Přehled toků uživatelů a vlastních zásad

  • Článek

V Azure AD B2C můžete definovat obchodní logiku, podle které uživatelé získají přístup k vaší aplikaci. Můžete například určit posloupnost kroků, které uživatelé projdou při přihlášení, registraci, úpravě profilu nebo resetování hesla. Po dokončení sekvence uživatel získá token a získá přístup k vaší aplikaci.

V Azure AD B2C existují dva způsoby, jak poskytnout uživatelské prostředí identit:

  • Toky uživatelů jsou předdefinované, integrované a konfigurovatelné zásady, které poskytujeme, abyste mohli během několika minut vytvořit prostředí pro registraci, přihlašování a úpravy zásad.

  • Vlastní zásady umožňují vytvářet vlastní cesty uživatelů pro komplexní scénáře prostředí identit, které toky uživatelů nepodporují. Azure AD B2C používá k zajištění rozšiřitelnosti vlastní zásady.

Následující snímek obrazovky ukazuje uživatelské rozhraní nastavení toku uživatele oproti konfiguračním souborům vlastních zásad.

Snímek obrazovky s uživatelským rozhraním nastavení toku uživatele a konfiguračními soubory vlastních zásad

Tento článek poskytuje stručný přehled toků uživatelů a vlastních zásad a pomůže vám rozhodnout, která metoda bude pro vaše obchodní potřeby nejvhodnější.

Toky uživatele

K nastavení nejběžnějších úloh identity Azure Portal obsahuje několik předdefinovaných a konfigurovatelných zásad označovaných jako toky uživatelů.

Můžete nakonfigurovat nastavení toku uživatele, jako je toto, abyste mohli řídit chování prostředí identit ve vašich aplikacích:

  • Typy účtů používané pro přihlášení, jako jsou účty sociálních sítí, jako je Facebook, nebo místní účty, které pro přihlášení používají e-mailovou adresu a heslo
  • Atributy, které se mají shromažďovat od příjemce, jako je jméno, PSČ nebo země/oblast bydliště
  • Microsoft Entra vícefaktorové ověřování
  • Přizpůsobení uživatelského rozhraní
  • Sada deklarací identity v tokenu, kterou vaše aplikace obdrží po dokončení toku uživatele
  • Správa relací
  • ... a další

Většinu běžných scénářů identit pro aplikace je možné definovat a implementovat efektivně pomocí toků uživatelů. Pokud nemáte složité scénáře cest uživatelů, které vyžadují plnou flexibilitu vlastních zásad, doporučujeme používat předdefinované toky uživatelů.

Vlastní zásady

Vlastní zásady jsou konfigurační soubory, které definují chování uživatelského prostředí tenanta Azure AD B2C. I když jsou na portálu Azure AD B2C předdefinované toky uživatelů pro nejběžnější úlohy identity, vývojář identit může vlastní zásady plně upravit, aby mohl provádět mnoho různých úloh.

Vlastní zásady jsou plně konfigurovatelné a řízené zásadami. Orchestruje vztah důvěryhodnosti mezi entitami ve standardních protokolech. Například OpenID Connect, OAuth, SAML a několik nestandardních, například výměny deklarací identity založené na rozhraní REST API. Architektura vytváří uživatelsky přívětivá prostředí s bílými popisky.

Vlastní zásady umožňují vytvářet cesty uživatelů s libovolnou kombinací kroků. Příklad:

  • Federování s jinými zprostředkovateli identity
  • Problémy s vícefaktorovým ověřováním první strany a třetích stran
  • Shromážděte jakýkoli vstup uživatele.
  • Integrace s externími systémy s využitím komunikace rozhraní REST API

Každá cesta uživatele je definovaná zásadami. Můžete vytvořit tolik zásad, kolik potřebujete, abyste zajistili nejlepší uživatelské prostředí pro vaši organizaci.

Diagram znázorňující příklad složité cesty uživatele, kterou umožňuje IEF

Vlastní zásady jsou definovány několika soubory XML, které na sebe odkazují v hierarchickém řetězci. Elementy XML definují schéma deklarací identity, transformace deklarací identity, definice obsahu, zprostředkovatele deklarací identity, technické profily, kroky orchestrace cest uživatelů a další aspekty prostředí identit.

