Technický přehled a přehled funkcí Azure Active Directory B2C

  • Článek

Tento článek, který je doprovodným doplňkem k tématu O službě Azure Active Directory B2C, poskytuje podrobnější úvod ke službě. Tady jsou popsány primární prostředky, se kterými ve službě pracujete, její funkce. Zjistěte, jak tyto funkce umožňují poskytovat zákazníkům ve vašich aplikacích plně vlastní prostředí identit.

tenant Azure AD B2C

V Azure Active Directory B2C (Azure AD B2C) představuje tenant vaši organizaci a je adresář uživatelů. Každý tenant Azure AD B2C se odlišuje a je oddělený od jiných tenantů Azure AD B2C. Tenant Azure AD B2C se liší od tenanta Microsoft Entra, který už možná máte.

Primární prostředky, se kterými pracujete v tenantovi Azure AD B2C, jsou:

  • Adresářadresář je místo, kam Azure AD B2C ukládá přihlašovací údaje uživatelů, data profilu a registrace aplikací.
  • Registrace aplikací – Zaregistrujte webové, mobilní a nativní aplikace v Azure AD B2C, abyste umožnili správu identit. Můžete také zaregistrovat všechna rozhraní API, která chcete chránit, pomocí Azure AD B2C.
  • Toky uživatelů a vlastní zásady – Vytvářejte prostředí identit pro své aplikace pomocí integrovaných toků uživatelů a plně konfigurovatelných vlastních zásad:
    • Toky uživatelů vám pomůžou rychle povolit běžné úlohy identity, jako je registrace, přihlášení a úpravy profilu.
    • Vlastní zásady umožňují vytvářet komplexní pracovní postupy identit, které jsou jedinečné pro vaši organizaci, zákazníky, zaměstnance, partnery a občany.
  • Možnosti přihlášení – Azure AD B2C nabízí uživatelům aplikací různé možnosti registrace a přihlášení:
    • Uživatelské jméno, e-mail a přihlášení přes telefon – Nakonfigurujte místní účty Azure AD B2C tak, aby umožňovaly registraci a přihlášení pomocí uživatelského jména, e-mailové adresy, telefonního čísla nebo kombinace metod.
    • Zprostředkovatelé sociální identity – Federujte se s poskytovateli sociálních sítí, jako je Facebook, LinkedIn nebo Twitter.
    • Externí zprostředkovatelé identity – federují se standardními protokoly identit, jako jsou OAuth 2.0, OpenID Connect a další.
  • Klíče – přidejte a spravujte šifrovací klíče pro podepisování a ověřování tokenů, tajných klíčů klienta, certifikátů a hesel.

Tenant Azure AD B2C je prvním prostředkem, který musíte vytvořit, abyste mohli začít používat Azure AD B2C. Naučte se:

Účty v Azure AD B2C

Azure AD B2C definuje několik typů uživatelských účtů. Microsoft Entra ID, Microsoft Entra B2B a Azure Active Directory B2C tyto typy účtů sdílejí.

  • Pracovní účet – uživatelé s pracovními účty můžou spravovat prostředky v tenantovi a s rolí správce také můžou spravovat tenanty. Uživatelé s pracovními účty můžou vytvářet nové zákaznické účty, resetovat hesla, zablokovat nebo odblokovat účty a nastavit oprávnění nebo přiřadit účet ke skupině zabezpečení.
  • Účet hosta – externí uživatelé, které pozvete do tenanta jako hosty. Typickým scénářem pozvání uživatele typu host do tenanta Azure AD B2C je sdílení odpovědností za správu.
  • Uživatelský účet – účty spravované Azure AD toky uživatelů B2C a vlastní zásady.

Snímek obrazovky se stránkou správy uživatelů Azure AD B2C v Azure Portal
Obrázek: Uživatelský adresář v rámci tenanta Azure AD B2C v Azure Portal.

Uživatelské účty

Pomocí účtu uživatele se uživatelé můžou přihlásit k aplikacím, které jste zajistili pomocí Azure AD B2C. Uživatelé s uživatelskými účty ale nemají přístup k prostředkům Azure, například k Azure Portal.

