Doporučení a osvědčené postupy pro Azure Active Directory B2C
Následující osvědčené postupy a doporučení zahrnují některé z hlavních aspektů integrace Azure Active Directory (Azure AD) B2C do stávajících nebo nových aplikačních prostředí.
Základy
| Osvědčený postup | Popis |
|---|---|
| Volba toků uživatelů pro většinu scénářů | Základní silnou stránkou služby je architektura prostředí identit Azure AD B2C. Zásady plně popisují prostředí identit, jako je registrace, přihlášení nebo úpravy profilu. Portál Azure AD B2C obsahuje předdefinované konfigurovatelné zásady označované jako toky uživatelů, které vám pomůžou nastavit nejběžnější úlohy identit. Díky tokům uživatelů můžete během několika minut vytvořit skvělé uživatelské prostředí. Stačí pár kliknutí. Zjistěte, kdy používat toky uživatelů a vlastní zásady. |
| Registrace aplikací | Všechny aplikace (webové, nativní) a rozhraní API, které jsou zabezpečené, musí být zaregistrované v Azure AD B2C. Pokud má aplikace webovou i nativní verzi ios a Android, můžete je zaregistrovat jako jednu aplikaci ve službě Azure AD B2C se stejným ID klienta. Naučte se registrovat OIDC, SAML, web a nativní aplikace. Přečtěte si další informace o typech aplikací, které je možné použít v Azure AD B2C. |
| Přechod na měsíční fakturaci aktivních uživatelů | Azure AD B2C se přesunula z měsíčních aktivních ověřování na měsíční fakturaci aktivních uživatelů (MAU). Většina zákazníků najde tento model nákladově efektivní. Přečtěte si další informace o měsíční fakturaci aktivních uživatelů. |
Plánování a návrh
Definujte architekturu aplikací a služeb, aktuální systémy inventáře a naplánujte migraci do Azure AD B2C.
| Osvědčený postup | Popis |
|---|---|
| Návrh komplexního řešení | Při plánování integrace Azure AD B2C zahrňte všechny závislosti vašich aplikací. Zvažte všechny služby a produkty, které jsou aktuálně ve vašem prostředí nebo které můžou být potřeba přidat do řešení (například Azure Functions, systémy správy vztahů se zákazníky (CRM), brána služby Azure API Management a služby úložiště). Vezměte v úvahu zabezpečení a škálovatelnost všech služeb. |
| Zdokumentujte prostředí uživatelů | Podrobně popište všechny cesty uživatelů, které vaši zákazníci můžou ve vaší aplikaci zaznamenat. Zahrňte každou obrazovku a všechny toky větvení, se kterými se můžou setkat při interakci s aspekty identity a profilu vaší aplikace. Do plánování můžete zahrnout použitelnost, přístupnost a lokalizaci. |
| Volba správného ověřovacího protokolu | Rozpis různých scénářů aplikace a jejich doporučených toků ověřování najdete v tématu Scénáře a podporované toky ověřování. |
| Pilotní prostředí pro testování konceptu (POC) pro koncové uživatele | Začněte s ukázkami kódu Microsoftu a ukázkami komunity. |
| Vytvoření plánu migrace | Plánováním dopředu se migrace může usnadnit. Přečtěte si další informace o migraci uživatelů. |
| Použitelnost vs. zabezpečení | Vaše řešení musí zajistit správnou rovnováhu mezi použitelností aplikace a přijatelnou úrovní rizika vaší organizace. |
| Přesun místních závislostí do cloudu | Pokud chcete zajistit odolné řešení, zvažte přesun stávajících závislostí aplikací do cloudu. |
| Migrace existujících aplikací do b2clogin.com | Vyřazení login.microsoftonline.com bude platit pro všechny tenanty Azure AD B2C dne 4. prosince 2020. Další informace. |
| Použití ochrany identit a podmíněného přístupu | Tyto funkce můžete využít k výrazně větší kontrole nad rizikovými ověřováními a zásadami přístupu. Vyžaduje se Azure AD B2C Premium P2. Další informace. |
| Velikost tenanta | Je potřeba naplánovat velikost tenanta Azure AD B2C. Ve výchozím nastavení může tenant Azure AD B2C pojmout 1,25 milionu objektů (uživatelské účty a aplikace). Tento limit můžete zvýšit na 5,25 milionů objektů přidáním vlastní domény do tenanta a jeho ověřením. Pokud potřebujete větší velikost tenanta, musíte kontaktovat podporu. |
| Použití ochrany identit a podmíněného přístupu | Tyto funkce můžete využít k větší kontrole nad rizikovými ověřováními a zásadami přístupu. Vyžaduje se Azure AD B2C Premium P2. Další informace. |
Implementace
Během fáze implementace zvažte následující doporučení.
| Osvědčený postup | Popis |
|---|---|
| Úprava vlastních zásad pomocí rozšíření Azure AD B2C pro Visual Studio Code | Stáhněte si Visual Studio Code a toto komunitní rozšíření z webu Visual Studio Code Marketplace. I když není oficiálním produktem Microsoftu, rozšíření Azure AD B2C pro Visual Studio Code obsahuje několik funkcí, které usnadňují práci s vlastními zásadami. |
| Informace o řešení potíží s Azure AD B2C | Zjistěte, jak řešit potíže s vlastními zásadami během vývoje. Zjistěte, jak normální tok ověřování vypadá, a použijte nástroje pro zjišťování anomálií a chyb. Pomocí Přehledy aplikace můžete například zkontrolovat výstupní protokoly cest uživatelů. |
| Využití naší knihovny osvědčených vzorů vlastních zásad | Projděte si ukázky pro vylepšené cesty uživatelů azure AD B2C pro správu identit a přístupu (CIAM). |
Testování
Otestujte a automatizujte implementaci Azure AD B2C.