Výkonná flexibilita vlastních zásad je nejvhodnější v případě, že potřebujete vytvářet komplexní scénáře identit. Vývojáři, kteří konfigurují vlastní zásady, musí pečlivě definovat vztahy důvěryhodnosti, aby zahrnovaly koncové body metadat, přesné definice výměny deklarací identity a podle potřeby konfigurovat tajné kódy, klíče a certifikáty podle potřeby každého zprostředkovatele identity.

Další informace o vlastních zásadách najdete v tématu Vlastní zásady v Azure Active Directory B2C.

Porovnání toků uživatelů a vlastních zásad

Následující tabulka obsahuje podrobné porovnání scénářů, které můžete povolit s Azure AD toky uživatelů B2C a vlastní zásady.

Kontext Toky uživatele Vlastní zásady
Cíloví uživatelé Všichni vývojáři aplikací se zkušenostmi s identitami nebo bez. Specialisté na identity, systémoví integrátoři, konzultanti a interní týmy identit. Jsou obeznámeni s toky OpenID Connect a rozumí zprostředkovateli identit a ověřování na základě deklarací identity.
Metoda konfigurace Azure Portal s uživatelsky přívětivým uživatelským rozhraním. Přímé úpravy souborů XML a následné nahrání do Azure Portal.
Přizpůsobení uživatelského rozhraní Úplné přizpůsobení uživatelského rozhraní včetně HTML, CSS a JavaScriptu

Podpora více jazyků s vlastními řetězci		 Stejné jako toky uživatelů
Přizpůsobení atributu Standardní a vlastní atributy. Stejné jako toky uživatelů
Správa tokenů a relací Přizpůsobení chování tokenů a relací Stejné jako toky uživatelů
Zprostředkovatelé identit Předdefinovaný místní poskytovatel nebo poskytovatel sociálních sítí, jako je federace s Microsoft Entra tenanty. OIDC, OAUTH a SAML založené na standardech. Ověřování je možné také pomocí integrace s rozhraními REST API.
Úlohy identit Zaregistrujte se nebo přihlaste pomocí místních nebo mnoha účtů sociálních sítí.

Samoobslužné resetování hesla.

Úprava profilu.

Vícefaktorové ověřování.

Toky přístupových tokenů.		 Proveďte stejné úlohy jako toky uživatelů pomocí vlastních zprostředkovatelů identity nebo použijte vlastní obory.

V době registrace zřiďte uživatelský účet v jiném systému.

Pošlete uvítací e-mail pomocí vlastního poskytovatele e-mailových služeb.

Použijte úložiště uživatelů mimo Azure AD B2C.

Pomocí rozhraní API ověřte informace zadané uživatelem v důvěryhodném systému.

Integrace aplikací

V tenantovi můžete vytvořit mnoho toků uživatelů nebo vlastních zásad různých typů a podle potřeby je použít ve svých aplikacích. V aplikacích je možné opakovaně používat toky uživatelů i vlastní zásady. Tato flexibilita umožňuje definovat a upravovat prostředí identit s minimálními nebo žádnými změnami kódu.

Když se uživatel chce přihlásit k vaší aplikaci, aplikace zahájí žádost o autorizaci koncového bodu toku uživatele nebo vlastní zásady. Tok uživatele nebo vlastní zásady definují a řídí uživatelské prostředí. Po dokončení toku uživatele Azure AD B2C vygeneruje token a přesměruje uživatele zpět do vaší aplikace.

Mobilní aplikace se šipkami znázorňujícími tok mezi přihlašovací stránkou Azure AD B2C

Stejný tok uživatele nebo vlastní zásady může používat více aplikací. Jedna aplikace může používat více toků uživatelů nebo vlastních zásad.

Pokud se například chcete přihlásit k aplikaci, aplikace používá tok uživatele pro registraci nebo přihlášení . Jakmile se uživatel přihlásí, může chtít upravit svůj profil. Pokud chcete profil upravit, aplikace zahájí další žádost o autorizaci, tentokrát pomocí toku úprav profilu uživatele.

Vaše aplikace aktivuje tok uživatele pomocí standardního požadavku http na ověření, který zahrnuje tok uživatele nebo název vlastní zásady. Přizpůsobený token se obdrží jako odpověď.

Další kroky