهج الوصول المشروط النشط:

      • إذا كانت النتيجة اختبار مصادقة متعددة العوامل دون أي مخاطر، يتم فرض المصادقة متعددة العوامل. إذا لم يكن المستخدم مسجلاً بالفعل في المصادقة متعددة العوامل، تتم مطالبته بالتسجيل.
      • إذا كانت النتيجة اختبار مصادقة متعددة العوامل بسبب المخاطر و لم يكن المستخدم مسجلًا في المصادقة متعددة العوامل، فسيتم حظر تسجيل الدخول.

    إشعار

    • مع توفر عام للوصول المشروط في Azure AD B2C، تتم مطالبة المستخدمين الآن للتسجيل في أسلوب المصادقة متعددة العوامل في أثناء تسجيل الاشتراك. لن يعكس أي تدفق مستخدم لتسجيل اشتراك قمت بإنشائه قبل التوفر العام هذا السلوك الجديد تلقائيًا، ولكن يمكنك تضمين السلوك عن طريق إنشاء تدفقات مستخدم جديدة.
    • عند تحديد مشروط، فستحتاج أيضًا إلى إضافة وصول مشروط إلى تدفقات المستخدمين، وتحديد التطبيقات التي تريد تطبيق النهج عليها.
    • يتم تعطيل المصادقة متعددة العوامل بشكل افتراضي لتدفقات مستخدم التسجيل. يمكنك تمكين المصادقة متعددة العوامل في تدفق المستخدمين باستخدام تسجيل الاشتراك عبر الهاتف، ولكن نظرًا لاستخدام رقم الهاتف كمعرف أساسي، فإن رمز المرور المستخدم لمرة واحدة عبر البريد الإلكتروني هو الخيار الوحيد المتاح لعامل المصادقة الثاني.

  8. حدد حفظ. تم تمكين المصادقة متعددة العوامل الآن لتدفق المستخدم هذا.

يمكنك استخدام تشغيل تدفق المستخدم للتحقق من التجربة. تأكيد السيناريو التالي:

يتم إنشاء حساب عميل في المستأجر قبل حدوث خطوة المصادقة متعددة العوامل. خلال هذه الخطوة، يطلب من العميل تقديم رقم هاتف والتحقق منه. في حال نجاح التحقق، يتم إرفاق رقم الهاتف بالحساب لاستخدامه لاحقًا. حتى إذا قام العميل بالإلغاء أو السحب، يمكن أن يطلب من العميل التحقق من رقم هاتف مرة أخرى أثناء تسجيل الدخول التالي مع تمكين المصادقة متعددة العوامل.

لتمكين المصادقة متعددة العوامل، احصل على حزمة بادئ النهج المخصصة من GitHub كما يلي:

  • قم بتنزيل ملف .zip أو استنسخ المستودع منhttps://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack، ثم قم بتحديث ملفات XML في حزمة بداية SocialAndLocalAccountsWithMFA مع اسم مستأجر Azure AD B2C. تمكن SocialAndLocalAccountsWithMFA خيارات تسجيل الدخول الاجتماعية والمحلية وخيارات المصادقة متعددة العوامل، باستثناء لتطبيق المصدّق - خيار TOTP.
  • لدعم خيار المصادقة متعددة العوامل في التطبيق Authenticator - TOTP، قم بتنزيل ملفات النهج المخصصة من https://github.com/azure-ad-b2c/samples/tree/master/policies/totp، ثم قم بتحديث ملفات XML مع اسم المستأجر Azure AD B2C. تأكد من تضمين ملفات XML TrustFrameworkExtensions.xml وTrustFrameworkLocalization.xml وTrustFrameworkBase.xml من حزمة بدء SocialAndLocalAccounts.
  • تحديث [تخطيط الصفحة] إلى الإصدار 2.1.14. لمزيد من المعلومات، راجع تحديد تخطيط صفحة.