Účet příjemce může být přidružený k těmto typům identit:

  • Místní identita s uživatelským jménem a heslem uloženým místně v adresáři Azure AD B2C. Tyto identity často označujeme jako "místní účty".
  • Sociální nebo podnikové identity, kde identitu uživatele spravuje federovaný zprostředkovatel identity. Například Facebook, Google, Microsoft, ADFS nebo Salesforce.

Uživatel s uživatelským účtem se může přihlásit pomocí více identit. Například uživatelské jméno, e-mail, ID zaměstnance, ID státní správy a další. Jeden účet může mít více identit, místních i sociálních.

Identity uživatelských účtů.
Obrázek: Jeden uživatelský účet s více identitami v Azure AD B2C

Další informace najdete v tématu Přehled uživatelských účtů v Azure Active Directory B2C.

Možnosti přihlášení k místnímu účtu

Azure AD B2C nabízí různé způsoby, jak můžete uživatele ověřit. Uživatelé se můžou přihlásit k místnímu účtu pomocí uživatelského jména a hesla, ověření telefonu (označuje se také jako ověřování bez hesla). Email je registrace ve výchozím nastavení povolená v nastavení zprostředkovatele identity místního účtu.

Přečtěte si další informace o možnostech přihlášení nebo o tom, jak nastavit zprostředkovatele identity místního účtu.

Atributy profilu uživatele

Azure AD B2C umožňuje spravovat běžné atributy profilů uživatelských účtů. Například zobrazované jméno, příjmení, křestní jméno, město a další.

Můžete také rozšířit schéma Microsoft Entra a uložit tak další informace o uživatelích. Například země/oblast bydliště, upřednostňovaný jazyk a předvolby, jako je to, jestli se chtějí přihlásit k odběru bulletinu nebo povolit vícefaktorové ověřování. Další informace naleznete v tématu:

Přihlášení pomocí externích zprostředkovatelů identity

Azure AD B2C můžete nakonfigurovat tak, aby se uživatelé mohli k vaší aplikaci přihlašovat pomocí přihlašovacích údajů od zprostředkovatelů sociálních a podnikových identit. Azure AD B2C může federovat pomocí zprostředkovatelů identit, kteří podporují protokoly OAuth 1.0, OAuth 2.0, OpenID Connect a SAML. Například Facebook, účet Microsoft, Google, Twitter a AD-FS.

Diagram znázorňující loga společnosti pro ukázku externích zprostředkovatelů identity

S externími zprostředkovateli identity můžete uživatelům nabídnout možnost přihlásit se pomocí stávajících sociálních nebo podnikových účtů, aniž by museli vytvářet nový účet jenom pro vaši aplikaci.

Na registrační nebo přihlašovací stránce Azure AD B2C zobrazí seznam externích zprostředkovatelů identity, které si uživatel může zvolit pro přihlášení. Jakmile vyberou některého z externích zprostředkovatelů identity, budou přesměrováni na web vybraného zprostředkovatele, aby dokončili proces přihlášení. Po úspěšném přihlášení se uživatel vrátí do Azure AD B2C pro ověření účtu ve vaší aplikaci.

Diagram znázorňující příklad mobilního přihlášení pomocí účtu sociální sítě (Facebook)

Postup přidání zprostředkovatelů identit v Azure AD B2C najdete v tématu Přidání zprostředkovatelů identit do aplikací v Azure Active Directory B2C.

Prostředí identit: toky uživatelů nebo vlastní zásady

V Azure AD B2C můžete definovat obchodní logiku, podle které uživatelé získají přístup k vaší aplikaci. Můžete například určit posloupnost kroků, které uživatelé používají při přihlášení, registraci, úpravě profilu nebo resetování hesla. Po dokončení sekvence uživatel získá token a získá přístup k vaší aplikaci.

V Azure AD B2C existují dva způsoby, jak poskytnout uživatelské prostředí identit:

  • Toky uživatelů jsou předdefinované, integrované a konfigurovatelné zásady, které poskytujeme, abyste mohli během několika minut vytvořit prostředí pro registraci, přihlašování a úpravy zásad.

