Odolné prostředí pro koncové uživatele
Prostředí registrace a přihlašování pro koncové uživatele se skládá z následujících prvků:
Rozhraní, se kterými uživatel komunikuje – například CSS, HTML a JavaScript
Toky uživatelů a vlastní zásady, které vytvoříte – například registrace, přihlášení a úpravy profilu
Zprostředkovatelé identity (IDPs) pro vaši aplikaci – například uživatelské jméno a heslo místního účtu, Outlook, Facebook a Google
Volba mezi tokem uživatele a vlastními zásadami
Azure AD B2C poskytuje integrované konfigurovatelné toky uživatelů, které vám pomůžou nastavit nejběžnější úlohy identit. Můžete také vytvořit vlastní zásady , které vám nabízejí maximální flexibilitu. K řešení složitých scénářů se ale doporučuje používat vlastní zásady.
Jak se rozhodnout mezi tokem uživatele a vlastními zásadami
Zvolte předdefinované toky uživatelů, pokud je můžou splnit vaše obchodní požadavky. Vzhledem k tomu, že Microsoft výrazně testoval, můžete minimalizovat testování potřebné k ověřování funkčnosti, výkonu nebo škálování těchto toků uživatelů identity na úrovni zásad. Stále potřebujete otestovat aplikace pro funkce, výkon a škálování.
Pokud byste měli zvolit vlastní zásady z důvodu vašich obchodních požadavků, ujistěte se, že kromě testování na úrovni aplikace provádíte testování na úrovni zásad pro funkční, výkon nebo škálování.
Podívejte se na článek, který porovnává toky uživatelů a vlastní zásady , které vám pomůžou rozhodnout.
Volba více zprostředkovatele identity
Pokud používáte externího zprostředkovatele identity, jako je Facebook, ujistěte se, že máte záložní plán pro případ, že externí zprostředkovatel nebude dostupný.
Jak nastavit více zprostředkovatele identity
Jako součást procesu registrace externího zprostředkovatele identity uveďte ověřenou deklaraci identity, jako je mobilní číslo nebo e-mailová adresa uživatele. Potvrďte ověřené deklarace identity do základní instance adresáře Azure AD B2C. Pokud externí zprostředkovatel není dostupný, vraťte se k ověřené deklaraci identity a vraťte se k telefonnímu číslu jako metoda ověřování. Další možností je odeslat uživateli jednorázové heslo, aby se uživatel mohl přihlásit.
Pokud chcete vytvořit alternativní cesty ověřování, postupujte takto:
Nakonfigurujte zásadu registrace tak, aby povolila registraci místním účtem a externími zprostředkovatele identity.
Nakonfigurujte zásadu profilu, která uživatelům umožní propojit druhou identitu se svým účtem po přihlášení.
Upozorněte a povolte uživatelům přepnutí na alternativní ZDP během výpadku.
Dostupnost vícefaktorového ověřování
Při použití telefonní služby pro vícefaktorové ověřování (MFA) nezapomeňte zvážit alternativního poskytovatele služeb. Místní poskytovatel telefonních služeb nebo telco může ve své službě dojít k přerušení.
Jak zvolit alternativní vícefaktorové ověřování
Služba Azure AD B2C používá k poskytování jednorázových jednorázových hesel (OTPs) integrovaného poskytovatele MFA založeného na telefonu. Je ve formě hlasového hovoru a textové zprávy na předem zaregistrované telefonní číslo uživatele. Pro různé scénáře jsou k dispozici následující alternativní metody:
Při použití toků uživatelů existují dvě metody pro sestavení odolnosti:
- Změna konfigurace toku uživatele: Při zjištění přerušení doručení jednorázového hesla založeného na telefonu změňte metodu doručení jednorázového hesla z telefonu na e-mail a znovu nasaďte tok uživatele a nechte aplikace beze změny.
- Změna aplikací: Pro každou úlohu identity, jako je registrace a přihlášení, definujte dvě sady toků uživatelů. Nakonfigurujte první sadu pro použití jednorázového hesla založeného na telefonu a druhou pro jednorázové heslo založené na e-mailu. Po zjištění přerušení doručení jednorázového hesla založeného na telefonu změňte a znovu nasaďte aplikace tak, aby se přepnuly z první sady toků uživatelů na druhou, aby se toky uživatelů nezměnily.
Při použití vlastních zásad existují čtyři metody pro sestavení odolnosti. Následující seznam je v pořadí složitosti a budete muset znovu nasadit aktualizované zásady.
Povolit výběr uživatele jednorázového hesla založeného na telefonu nebo jednorázového hesla založeného na e-mailu: Zpřístupní uživatelům obě možnosti a umožní uživatelům vybrat jednu z možností sami. Není nutné provádět změny zásad nebo aplikací.
Dynamické přepínání mezi jednorázovým ověřováním jednorázovým ověřováním založeným na telefonu a e-mailem: Shromážděte informace o telefonu i e-mailu při registraci. Definujte vlastní zásady předem, abyste mohli podmíněně přepínat během přerušení telefonu od doručení jednorázového hesla založeného na telefonu na e-mail. Není nutné provádět změny zásad nebo aplikací.
Použití aplikace Authenticator: Aktualizujte vlastní zásady tak, aby používaly aplikaci Authenticator. Pokud je vaše běžné vícefaktorové ověřování založené na telefonech nebo e-mailovém jednorázovém hesla, znovu nasaďte vlastní zásady a přepněte na používání aplikace Authenticator.
Poznámka:
Uživatelé musí během registrace nakonfigurovat integraci aplikace Authenticator.
- Použití bezpečnostních otázek: Pokud není k dispozici žádná z výše uvedených metod, implementujte bezpečnostní otázky jako zálohu. Nastavte bezpečnostní otázky pro uživatele při úpravách onboardingu nebo profilu a uložte odpovědi do jiné databáze než v adresáři. Tato metoda nesplňuje požadavek vícefaktorového ověřování na "něco, co máte", například telefon, ale nabízí sekundární "něco, co znáte".
Použití sítě pro doručování obsahu
Sítě pro doručování obsahu (CDN) jsou výkonnější a levnější než úložiště objektů blob pro ukládání vlastního uživatelského rozhraní toku uživatele. Obsah webové stránky je doručovaný rychleji z geograficky distribuované sítě serverů s vysokou dostupností.
Pravidelně testujte dostupnost cdN a výkon distribuce obsahu prostřednictvím kompletního scénáře a zátěžového testování. Pokud plánujete nadcházející nárůst z důvodu propagace nebo dovolené provozu, upravte odhady zátěžového testování.