Kurz: Konfigurace Microsoft Dynamics 365 Fraud Protection pomocí Azure Active Directory B2C

Organizace můžou použít Microsoft Dynamics 365 Fraud Protection (DFP) k posouzení rizik při pokusech o vytvoření podvodných účtů a přihlášení. Zákazníci používají hodnocení Microsoft DFP k blokování nebo napadení podezřelých pokusů o vytvoření nových nebo falešných účtů nebo k ohrožení zabezpečení účtů.

V tomto kurzu se dozvíte, jak integrovat Microsoft DFP s Azure Active Directory B2C (Azure AD B2C). K dispozici jsou pokyny, jak začlenit otisky prstů zařízení Microsoft DFP, vytváření účtů a koncové body rozhraní API pro posouzení přihlašování do vlastních zásad Azure AD B2C.

Další informace: Přehled Microsoft Dynamics 365 Fraud Protection

Požadavky

Abyste mohli začít, budete potřebovat:

Popis scénáře

Integrace Microsoft DFP zahrnuje následující komponenty:

  • Azure AD tenant b2C: Ověřuje uživatele a funguje jako klient Microsoft DFP. Hostuje skript pro otisky prstů, který shromažďuje identifikační a diagnostická data uživatelů, kteří spouštějí cílové zásady. Blokuje nebo nabídá pokusy o přihlášení nebo registraci na základě výsledku vyhodnocení pravidla vráceného programem Microsoft DFP.
  • Vlastní šablony uživatelského rozhraní: Přizpůsobí obsah HTML stránek vykreslených Azure AD B2C. Tyto stránky obsahují fragment kódu JavaScriptu vyžadovaný pro otisky prstů Microsoft DFP.
  • Služba Microsoft DFP fingerprinting: Dynamicky vložený skript, který protokoluje telemetrii zařízení a údaje o uživateli s vlastním ověřením a vytváří pro uživatele jedinečně identifikovatelný otisk prstu.
  • Koncové body rozhraní Microsoft DFP API: Poskytuje výsledek rozhodnutí a přijímá konečný stav, který odráží operaci prováděnou klientskou aplikací. Azure AD B2C komunikuje s koncovými body DFP Microsoftu pomocí konektorů rozhraní REST API. K ověřování rozhraní API dochází u client_credentials udělení Azure AD tenantovi, ve kterém je microsoft DFP licencovaný a nainstalovaný, aby získal nosný token.

Následující diagram architektury znázorňuje implementaci.

Diagram architektury ochrany před podvody v Microsoft Dynamics365

  1. Uživatel se zobrazí na přihlašovací stránce, vybere možnost pro vytvoření nového účtu a zadá informace. Azure AD B2C shromažďuje atributy uživatele.
  2. Azure AD B2C volá rozhraní Microsoft DFP API a předává atributy uživatele.
  3. Jakmile rozhraní Microsoft DFP API informace spotřebuje a zpracuje, vrátí výsledek do Azure AD B2C.
  4. Azure AD B2C přijímá informace z rozhraní Microsoft DFP API. Pokud dojde k selhání, zobrazí se chybová zpráva. Uživatel se úspěšně ověří a zapíše do adresáře.

Nastavení řešení

  1. Vytvořte facebookovou aplikaci nakonfigurovanou tak, aby umožňovala federaci Azure AD B2C.
  2. Přidejte tajný kód Facebooku, který jste vytvořili, jako klíč zásad architektury prostředí identit.

Konfigurace aplikace v rámci Microsoft DFP

Nastavte tenanta Azure AD tak, aby používal Microsoft DFP.

Nastavení vlastní domény

V produkčním prostředí použijte vlastní doménu pro Azure AD B2C a pro službu Microsoft DFP fingerprinting. Doména pro obě služby je ve stejné kořenové zóně DNS, aby nastavení ochrany osobních údajů prohlížeče neblokovala soubory cookie mezi doménou. Tato konfigurace není nutná v neprodukčním prostředí.

Příklady prostředí, služby a domény najdete v následující tabulce.

Prostředí Služba Doména
Vývoj Azure AD B2C contoso-dev.b2clogin.com
Vývoj Microsoft DFP Fingerprinting fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Microsoft DFP Fingerprinting fpt.dfp.microsoft.com
Výroba Azure AD B2C login.contoso.com
Výroba Microsoft DFP Fingerprinting fpt.login.contoso.com

Nasazení šablon uživatelského rozhraní

  1. Nasaďte poskytnuté šablony uživatelského rozhraní Azure AD B2C do veřejné internetové hostitelské služby, jako je Azure Blob Storage.
  2. Hodnotu https://<YOUR-UI-BASE-URL>/ nahraďte kořenovou adresou URL pro umístění nasazení.

Poznámka

Později budete potřebovat základní adresu URL ke konfiguraci zásad Azure AD B2C.