  • Vlastní zásady umožňují vytvářet vlastní uživatelské cesty pro scénáře komplexního prostředí identit.

Následující snímek obrazovky ukazuje uživatelské rozhraní nastavení toku uživatele a konfigurační soubory vlastních zásad.

Snímek obrazovky znázorňující uživatelské rozhraní nastavení toku uživatele a konfigurační soubor vlastních zásad

Přečtěte si článek Přehled toků uživatelů a vlastních zásad . Poskytuje přehled o tocích uživatelů a vlastních zásadách a pomáhá vám rozhodnout, která metoda bude pro vaše obchodní potřeby nejvhodnější.

Uživatelské rozhraní

V Azure AD B2C můžete vytvářet prostředí identit uživatelů tak, aby zobrazené stránky bez problémů splynuly se vzhledem a chováním vaší značky. Při procházení cest identit vaší aplikace získáte téměř plnou kontrolu nad obsahem HTML a CSS, který se uživatelům zobrazí. Díky této flexibilitě můžete zachovat konzistenci značky a vizuálu mezi vaší aplikací a Azure AD B2C.

Poznámka

Přizpůsobení stránek vykreslovaných třetími stranami při používání účtů na sociálních sítích je omezené na možnosti poskytované tímto zprostředkovatelem identity a je mimo kontrolu Azure AD B2C.

Informace o přizpůsobení uživatelského rozhraní najdete tady:

Vlastní doména

Doménu Azure AD B2C můžete přizpůsobit v identifikátorech URI pro přesměrování vaší aplikace. Vlastní doména umožňuje vytvořit bezproblémové prostředí, aby zobrazené stránky bez problémů splynuly s názvem domény vaší aplikace. Z pohledu uživatele zůstanou během procesu přihlášení ve vaší doméně, místo aby se přesměrovávaly na výchozí doménu Azure AD B2C .b2clogin.com.

Další informace najdete v tématu Povolení vlastních domén.

Lokalizace

Přizpůsobení jazyka v Azure AD B2C umožňuje pojmout různé jazyky tak, aby vyhovovaly potřebám vašich zákazníků. Microsoft poskytuje překlady pro 36 jazyků, ale můžete také poskytnout vlastní překlady pro libovolný jazyk.

Snímek obrazovky se třemi přihlašovacími stránkami zobrazující text uživatelského rozhraní v různých jazycích

Informace o tom, jak funguje lokalizace, najdete v tématu Přizpůsobení jazyka v Azure Active Directory B2C.

Ověření e-mailem

Azure AD B2C zajišťuje platné e-mailové adresy tím, že vyžaduje, aby je zákazníci ověřili během registrace a toků resetování hesel. Také brání škodlivým aktérům v používání automatizovaných procesů ke generování podvodných účtů ve vašich aplikacích.

Snímky obrazovky znázorňující proces ověření e-mailu

E-mail můžete přizpůsobit uživatelům, kteří se zaregistrují, aby používali vaše aplikace. Pomocí externího poskytovatele e-mailu můžete použít vlastní e-mailovou šablonu a adresu odesílatele a předmět a také podporovat lokalizaci a vlastní nastavení jednorázového hesla. Další informace naleznete v tématu:

Přidání vlastní obchodní logiky a volání rozhraní RESTful API

S rozhraním RESTful API můžete integrovat toky uživatelů i vlastní zásady. Rozdíl je v tom, že v tocích uživatelů se volání provádí na zadaných místech, zatímco ve vlastních zásadách do cesty přidáváte vlastní obchodní logiku. Tato funkce umožňuje načítat a používat data z externích zdrojů identit. Azure AD B2C může vyměňovat data se službou RESTful za účelem:

  • Zobrazení vlastních popisných chybových zpráv
  • Ověřte uživatelský vstup, abyste zabránili tomu, aby se poškozená data uchovávala v uživatelském adresáři. Můžete například upravit data zadaná uživatelem, například jméno, které zadal malými písmeny, na velká písmena.
  • Rozšiřte uživatelská data další integrací s firemní obchodní aplikací.
  • Pomocí volání RESTful můžete odesílat nabízená oznámení, aktualizovat podnikové databáze, spustit proces migrace uživatelů, spravovat oprávnění, auditovat databáze a provádět další akce.

