Freigeben über

Tutorial: Konfigurieren von Microsoft Dynamics 365 Fraud Protection mit Azure Active Directory B2C

  • Artikel

Organisationen können mithilfe von Microsoft Dynamics 365 Fraud Protection (DFP) das Risiko von Versuchen, betrügerische Konten und Anmeldungen zu erstellen, bewerten. Kunden verwenden die Microsoft DFP-Bewertung, um verdächtige Versuche zum Erstellen neuer gefälschter Konten oder zum Kompromittieren vorhandener Konten zu blockieren oder abzulehnen.

In diesem Tutorial wird erläutert, wie Sie Microsoft DFP in Azure Active Directory B2C (Azure AD B2C) integrieren. In einem Leitfaden wird veranschaulicht, wie Sie die API-Endpunkte für Microsoft DFP-Gerätefingerabdruck, Kontoerstellung und Anmeldungsbewertung in eine benutzerdefinierte Azure AD B2C-Richtlinie integrieren.

Weitere Informationen: Übersicht über Microsoft Dynamics 365 Fraud Protection

Voraussetzungen

Zunächst benötigen Sie Folgendes:

Beschreibung des Szenarios

Die Microsoft DFP-Integration umfasst die folgenden Komponenten:

  • Azure AD B2C-Mandant: Authentifiziert den Benutzer und fungiert als Client von Microsoft DFP. Hostet ein Fingerabdruckskript, das Identifikations- und Diagnosedaten von Benutzern sammelt, die eine Zielrichtlinie ausführen. Anmelde- oder Registrierungsversuche werden auf dem von Microsoft DFP zurückgegebenen Regelauswertungsergebnis basierend blockiert oder abgewehrt.
  • Benutzerdefinierte Benutzeroberflächenvorlagen: Dienen zum Anpassen des HTML-Inhalts der von Azure AD B2C gerenderten Seiten. Diese Seiten enthalten den JavaScript-Codeausschnitt, der für den Microsoft DFP-Fingerabdruck erforderlich ist.
  • Microsoft DFP-Fingerabdruckdienst: Dynamisch eingebettetes Skript, das Gerätetelemetriedaten und selbstbestätigte Benutzerdetails protokolliert, um einen eindeutig identifizierbaren Fingerabdruck des Benutzers zu erstellen.
  • Microsoft DFP-API-Endpunkte: Stellt das Entscheidungsergebnis bereit und akzeptiert einen endgültigen Status, der den von der Clientanwendung ausgeführten Vorgang widerspiegelt. Azure AD B2C kommuniziert über REST-API-Connectors mit den Microsoft DFP-Endpunkten. Die API-Authentifizierung erfolgt mit einer client_credentials-Gewährung für den Microsoft Entra-Mandanten, in dem Microsoft DFP lizenziert und installiert ist, um ein Bearertoken abzurufen.

Im folgenden Architekturdiagramm ist die Implementierung dargestellt.

Abbildung: Microsoft Dynamics 365 Fraud Protection-Architektur

  1. Der Benutzer gelangt zu einer Anmeldeseite, wählt die Option zum Erstellen eines neuen Kontos aus und gibt Informationen ein. Azure AD B2C erfasst die Benutzerattribute.
  2. Azure AD B2C ruft die Microsoft DFP-API auf und übergibt die Benutzerattribute.
  3. Nachdem die Microsoft DFP-API die Informationen verwendet und verarbeitet hat, wird das Ergebnis an Azure AD B2C zurückgegeben.
  4. Azure AD B2C empfängt Informationen von der Microsoft DFP-API. Bei einem Fehler wird eine Fehlermeldung angezeigt. Bei erfolgreicher Ausführung wird der Benutzer authentifiziert und in das Verzeichnis geschrieben.

Einrichten der Lösung

  1. Erstellen Sie eine Facebook-Anwendung, die so konfiguriert ist, dass sie den Verbund mit Azure AD B2C zulässt.
  2. Fügen Sie das von Ihnen erstellte Facebook-Geheimnis als Identity Experience Framework-Richtlinienschlüssel hinzu.

