Co je Azure Active Directory B2C?

Azure Active Directory B2C nabízí identitu B2C jako službu. Vaši zákazníci používají své upřednostňované sociální, podnikové nebo místní identity účtu k získání přístupu k vašim aplikacím a rozhraním API s jednotným přihlašováním.

Infografika zprostředkovatelů identit Azure AD B2C a podřízených aplikací

Azure AD B2C je řešení správy přístupu k identitám zákazníků (CIAM) schopné podporovat miliony uživatelů a miliardy ověřování za den. Stará se o škálování a bezpečnost ověřovací platformy, monitorování a automatické zpracování hrozeb, jako jsou útoky typu odepření služby, password spray nebo útoky hrubou silou.

Azure AD B2C je samostatná služba než Azure Active Directory (Azure AD). Je postaven na stejné technologii jako Azure AD ale pro jiný účel. Umožňuje firmám vytvářet aplikace pro zákazníky a pak komukoli umožnit registraci a přístup k těmto aplikacím bez omezení uživatelského účtu.

Kdo používá Azure AD B2C?

Každá firma nebo jednotlivec, který chce ověřovat koncové uživatele ve svých webových nebo mobilních aplikacích pomocí řešení ověřování white-label. Kromě ověřování se služba Azure AD B2C používá k autorizaci, jako je přístup ověřených uživatelů k prostředkům rozhraní API. Azure AD B2C je navržený tak, aby ho mohli používat správci IT a vývojáři.

Řešení identity s vlastní značkou

Azure AD B2C je řešení ověřování s prázdným popiskem. Celé uživatelské prostředí můžete přizpůsobit vaší značce tak, aby se hladce prolínaly s vašimi webovými a mobilními aplikacemi.

Přizpůsobte každou stránku zobrazenou Azure AD B2C, když se uživatelé zaregistrují, přihlásí se a změní informace o svém profilu. Přizpůsobte si html, CSS a JavaScript na cestách uživatelů tak, aby prostředí Azure AD B2C vypadalo a vypadalo jako nativní součást vaší aplikace.

Přizpůsobené registrační a přihlašovací stránky a obrázek na pozadí

Přístup k jednotnému přihlašování s využitím identity zadané uživatelem

Azure AD B2C používá ověřovací protokoly založené na standardech, mezi které patří OpenID Connect, OAuth 2.0 a SAML (Security Assertion Markup Language). Integruje se s většinou moderních aplikací a komerčním předchyceným softwarem.

Diagram identit třetích stran federovaných do Azure AD B2C

Díky tomu, že Azure AD B2C slouží jako centrální autorita ověřování pro webové aplikace, mobilní aplikace a rozhraní API, umožňuje vytvořit řešení jednotného přihlašování (SSO) pro všechny. Centralizace shromažďování informací o profilu uživatele a předvolbách a zaznamenávání podrobných analýz chování při přihlašování a převodu registrace.

Integrace s úložišti externích uživatelů

Azure AD B2C poskytuje adresář, který může obsahovat 100 vlastních atributů na uživatele. Můžete se ale také integrovat s externími systémy. Například k ověřování použijte Azure AD B2C, ale delegujte ho na externí správu vztahů se zákazníky (CRM) nebo databázi loajality zákazníků jako zdroj pravdivých informací o zákaznícových datech.

Dalším scénářem úložiště externích uživatelů je zajistit, aby ověřování vaší aplikace zpracovávala Azure AD B2C, ale integrovali ho s externím systémem, který ukládá profil uživatele nebo osobní údaje. Například pro splnění požadavků na rezidenci dat, jako jsou regionální nebo místní zásady úložiště dat. Samotná služba Azure AD B2C se ale prostřednictvím veřejného cloudu Azure provádí po celém světě.

Logický diagram komunikace Azure AD B2C s úložištěm externího uživatele

Azure AD B2C může usnadnit shromažďování informací od uživatele během registrace nebo úprav profilu a pak tato data předat externímu systému prostřednictvím rozhraní API. Během budoucích ověřování pak může Azure AD B2C načíst data z externího systému a v případě potřeby je zahrnout jako součást odpovědi ověřovacího tokenu, který odesílá vaší aplikaci.

Progresivní profilace

Další možnost cesty uživatele zahrnuje progresivní profilaci. Progresivní profilace umožňuje zákazníkům rychle dokončit první transakci shromažďováním minimálního množství informací. Pak postupně shromážděte další data profilu od zákazníka o budoucích přihlášeních.

Vizuální znázornění progresivní profilace

Ověření identity a kontrola pravopisu třetí strany

Pomocí Azure AD B2C můžete usnadnit ověření identity a kontrolu pravopisu tím, že shromažďujete uživatelská data a pak je předáte systému třetí strany, který provede ověření, vyhodnocení důvěryhodnosti a schválení pro vytvoření uživatelského účtu.