Věrnostní programy jsou dalším scénářem, který umožňuje podpora volání rozhraní REST API od Azure AD B2C. Vaše služba RESTful může například obdržet e-mailovou adresu uživatele, zadat dotaz do zákaznické databáze a pak vrátit věrnostní číslo uživatele na Azure AD B2C.

Vrácená data mohou být uložena v účtu adresáře uživatele v Azure AD B2C. Data pak můžete dále vyhodnotit v dalších krocích zásad nebo je zahrnout do přístupového tokenu.

Diagram znázorňující obchodní integraci v mobilní aplikaci

Volání rozhraní REST API můžete přidat v libovolném kroku na cestě uživatele definované vlastními zásadami. Můžete například volat rozhraní REST API:

  • Během přihlášení těsně předtím, než Azure AD B2C ověří přihlašovací údaje
  • Okamžitě po přihlášení
  • Před Azure AD B2C vytvoří v adresáři nový účet.
  • Po Azure AD B2C vytvoří v adresáři nový účet.
  • Než Azure AD B2C vydá přístupový token

Další informace najdete v tématu Integrace výměn deklarací identity rozhraní REST API ve vlastních zásadách Azure AD B2C.

Protokoly a tokeny

  • Pro aplikace Azure AD B2C podporuje protokoly OAuth 2.0, OpenID Connect a SAML pro cesty uživatelů. Vaše aplikace zahájí cestu uživatele tím, že vydá žádosti o ověření pro Azure AD B2C. Výsledkem požadavku na Azure AD B2C je token zabezpečení, například token ID, přístupový token nebo token SAML. Tento token zabezpečení definuje identitu uživatele v rámci aplikace.

  • U externích identit Azure AD B2C podporuje federaci s libovolnými zprostředkovateli identit OAuth 1.0, OAuth 2.0, OpenID Connect a SAML.

Následující diagram znázorňuje, jak můžou Azure AD B2C komunikovat pomocí různých protokolů v rámci stejného toku ověřování:

Diagram federování klientských aplikací založených na OIDC s diagramem zprostředkovatele identity založeného na SAMLa federací klientských aplikací založených na OIDC s federací zprostředkovatele identity založeného na SAML

  1. Aplikace předávající strany spustí žádost o autorizaci Azure AD B2C pomocí OpenID Connect.
  2. Když se uživatel aplikace rozhodne přihlásit pomocí externího zprostředkovatele identity, který používá protokol SAML, Azure AD B2C vyvolá protokol SAML pro komunikaci s tímto zprostředkovatelem identity.
  3. Jakmile uživatel dokončí operaci přihlášení pomocí externího zprostředkovatele identity, Azure AD B2C vrátí token do aplikace předávající strany pomocí OpenID Connect.

Integrace aplikací

Když se uživatel chce přihlásit k vaší aplikaci, aplikace zahájí žádost o autorizaci koncového bodu toku uživatele nebo koncového bodu poskytnutého vlastními zásadami. Tok uživatele nebo vlastní zásady definují a řídí uživatelské prostředí. Po dokončení toku uživatele, například registrace nebo přihlášení, Azure AD B2C vygeneruje token a přesměruje uživatele zpět do vaší aplikace. Tento token je specifický pro Azure AD B2C a nesmí se zaměňovat s tokenem vystaveným externími zprostředkovateli identity při používání účtů sociálních sítí. Informace o tom, jak používat tokeny třetích stran, najdete v tématu Předání přístupového tokenu zprostředkovatele identity do vaší aplikace v Azure Active Directory B2C.

Mobilní aplikace se šipkami znázorňujícími tok mezi Azure AD přihlašovací stránkou B2C

Stejný tok uživatele nebo vlastní zásady může používat více aplikací. Jedna aplikace může používat více toků uživatelů nebo vlastních zásad.