تسجيل مستخدم في TOTP باستخدام تطبيق مصادقة (للمستخدمين النهائيين)

عندما يقوم تطبيق Azure AD B2C بتمكين MFA باستخدام خيار TOTP، يحتاج المستخدمون النهائيون إلى استخدام تطبيق مصادق لإنشاء رموز TOTP. يمكن للمستخدمين استخدام Microsoft Authenticator app أو أي تطبيق مصدّق يدعم التحقق من TOTP. يحتاج مسؤول نظام Azure AD B2C إلى تقديم المشورة للمستخدمين النهائيين لإعداد تطبيق Microsoft Authenticator باستخدام الخطوات التالية:

  1. تنزيل تطبيق Microsoft Authenticator وتثبيته على جهازك المحمول الذي يعمل بنظام Android أو iOS
  2. افتح التطبيق الذي يطلب منك استخدام TOTP للمصادقة متعددة العوامل، على سبيل المثال Contoso webapp، ثم قم بتسجيل الدخول أو التسجيل عن طريق إدخال المعلومات المطلوبة.
  3. إذا طلب منك تسجيل حسابك عن طريق مسح رمز الاستجابة السريعة باستخدام تطبيق مصادقة، افتح تطبيق Microsoft Authenticator في هاتفك، وفي الزاوية اليمنى العليا، حدد رمز القائمة المنقطة 3 (لـ Android) أو رمز القائمة + (لنظام IOS).
  4. حدد +Add an account.
  5. حدد حسابًا آخر (Google وFacebook وما إلى ذلك)، ثم قم بمسح رمز الاستجابة السريعة الموضح في التطبيق (على سبيل المثال، Contoso webapp) لتسجيل حسابك. إذا لم تتمكن من مسح رمز الاستجابة السريعة ضوئيا، يمكنك إضافة الحساب يدويا:
    1. في تطبيق Microsoft Authenticator على هاتفك، حدد OR ENTER CODE MANUALLY.
    2. في التطبيق (على سبيل المثال، Contoso webapp)، حدد هل ما زلت تواجه مشكلة؟. يعرض هذا اسم الحساب وبيانات سرية.
    3. أدخل اسم الحساب والسر في تطبيق Microsoft Authenticator، ثم حدد FINISH.
  6. في التطبيق (على سبيل المثال، Contoso webapp)، حدد متابعة.
  7. في إدخال الرمز، أدخل الرمز الذي يظهر في تطبيق Microsoft Authenticator.
  8. حدد تحقق.
  9. أثناء تسجيل الدخول اللاحق إلى التطبيق، اكتب التعليمات البرمجية التي تظهر في تطبيق Microsoft Authenticator.

تعرف على الرموز المميزة لبرامج OATH

حذف تسجيل مصادق TOTP للمستخدم (لمسؤولي النظام)

في Azure AD B2C، يمكنك حذف تسجيل تطبيق مصادق TOTP للمستخدم. ثم سيطلب من المستخدم إعادة تسجيل حسابه لاستخدام مصادقة TOTP مرة أخرى. لحذف تسجيل TOTP لأي مستخدم، يمكنك استخدام إما مدخل Microsoft Azure أو واجهة برمجة تطبيقات Microsoft Graph.

إشعار

  • لا يؤدي حذف تسجيل تطبيق مصادق TOTP للمستخدم من Azure AD B2C إلى إزالة حساب المستخدم في تطبيق مصادق TOTP. يحتاج مسؤول النظام إلى توجيه المستخدم لحذف حسابه يدويًا من تطبيق مصادق TOTP قبل محاولة التسجيل مرة أخرى.
  • إذا حذف المستخدم حسابه بطريق الخطأ من تطبيق مصادق TOTP، فيجب عليه إعلام مسؤول النظام أو مالك التطبيق الذي يمكنه حذف تسجيل مصادق TOTP للمستخدم من Azure AD B2C حتى يتمكن المستخدم من إعادة التسجيل.

حذف تسجيل تطبيق مصادق TOTP باستخدام مدخل Azure

  1. سجل الدخول إلى مدخل Azure.
  2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.
  3. في القائمة اليسرى، حدد Users.
  4. ابحث عن المستخدم الذي تريد حذف تسجيل تطبيق مصادق TOTP له وحدده.
  5. في القائمة اليسرى، حدد Authentication methods.
  6. ضمن أساليب المصادقة القابلة للاستخدام، ابحث عن رمز مميز لـ OATH البرمجي (معاينة)، ثم حدد قائمة علامة الحذف بجواره. إذا لم تشاهد هذه الواجهة، فحدد "التبديل إلى تجربة أساليب مصادقة المستخدم الجديدة! انقر هنا لاستخدامها الآن" للتبديل إلى تجربة أساليب المصادقة الجديدة.
  7. حدد حذف، ثم حدد نعم للتأكيد.

User authentication methods

حذف تسجيل التطبيق مصادق TOTP باستخدام واجهة برمجة تطبيقات Microsoft Graph

التعرف على كيفية حذف أسلوب مصادقة رمز OATH مميز برمجي للمستخدم باستخدام واجهة برمجة تطبيقات Microsoft Graph.

الخطوات التالية