Konfigurieren Ihrer Anwendung unter Microsoft DFP

Richten Sie Ihren Microsoft Entra-Mandanten für die Verwendung von Microsoft DFP ein.

Einrichten Ihrer benutzerdefinierten Domäne

Verwenden Sie in einer Produktionsumgebung eine benutzerdefinierte Domäne für Azure AD B2C und für den Microsoft DFP-Fingerabdruckdienst. Die Domäne für beide Dienste befindet sich in derselben DNS-Stammzone, um zu verhindern, dass Datenschutzeinstellungen des Browsers domänenübergreifende Cookies blockieren. Diese Konfiguration ist in einer Nicht-Produktionsumgebung nicht erforderlich.

Die folgende Tabelle enthält Beispiele für Umgebung, Dienst und Domäne:

Umgebung Dienst Domain
Entwicklung Azure AD B2C contoso-dev.b2clogin.com
Entwicklung Microsoft DFP-Fingerabdruck fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Microsoft DFP-Fingerabdruck fpt.dfp.microsoft.com
Bereitstellung Azure AD B2C login.contoso.com
Bereitstellung Microsoft DFP-Fingerabdruck fpt.login.contoso.com

Bereitstellen der Benutzeroberflächenvorlagen

  1. Stellen Sie die verfügbaren Azure AD B2C-Benutzeroberflächenvorlagen für einen öffentlichen Internethostingdienst wie Azure Blob Storage bereit.
  2. Ersetzen Sie den Wert https://<YOUR-UI-BASE-URL>/ durch die Stamm-URL für Ihren Bereitstellungsspeicherort.

Hinweis

Später benötigen Sie die Basis-URL, um Azure AD B2C-Richtlinien zu konfigurieren.

  1. Ersetzen Sie in der ui-templates/js/dfp.js-Datei <YOUR-DFP-INSTANCE-ID> durch Ihre Microsoft DFP-Instanz-ID.
  2. Stellen Sie sicher, dass CORS für Ihren Azure AD B2C-Domänennamen https://{your_tenant_name}.b2clogin.com oder your custom domain aktiviert ist.

Weitere Informationen: Anpassen der Benutzeroberfläche mit HTML-Vorlagen in Azure Active Directory B2C

Azure AD B2C-Konfiguration

Hinzufügen von Richtlinienschlüsseln für Ihre Microsoft DFP-Client-App-ID und das Geheimnis

  1. Erstellen Sie im Microsoft Entra-Mandanten, in dem Microsoft DFP eingerichtet ist, eine Microsoft Entra-Anwendung und erteilen Sie die Administratoreinwilligung.
  2. Erstellen Sie einen Geheimniswert für diese Anwendungsregistrierung. Notieren Sie sich die Client-ID der Anwendung und den Wert des geheimen Clientschlüssels.
  3. Speichern Sie die Werte für Client-ID und geheimen Clientschlüssel als Richtlinienschlüssel in Ihrem Azure AD B2C-Mandanten.

Hinweis

Später benötigen Sie die Richtlinienschlüssel, um Azure AD B2C-Richtlinien zu konfigurieren.

Ersetzen der Konfigurationswerte

Suchen Sie in den bereitgestellten benutzerdefinierten Richtlinien die folgenden Platzhalter, und ersetzen Sie diese durch die entsprechenden Werte aus Ihrer Instanz.