Pokud se například chcete přihlásit k aplikaci, aplikace používá tok uživatele pro registraci nebo přihlášení . Jakmile se uživatel přihlásí, může chtít upravit svůj profil, takže aplikace zahájí další žádost o autorizaci, tentokrát pomocí toku uživatele pro úpravu profilu .

Vícefaktorové ověřování (MFA)

Azure AD B2C Multi-Factor Authentication (MFA) pomáhá chránit přístup k datům a aplikacím při zachování jednoduchosti pro vaše uživatele. Poskytuje dodatečné zabezpečení tím, že vyžaduje druhou formu ověřování a poskytuje silné ověřování tím, že nabízí řadu snadno použitelných metod ověřování.

Vaši uživatelé můžou nebo nemusí být vyzváni k vícefaktorové ověřování na základě rozhodnutí o konfiguraci, která můžete provést jako správce.

Další informace najdete v tématu Povolení vícefaktorového ověřování v Azure Active Directory B2C.

Podmíněný přístup

Microsoft Entra ID Protection funkce detekce rizik, včetně rizikových uživatelů a rizikových přihlášení, se automaticky detekují a zobrazují ve vašem tenantovi Azure AD B2C. Můžete vytvořit zásady podmíněného přístupu, které pomocí těchto detekcí rizik určují nápravné akce a vynucují zásady organizace.

Diagram znázorňující tok podmíněného přístupu

Azure AD B2C vyhodnocuje každou událost přihlášení a před udělením přístupu uživateli zajistí splnění všech požadavků na zásady. Rizikoví uživatelé nebo přihlášení můžou být zablokovaní nebo napadaní konkrétní nápravou, jako je vícefaktorové ověřování (MFA). Další informace najdete v tématu Identity Protection a podmíněný přístup.

Složitost hesla

Během registrace nebo resetování hesla musí uživatelé zadat heslo, které splňuje pravidla složitosti. Ve výchozím nastavení Azure AD B2C vynucuje zásady silného hesla. Azure AD B2C také nabízí možnosti konfigurace pro určení požadavků na složitost hesel, která vaši zákazníci používají při používání místních účtů.

Snímek obrazovky s uživatelským rozhraním pro prostředí se složitostí hesla

Další informace najdete v tématu Konfigurace požadavků na složitost hesel v Azure AD B2C.

Vynucení resetování hesla

Jako správce tenanta Azure AD B2C můžete resetovat heslo uživatele, pokud uživatel heslo zapomene. Nebo je chcete přinutit k pravidelnému resetování hesla. Další informace najdete v tématu Nastavení toku vynuceného resetování hesla.

Vynuťte tok resetování hesla.

Inteligentní uzamčení účtu

Aby se zabránilo pokusům o hádání hesla hrubou silou, používá Azure AD B2C sofistikovanou strategii k uzamčení účtů na základě IP adresy požadavku, zadaných hesel a několika dalších faktorů. Doba uzamčení se automaticky prodloužila na základě rizika a počtu pokusů.

Inteligentní uzamčeníúčtu Snímek obrazovky uživatelského rozhraní pro uzamčení účtu se šipkami zvýrazňujícími oznámení o uzamčení

Další informace o správě nastavení ochrany heslem najdete v tématu Zmírnění útoků na přihlašovací údaje v Azure AD B2C.

Ochrana prostředků a identit zákazníků

Azure AD B2C je v souladu se zabezpečením, ochranou osobních údajů a dalšími závazky popsanými v Centru zabezpečení Microsoft Azure.

Relace se modelují jako šifrovaná data s dešifrovacím klíčem známým pouze službě tokenů zabezpečení Azure AD B2C. Používá se algoritmus silného šifrování, AES-192. Všechny komunikační cesty jsou chráněny protokolem TLS kvůli důvěrnosti a integritě. Naše služba tokenů zabezpečení používá pro protokol TLS certifikát rozšířeného ověřování. Obecně platí, že služba tokenů zabezpečení omezuje útoky skriptování mezi weby (XSS) tím, že nevykresluje nedůvěryhodný vstup.