  1. ui-templates/js/dfp.js V souboru nahraďte <YOUR-DFP-INSTANCE-ID> id vaší instance Microsoft DFP.
  2. Ujistěte se, že je pro název https://{your_tenant_name}.b2clogin.com domény Azure AD B2C nebo your custom domainpovolený CORS.

Další informace: Dokumentace k přizpůsobení uživatelského rozhraní

konfigurace Azure AD B2C

Přidání klíčů zásad pro ID a tajný kód klientské aplikace Microsoft DFP

  1. V Azure AD tenantovi, ve kterém je nastavená služba Microsoft DFP, vytvořte aplikaci Azure AD a udělte souhlas správce.
  2. Vytvořte hodnotu tajného klíče pro registraci této aplikace. Poznamenejte si ID klienta aplikace a hodnotu tajného klíče klienta.
  3. Hodnoty ID klienta a tajného klíče klienta uložte jako klíče zásad v tenantovi Azure AD B2C.

Poznámka

Později budete klíče zásad potřebovat ke konfiguraci zásad Azure AD B2C.

Nahrazení hodnot konfigurace

V poskytnutých vlastních zásadách najděte následující zástupné symboly a nahraďte je odpovídajícími hodnotami z vaší instance.

Zástupný symbol Nahradit hodnotou Poznámky
{Settings:Production} Jestli se mají zásady nasadit v produkčním režimu true nebo false
{Nastavení:Tenant} Krátký název vašeho tenanta your-tenant - od your-tenant.onmicrosoft.com
{Settings:DeploymentMode} Použití režimu nasazení Application Insights Production nebo Development
{Settings:DeveloperMode} Jestli se mají zásady nasadit ve vývojářském režimu Application Insights true nebo false
{Settings:AppInsightsInstrumentationKey} Instrumentační klíč vaší instance Application Insights* 01234567-89ab-cdef-0123-456789abcdef
{Settings:IdentityExperienceFrameworkAppId} ID aplikace IdentityExperienceFramework nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{Settings:ProxyIdentityExperienceFrameworkAppId} ID aplikace ProxyIdentityExperienceFramework nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{Nastavení:FacebookClientId} ID aplikace Facebook, kterou jste nakonfigurovali pro federaci pomocí B2C 000000000000000
{Settings:FacebookClientSecretKeyContainer} Název klíče zásad, do kterého jste uložili tajný kód aplikace Facebooku B2C_1A_FacebookAppSecret
{Settings:ContentDefinitionBaseUri} Koncový bod, do kterého jste nasadili soubory uživatelského rozhraní https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Settings:DfpApiBaseUrl} Základní cesta pro vaši instanci rozhraní DFP API, která se nachází na portálu DFP https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Settings:DfpApiAuthScope} Rozsah client_credentials pro službu rozhraní DFP API https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Settings:DfpTenantId} ID tenanta Azure AD (ne B2C), ve kterém je licencovaná a nainstalovaná služba DFP 01234567-89ab-cdef-0123-456789abcdef nebo consoto.onmicrosoft.com
{Settings:DfpAppClientIdKeyContainer} Název klíče zásad, do kterého uložíte ID klienta DFP B2C_1A_DFPClientId
{Settings:DfpAppClientSecretKeyContainer} Název klíče zásad, do kterého uložíte tajný klíč klienta DFP B2C_1A_DFPClientSecret

*Application Insights můžete nastavit v tenantovi nebo předplatném Azure AD. Tato hodnota je volitelná, ale doporučuje se, aby vám pomohla s laděním.

Poznámka

Přidejte oznámení o souhlasu na stránku kolekce atributů. Zahrnout oznámení, že se pro ochranu účtu zaznamenávají informace o telemetrii a identitě uživatele.

Konfigurace zásad Azure AD B2C

  1. Přejděte do Azure AD zásady B2C ve složce Zásady.
  2. Postupujte podle pokynů v úvodním balíčku pro vlastní zásady a stáhněte si úvodní sadu LocalAccounts.
  3. Nakonfigurujte zásady pro tenanta Azure AD B2C.

Poznámka

Aktualizujte poskytnuté zásady tak, aby se vztahovaly k vašemu tenantovi.

Testování toku uživatele

  1. Otevřete tenanta Azure AD B2C a v části Zásady vyberte Architektura prostředí identit.
  2. Vyberte dříve vytvořený signUpSignIn.
  3. Vyberte Spustit tok uživatele.
  4. Aplikace: Registrovaná aplikace (příklad je JWT).
  5. Adresa URL odpovědi: adresa URL pro přesměrování.
  6. Vyberte Spustit tok uživatele.
  7. Dokončete tok registrace a vytvořte účet.

Tip

Během toku se volá Microsoft DFP. Pokud je tok neúplný, ověřte, že uživatel není uložený v adresáři.

Poznámka

Pokud používáte modul pravidel Microsoft DFP, aktualizujte pravidla na portálu Microsoft DFP.

Další kroky