Diagram znázorňující tok uživatele pro kontrolu identity třetích stran

Seznámili jste se s některými věcmi, které můžete dělat s Azure AD B2C jako vaší platformou identit mezi firmami a zákazníky. Následující části tohoto přehledu vás provedou ukázkovou aplikací, která používá Azure AD B2C. Můžete také přejít přímo k podrobnějšímu technickému přehledu Azure AD B2C.

Příklad: WoodGrove Potraviny

WoodGrove Groceries je živá webová aplikace vytvořená Microsoft, která demonstruje několik funkcí Azure AD B2C. V následujících několika částech se probíjí některé možnosti ověřování, které Azure AD B2C pro web WoodGrove.

Přehled firmy

WoodGrove je online obchod s potravinami, který prodává potraviny jednotlivým spotřebitelům i firemním zákazníkům. Jejich firemní zákazníci nakupují potraviny jménem své společnosti nebo firem, které spravují.

Možnosti přihlášení

WoodGrove Groceries nabízí několik možností přihlášení na základě vztahu, který mají jejich zákazníci s obchodem:

  • Jednotliví zákazníci se můžou zaregistrovat nebo přihlásit pomocí individuálních účtů, například pomocí poskytovatele sociální identity nebo e-mailové adresy a hesla.
  • Firemní zákazníci se můžou zaregistrovat nebo přihlásit pomocí svých podnikových přihlašovacích údajů.
  • Partneři a dodavatelé jsou jednotlivci, kteří do obchodu dodávají produkty k prodeji. Identitu partnera poskytuje Azure Active Directory B2B.

Individuální (B2C), obchodní (B2C) a partnerské (B2B) přihlašovací stránky

Ověřování jednotlivých zákazníků

Když zákazník vybere Přihlásit se pomocí vašeho osobního účtu, přesměruje se na přizpůsobenou přihlašovací stránku hostovanou Azure AD B2C. Na následujícím obrázku vidíte, že jsme uživatelské rozhraní přizpůsobili tak, aby vypadalo a cítilo se stejně jako na webu WoodGrove Groceries. Zákazníci společnosti WoodGrove by neměli vědět, že prostředí ověřování hostuje a zabezpečuje Azure AD B2C.

Vlastní přihlašovací stránka WoodGrove hostovaná Azure AD B2C

WoodGrove umožňuje zákazníkům registraci a přihlášení pomocí účtů Google, Facebook nebo Microsoft jako jejich zprostředkovatel identity. Nebo se můžou zaregistrovat pomocí své e-mailové adresy a hesla a vytvořit si místní účet.

Když zákazník vybere Možnost Zaregistrovat se pomocí vašeho osobního účtu a pak se zaregistruje, zobrazí se mu vlastní registrační stránka.

Vlastní registrační stránka WoodGrove hostovaná Azure AD B2C

Po zadání e-mailové adresy a výběru možnosti Odeslat ověřovací kód jim Azure AD B2C kód pošle. Jakmile zadá svůj kód, vybere Ověřit kód a pak do formuláře zadá další informace, musí také souhlasit s podmínkami služby.

Kliknutí na tlačítko Vytvořit způsobí, že Azure AD B2C přesměruje uživatele zpět na web WoodGrove Groceries. Při přesměrování předá Azure AD B2C do webové aplikace WoodGrove ověřovací token OpenID Connect. Uživatel je teď přihlášený a připravený k přechodu. Jeho zobrazované jméno se zobrazí v pravém horním rohu, které označuje, že je přihlášený.

Záhlaví webu WoodGrove Groceries zobrazující přihlášení uživatele

Ověřování firemních zákazníků

Když zákazník vybere jednu z možností v části Firemní zákazníci, web WoodGrove Groceries vyvolá jinou zásadu Azure AD B2C než pro jednotlivé zákazníky. Informace o zásadách B2C najdete v technickém přehledu Azure AD B2C.

Tato zásada uživateli nabízí možnost použít k registraci a přihlášení své podnikové přihlašovací údaje. V příkladu WoodGrove se uživatelům zobrazí výzva, aby se přihlásili pomocí libovolného pracovního nebo školního účtu. Tato zásada používá víceklientskou Azure AD aplikaci a /common koncový bod Azure AD k federaci Azure AD B2C se všemi zákazníky Microsoft 365 na světě.

Ověřování partnerů

Odkaz Přihlásit se pomocí účtu dodavatele používá funkci spolupráce Azure Active Directory B2B. Azure AD B2B je řada funkcí v Azure Active Directory pro správu identit partnerů. Tyto identity je možné federovat ze služby Azure Active Directory a získat tak přístup k aplikacím chráněným Azure AD B2C.

Další informace o Azure AD B2B najdete v tématu Co je přístup uživatelů typu host v Azure Active Directory B2B?.

Další kroky

Teď, když máte představu o tom, co Azure AD B2C je, a některé scénáře, se kterými vám může pomoct, můžete se podrobněji podívat na jeho funkce a technické aspekty.