| Osvědčený postup | Popis |
|---|---|
| Účet pro globální provoz | K otestování požadavků na výkon a lokalizaci použijte zdroje provozu z různých globálních adres. Ujistěte se, že všechny soubory HTM, CSS a závislosti splňují vaše požadavky na výkon. |
| Funkční testování a testování uživatelského rozhraní | Otestujte koncové toky uživatelů. Přidejte syntetické testy každých několik minut pomocí Selenium, VS Web Test atd. |
| Testování perem | Než začnete pracovat s vaším řešením, proveďte cvičení penetračního testování, abyste ověřili, že jsou všechny komponenty zabezpečené, včetně závislostí třetích stran. Ověřte, že jste svá rozhraní API zabezpečili pomocí přístupových tokenů a použili správný ověřovací protokol pro váš scénář aplikace. Přečtěte si další informace o penetračním testování a pravidlech jednotného penetračního testování v cloudu Microsoftu. |
| Testování A/B | Před zavedením pro celou populaci zachovejte nové funkce s malou náhodnou sadou uživatelů. S povoleným JavaScriptem v Azure AD B2C můžete integrovat s testovacími nástroji A/B, jako je Optimizely, Clarity a další. |
| Zátěžové testování | Azure AD B2C se může škálovat, ale vaše aplikace se může škálovat jenom v případě, že se můžou škálovat všechny její závislosti. Zátěžový test rozhraní API a CDN Přečtěte si další informace o odolnosti prostřednictvím osvědčených postupů pro vývojáře. |
| Omezování | Azure AD B2C omezuje provoz, pokud se během krátké doby odesílá příliš mnoho požadavků ze stejného zdroje. Během zátěžového testování používejte několik zdrojů provozu a kód chyby v aplikacích řádně zpracujte AADB2C90229 . |
| Automatizace | Pomocí kanálů kontinuální integrace a doručování (CI/CD) můžete automatizovat testování a nasazení, například Azure DevOps. |
Operace
Správa prostředí Azure AD B2C
| Osvědčený postup | Popis |
|---|---|
| Vytvoření více prostředí | Pro snadnější provoz a nasazení vytvořte samostatná prostředí pro vývoj, testování, předprodukční a produkční prostředí. Vytvořte tenanty Azure AD B2C pro každou z nich. |
| Použití správy verzí pro vlastní zásady | Zvažte použití GitHubu, Azure Repos nebo jiného cloudového systému správy verzí pro vlastní zásady Azure AD B2C. |
| Použití rozhraní Microsoft Graph API k automatizaci správy tenantů B2C | Rozhraní Microsoft Graph API: Správa architektury Identity Experience Framework (vlastní zásady) Klíče Toky uživatele |
| Integrace s Azure DevOps | Kanál CI/CD usnadňuje přesouvání kódu mezi různými prostředími a zajišťuje připravenost produkčního prostředí vždy. |
| Nasazení vlastních zásad | Azure AD B2C spoléhá na ukládání do mezipaměti pro zajištění výkonu koncovým uživatelům. Když nasadíte vlastní zásadu pomocí libovolné metody, můžete očekávat zpoždění až 30 minut , než se uživatelům změny zobrazí. V důsledku tohoto chování zvažte následující postupy při nasazování vlastních zásad: – Pokud nasazujete do vývojového prostředí, nastavte DeploymentMode atribut do Development elementu <TrustFrameworkPolicy> souboru vlastních zásad. – Nasaďte aktualizované soubory zásad do produkčního prostředí, když je provoz v aplikaci nízký. – Když nasadíte do produkčního prostředí, abyste aktualizovali existující soubory zásad, nahrajte aktualizované soubory s novými názvy a pak aktualizujte odkaz aplikace na nové názvy. Potom můžete staré soubory zásad odebrat. – Můžete nastavit DeploymentMode , aby Development se chování ukládání do mezipaměti vynechala v produkčním prostředí. Tento postup ale nedoporučujeme. Pokud s využitím služby Application Přehledy shromažďujete protokoly Azure AD B2C, shromažďují se všechny deklarace identity odesílané do zprostředkovatelů identit a z těchto zprostředkovatelů identity, což je riziko zabezpečení a výkonu. |
| Nasazení aktualizací registrace aplikací | Při úpravě registrace aplikace v tenantovi Azure AD B2C, jako je například aktualizace identifikátoru URI přesměrování aplikace, můžete očekávat zpoždění až 2 hodiny (3600s), aby se změny projevily v produkčním prostředí. Pokud je provoz v aplikaci nízký, doporučujeme upravit registraci aplikace v produkčním prostředí. |
| Integrace se službou Azure Monitor | Události protokolu auditu se uchovávají pouze sedm dní. Integrujte se službou Azure Monitor a zachovejte protokoly pro dlouhodobé použití nebo integrujte s nástroji pro správu událostí a informací o zabezpečení (SIEM) třetích stran, abyste získali přehled o vašem prostředí. |
| Nastavení aktivního upozorňování a monitorování | Sledování chování uživatelů v Azure AD B2C pomocí Přehledy aplikací |
Aktualizace podpory a stavu
Mějte přehled o stavu služby a najděte možnosti podpory.
| Osvědčený postup | Popis |
|---|---|
| Aktualizace služby | Mějte přehled o aktualizacích a oznámeních o produktech Azure AD B2C. |
| podpora Microsoftu | Vytvořte žádost o podporu pro technické problémy Azure AD B2C. Podpora k fakturaci a správě předplatného se poskytuje zadarmo. |
| Stav Azure | Umožňuje zobrazit aktuální stav všech služeb Azure. |