Platzhalter Ersetzen durch Notizen
{Settings:Production} Gibt an, ob die Richtlinien im Produktionsmodus bereitgestellt werden sollen. true oder false
{Settings:Tenant} Kurzname Ihres Mandanten your-tenant: aus Ihr-Mandant.onmicrosoft.com
{Settings:DeploymentMode} Zu verwendender Application Insights-Bereitstellungsmodus Production oder Development
{Settings:DeveloperMode} Gibt an, ob die Richtlinien im Application Insights-Entwicklermodus bereitgestellt werden sollen. true oder false
{Settings:AppInsightsInstrumentationKey} Instrumentierungsschlüssel Ihrer App Insights-Instanz* 01234567-89ab-cdef-0123-456789abcdef
{Settings:IdentityExperienceFrameworkAppId}App-ID der IdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist 01234567-89ab-cdef-0123-456789abcdef
{Settings:ProxyIdentityExperienceFrameworkAppId} App-ID der ProxyIdentityExperienceFramework-App, die in Ihrem Azure AD B2C-Mandanten konfiguriert ist 01234567-89ab-cdef-0123-456789abcdef
{Settings:FacebookClientId} App-ID der Facebook-App, die Sie für den Verbund mit B2C konfiguriert haben 000000000000000
{Settings:FacebookClientSecretKeyContainer} Name des Richtlinienschlüssels, unter dem Sie das Geheimnis der Facebook-App gespeichert haben B2C_1A_FacebookAppSecret
{Settings:ContentDefinitionBaseUri} Endpunkt, in dem Sie die UI-Dateien bereitgestellt haben https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Settings:DfpApiBaseUrl} Der Basispfad für Ihre DFP-API-Instanz im DFP-Portal https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Settings:DfpApiAuthScope} Der client_credentials-Bereich für den DFP-API-Dienst https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Settings:DfpTenantId} Die ID des Microsoft Entra-Mandanten (nicht B2C), in dem DFP lizenziert und installiert ist 01234567-89ab-cdef-0123-456789abcdef oder consoto.onmicrosoft.com
{Settings:DfpAppClientIdKeyContainer} Name des Richtlinienschlüssels, in dem Sie die DFP-Client-ID speichern B2C_1A_DFPClientId
{Settings:DfpAppClientSecretKeyContainer} Name des Richtlinienschlüssels, in dem Sie den geheimen DFP-Clientschlüssel speichern B2C_1A_DFPClientSecret
{Settings:DfpEnvironment} Die ID der DFP-Umgebung. Die Umgebungs-ID ist ein globaler eindeutiger Bezeichner der DFP-Umgebung, an die Sie die Daten senden. Ihre benutzerdefinierte Richtlinie sollte den API-Endpunkt aufrufen, einschließlich des Abfragezeichenfolgenparameters x-ms-dfpenvid=your-env-id>.

*Sie können Application Insights in einem Microsoft Entra-Mandanten oder -Abonnement einrichten. Dieser Wert ist optional, wird jedoch zur Unterstützung beim Debuggen empfohlen.

Hinweis

Fügen Sie der Seite für die Attributsammlung eine Einwilligungsbenachrichtigung hinzu. Fügen Sie die Information ein, dass Telemetriedaten und Identitätsinformationen der Benutzer zu Kontoschutzzwecken aufgezeichnet werden.

Konfigurieren der Azure AD B2C-Richtlinie

  1. Wechseln Sie im Richtlinienordner zur Azure AD B2C-Richtlinie.
  2. Befolgen Sie die Anweisungen im Starter Pack für benutzerdefinierte Richtlinien, um das LocalAccounts-Starterpaket herunterzuladen.
  3. Konfigurieren Sie die Richtlinie für den Azure AD B2C-Mandanten.

Hinweis

Aktualisieren Sie die bereitgestellten Richtlinien, sodass sie sich auf Ihren Mandanten beziehen.

Testen des Benutzerflows

  1. Öffnen Sie den Azure AD B2C-Mandanten, und wählen Sie unter „Richtlinien“ die Option Identity Experience Framework aus.
  2. Wählen Sie den zuvor erstellten Flow SignUpSignIn aus.
  3. Wählen Sie Benutzerflow ausführen aus.
  4. Anwendung: Die registrierte App (Beispiel: JWT)
  5. Antwort-URL: Umleitungs-URL
  6. Wählen Sie Benutzerflow ausführen aus.
  7. Führen Sie den Registrierungsflow aus, und erstellen Sie ein Konto.

Tipp

Microsoft DFP wird während des Flows aufgerufen. Wenn der Flow unvollständig ist, stellen Sie sicher, dass der Benutzer nicht im Verzeichnis gespeichert ist.

Hinweis

Aktualisieren Sie Regeln im Microsoft DFP-Portal, wenn Sie die Microsoft DFP-Regel-Engine verwenden.

Nächste Schritte