Diagram zabezpečených dat při přenosu a neaktivních uložených datech

Přístup k datům uživatelů

Azure AD tenanti B2C sdílejí mnoho vlastností s tenanty podnikových Microsoft Entra, které se používají pro zaměstnance a partnery. Sdílené aspekty zahrnují mechanismy pro zobrazení rolí pro správu, přiřazování rolí a aktivity auditování.

Můžete přiřadit role, které řídí, kdo může provádět určité akce správy v Azure AD B2C, včetně:

  • Vytváření a správa všech aspektů toků uživatelů
  • Vytvoření a správa schématu atributů dostupného pro všechny toky uživatelů
  • Konfigurace zprostředkovatelů identit pro použití v přímé federaci
  • Vytváření a správa zásad architektury důvěryhodnosti v architektuře identity (vlastní zásady)
  • Správa tajných kódů pro federaci a šifrování v architektuře Identity Experience Framework (vlastní zásady)

Další informace o rolích Microsoft Entra, včetně podpory rolí správy Azure AD B2C, najdete v tématu Oprávnění role správce v Microsoft Entra ID.

Auditování a protokoly

Azure AD B2C generuje protokoly auditu, které obsahují informace o aktivitách o prostředcích, vydaných tokenech a přístupu správce. Protokoly auditu můžete použít k pochopení aktivit platformy a diagnostice problémů. Položky protokolu auditu jsou k dispozici krátce po provedení aktivity, která událost vygenerovala.

V protokolu auditu, který je k dispozici pro vašeho tenanta Azure AD B2C nebo pro konkrétního uživatele, najdete informace, mezi které patří:

  • Aktivity týkající se autorizace uživatele pro přístup k prostředkům B2C (například správce přistupující k seznamu zásad B2C)
  • Aktivity související s atributy adresáře načtené, když se správce přihlásí pomocí Azure Portal
  • Operace vytvoření, čtení, aktualizace a odstranění (CRUD) v aplikacích B2C
  • Operace CRUD s klíči uloženými v kontejneru klíčů B2C
  • Operace CRUD s prostředky B2C (například zásady a zprostředkovatelé identity)
  • Ověření přihlašovacích údajů uživatele a vystavování tokenů

Protokol auditu jednotlivých uživatelů zobrazený v Azure Portal.

Další informace o protokolech auditu najdete v tématu Přístup k protokolům auditu Azure AD B2C.

Analýza využití

Azure AD B2C vám umožní zjistit, kdy se uživatelé zaregistrují nebo přihlásí k vaší aplikaci, kde se uživatelé nacházejí a jaké prohlížeče a operační systémy používají.

Integrací Aplikace Azure Insights do vlastních zásad Azure AD B2C získáte přehled o tom, jak se uživatelé zaregistrují, přihlašují, resetují si heslo nebo upravují svůj profil. S těmito znalostmi můžete provádět rozhodnutí na základě dat pro nadcházející vývojové cykly.

Další informace najdete v tématu Sledování chování uživatelů v Azure Active Directory B2C pomocí Application Insights.

Rezidence dat a dostupnost oblastí

služba Azure AD B2C je obecně dostupná po celém světě s možností rezidence dat v oblastech, jak je uvedeno v části Dostupné produkty v jednotlivých oblastech. Rezidence dat se určuje podle země nebo oblasti, kterou vyberete při vytváření tenanta.

Přečtěte si další informace o rezidenci dat dostupnosti & služby Azure Active Directory B2C v oblastech a smlouvě SLA (Service Level Agreement) pro Azure Active Directory B2C.

Automatizace s využitím Microsoft Graph API

Ke správě adresáře Azure AD B2C použijte rozhraní MS Graph API. Můžete také vytvořit samotný adresář Azure AD B2C. Můžete spravovat uživatele, zprostředkovatele identit, toky uživatelů, vlastní zásady a mnoho dalších.

Přečtěte si další informace o správě Azure AD B2C pomocí Microsoft Graphu.

limity a omezení služby Azure AD B2C

Další informace o limitech a omezeních služby Azure AD B2C

Další kroky

Teď, když máte hlubší přehled o funkcích a technických aspektech Azure Active Directory B2C: