Odolné prostředí pro koncové uživatele s využitím Azure AD B2C

Prostředí registrace a přihlašování pro koncové uživatele se skládá z následujících prvků:

• Rozhraní, se kterými uživatel komunikuje, například CSS, HTML a JavaScript
• Toky uživatelů a vlastní zásady, které vytvoříte, například registrace, přihlášení a úpravy profilu
• Zprostředkovatelé identity pro vaši aplikaci, jako je uživatelské jméno nebo heslo místního účtu, Microsoft Outlook, Facebook a Google

Tok uživatele a vlastní zásady

Azure AD B2C poskytuje integrované konfigurovatelné toky uživatelů, které vám pomůžou nastavit nejběžnější úlohy identit. Můžete také vytvořit vlastní zásady , které vám nabízejí maximální flexibilitu. K řešení složitých scénářů ale doporučujeme použít vlastní zásady.

Výběr toku uživatele nebo vlastních zásad

Zvolte předdefinované toky uživatelů, které splňují vaše obchodní požadavky. Integrované toky Od Microsoftu proto můžete minimalizovat testování pro ověřování funkčnosti, výkonu nebo škálování na úrovni zásad. Otestujte ale aplikace pro funkce, výkon a škálování.

Díky vlastním zásadám se zajistí testování na úrovni zásad pro funkční, výkon nebo škálování. Proveďte testování na úrovni aplikace.

Další informace najdete v porovnání toků uživatelů a vlastních zásad.

Volba více zprostředkovatele identity

Pokud používáte externí zprostředkovatele identity , jako je Facebook, vytvořte záložní plán, pokud externí zprostředkovatele identity není k dispozici.

Nastavení několika zprostředkovatele identity

V procesu registrace externího zprostředkovatele identity uveďte ověřenou deklaraci identity, například mobilní číslo uživatele nebo e-mailovou adresu. Potvrďte ověřené deklarace identity do základní instance adresáře Azure AD B2C. Pokud externí zprostředkovatele identity není k dispozici, vraťte se k ověřené deklaraci identity a vraťte se k telefonnímu číslu jako metodu ověřování. Další možností je odeslat uživateli jednorázové heslo (OTP) pro přihlášení.

Můžete vytvořit alternativní cesty ověřování:

1. Nakonfigurujte zásady registrace tak, aby povolovali registraci podle místního účtu a externích zprostředkovatele identity.
2. Nakonfigurujte zásadu profilu, která uživatelům umožní propojit druhou identitu se svým účtem po přihlášení.
3. Upozorněte a povolte uživatelům přepnutí na alternativní ZDP během výpadku.

Dostupnost vícefaktorového ověřování

Pokud pro vícefaktorové ověřování používáte telefonní službu, zvažte alternativního poskytovatele služeb. U místního poskytovatele telefonních služeb může docházet k přerušení služeb.

Výběr alternativního vícefaktorového ověřování

Služba Azure AD B2C má poskytovatele MFA založeného na telefonu, který poskytuje jednorázové hesla (OTPs). Jedná se o hlasový hovor a textovou zprávu pro uživatele předregistrovaná telefonní čísla.

S toky uživatelů existují dvě metody pro sestavení odolnosti:

• Změna konfigurace toku uživatele: Během přerušení doručování jednorázového hesla založeného na telefonu změňte metodu doručování jednorázovým heslam na e-mail. Znovu nasaďte tok uživatele.

  

• Změna aplikací: Pro úlohy identit, jako je registrace a přihlášení, definujte dvě sady toků uživatelů. Nakonfigurujte první sadu pro použití jednorázového hesla založeného na telefonu a druhou pro odeslání jednorázového hesla k e-mailu. Během přerušení doručování jednorázovým heslam založeným na telefonu přepněte z první sady toků uživatelů na druhý, aby se toky uživatelů nezměnily.

Pokud používáte vlastní zásady, existují čtyři metody pro sestavení odolnosti. Seznam je v pořadí složitosti. Znovu nasaďte aktualizované zásady.

• Povolit výběr jednorázového hesla pro telefon nebo jednorázové heslo k e-mailu: Zpřístupní obě možnosti, aby uživatelé mohli sami vybrat. Nemění zásady ani aplikace.

• Dynamické přepínání mezi jednorázovým heslam pro telefon a jednorázovým ověřováním e-mailu: Shromážděte informace o telefonu a e-mailu při registraci. Definujte vlastní zásady, které se mají podmíněně přepnout během přerušení telefonu na jednorázový přístup k e-mailu. Neměňte zásady ani aplikace.

• Použití ověřovací aplikace: Aktualizujte vlastní zásady tak, aby používaly ověřovací aplikaci. Pokud je vícefaktorové ověřování telefonem nebo e-mailem jednorázové heslo, nasaďte znovu vlastní zásady a použijte ověřovací aplikaci.

  Poznámka:

  Uživatelé konfigurují integraci authenticatoru během registrace.

• Bezpečnostní otázky: Pokud není k dispozici žádná z předchozích metod, použijte bezpečnostní otázky. Tyto otázky jsou určené pro uživatele během onboardingu nebo úprav profilu. Odpovědi se ukládají do samostatné databáze. Tato metoda nesplňuje požadavek vícefaktorového ověřování na něco, co máte, například telefon, ale je něco, co znáte.

Síť pro doručování obsahu

Sítě pro doručování obsahu (CDN) fungují lépe a jsou levnější než úložiště objektů blob pro ukládání vlastního uživatelského rozhraní toku uživatele. Obsah webové stránky pochází z geograficky distribuované sítě serverů s vysokou dostupností.

Pravidelně testujte dostupnost CDN a výkon distribuce obsahu prostřednictvím kompletního scénáře a zátěžového testování. V případě nárůstů kvůli povýšení nebo dovolené provozu revidují odhady zátěžového testování.

Další kroky

• Prostředky odolnosti pro vývojáře Azure AD B2C
  • Odolná rozhraní s externími procesy
  • Odolnost prostřednictvím osvědčených postupů pro vývojáře
  • Odolnost prostřednictvím monitorování a analýz
• Sestavení odolnosti v infrastruktuře ověřování
• Zvýšení odolnosti ověřování a autorizace v aplikacích