Tutorial: Konfigurieren der Grit IAM B2B2C-Lösung mit Azure Active Directory B2C

In diesem Tutorial erfahren Sie, wie die Azure AD B2C-Authentifizierung (Azure Active Directory B2C) in eine Grit IAM B2B2C-Lösung integriert wird. Mit dieser Lösung können Sie Ihren Kunden ein sicheres, zuverlässiges, selbstverwaltbares und benutzerfreundliches Identitäts- und Zugriffsmanagement bieten. Freigegebene Profildaten wie Vorname, Nachname, Adresse und E-Mail-Adresse, die in Web- und mobilen Anwendungen verwendet werden, werden unter Berücksichtigung von Complianceanforderungen und gesetzlichen Anforderungen zentral gespeichert.

Verwenden Sie die B2BB2C-Lösung von Grit für:

• Authentifizierung, Autorisierung, Profil- und Rollenverwaltung sowie delegierte B2B SaaS-Anwendungsverwaltung
• Rollenbasierte Zugriffssteuerung für Azure AD B2C-Anwendungen.

Voraussetzungen

Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Ein Grit IAM-Konto. Unter Grit IAM B2B2C-Lösung erhalten Sie eine Demo.
• Ein Microsoft Entra-Abonnement Sollten Sie über keins verfügen, können Sie ein kostenloses Azure-Konto erstellen.
• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist. Weitere Informationen finden Sie unter Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten.
• Konfigurieren Sie Ihre Anwendung im Azure-Portal.

Beschreibung des Szenarios

Contoso tätigt Geschäfte mit Endkunden und großen Unternehmen, wie Fabrikam_big1 und Fabrikam_big2. Es gibt kleine Unternehmenskunden wie Fabrikam_small1 und Fabrikam_small2 und direkte Geschäfte werden mit Endkunden wie Smith1 und Smith2 getätigt.

Contoso verfügt über Web- und mobile Anwendungen und entwickelt neue Anwendungen. Die Anwendungen basieren auf freigegebenen Profildaten des Benutzers, z. B. Vorname, Nachname, Adresse und E-Mail-Adresse. Das Unternehmen möchte die Profildaten zentralisieren, sodass die Anwendungen die Daten nicht sammeln und speichern. Die Profildaten sollen unter Einhaltung bestimmter Vorschriften gespeichert werden.

Diese Integration besteht aus den folgenden Komponenten:

• Azure AD B2C Identity Experience Framework (IEF): Eine Engine, die User Journeys ausführt, die die Validierung von Anmeldeinformationen, die Ausführung von MFA und die Überprüfung des Benutzerzugriffs umfassen können. Dies wird von der Microsoft Entra-Datenbank und der API-Ebene unterstützt, die mit XML konfiguriert wird.

• Grit-API-Ebene: Diese Ebene macht Benutzerprofildaten und Metadaten zu Organisationen und Anwendungen verfügbar. Die Daten werden in Microsoft Entra ID und Cosmos DB gespeichert.

• Grit-Onboardingportal: Wird von Administratoren zum Onboarding von Anwendungen und Organisationen verwendet.

• Grit-Administratorportal: Wird vom Contoso-Administrator und von Administratoren von fabrikam_big1 und fabirkam_small1 verwendet. Delegierte Administratoren können Benutzer und deren Zugriff verwalten. Superadministratoren der Organisationen verwalten alle Benutzer.

• Grit Visual IEF-Editor: Ein Editor mit wenig Code/ohne Code, der die User Journey anpasst und von Grit bereitgestellt wird. Er erzeugt den von IEF verwendeten XML-Code. Contoso-Entwickler verwenden ihn zum Anpassen von User Journeys.

• Anwendungen: Von Contoso oder Drittanbietern entwickelt. Anwendungen verwenden Open ID oder SAML, um eine Verbindung mit dem Kundenidentitäts- und Zugriffsverwaltungssystem (Customer Identity and Access Management, CIAM) herzustellen. Die von ihnen empfangenen Token enthalten Benutzerprofilinformationen, können jedoch API-Aufrufe ausführen, wobei das Token als Authentifizierungsmechanismus zum Erstellen, Lesen, Aktualisieren und Löschen von Benutzerprofildaten verwendet werden kann.

Hinweis

Von Grit entwickelte Komponenten werden mit Ausnahme des Visual IEF-Editors in der Contoso Azure-Umgebung bereitgestellt.

Konfigurieren von Grit B2B2C mit Azure AD B2C

Verwenden Sie den Leitfaden in den folgenden Abschnitten, um mit der Konfiguration zu beginnen.

Schritt 1: Einrichten der Infrastruktur

Erste Schritte der Einrichtung:

• Wenden Sie sich an den Grit-Support, um Zugriff zu erhalten.
• Zur Auswertung stellt das Grit-Supportteam die Infrastruktur im Grit Azure-Abonnement bereit und erteilt Ihnen Administratorrechte.
• Nachdem Sie die Lösung erworben haben, installieren Grit-Techniker die Produktionsversion in Ihrem Azure-Abonnement.
• Die Infrastruktur ist in Ihr virtuelles Netzwerk (VNet) integriert und unterstützt APIM (Verwaltung von Drittanbieter-APIs) und die Firewall.
• Grit-Implementierungstechniker können benutzerdefinierte Empfehlungen basierend auf Ihrer Infrastruktur bereitstellen.

Schritt 2: Erstellen von Administratoren im Administratorportal

Verwenden Sie das Grit-Administratorportal, um Administratoren Zugriff auf das Portal zuzuweisen, in dem sie die folgenden Aufgaben ausführen können:

• Je nach Berechtigungsstufe weitere Administratoren wie Super-, Organisations- oder Anwendungsadministrator in der Hierarchie hinzufügen

• Alle Benutzeranforderungen für die Anwendungsregistrierung anzeigen/annehmen/ablehnen.

• Nach Benutzern suchen

Informationen zum Zuweisen von Administratorrollen finden Sie im Tutorial.

Schritt 3: Onboarding von Organisationen

Verwenden Sie das Onboardingportal für einen oder mehrere Ihrer Kunden und deren Identitätsanbieter (IdP), der OpenID Connect (OIDC) und SAML unterstützt. Führen Sie das Onboarding von Kunden ohne IdP durch, um lokale Kontoauthentifizierung zu verwenden. Aktivieren Sie für B2C-Anwendungen die Authentifizierung über soziale Profile.

Erstellen Sie im Grit-Onboardingportal einen Superadministrator für den Mandanten. Das Onboardingportal definiert die Ansprüche pro Anwendung und pro Organisation. Danach erstellt das Portal eine Endpunkt-URL für den Benutzeranmelde- und Registrierungsflow.

Informationen zum Onboarding einer Organisation finden Sie in diesem Tutorial.

Schritt 4: Integrieren von Anwendungen mithilfe von OIDC oder SAML

Nach dem Onboarding des Kunden stellt das Grit-Onboardingportal URLs bereit, um die Anwendungen zu integrieren.

Erfahren Sie, wie Sich Ihre Kunden registrieren, anmelden und ihre Profile verwalten können.

Testen der Szenarien

Überprüfen Sie die Authentifizierungsszenarien in Ihren Anwendungen. Verwenden Sie das Grit-Administratorportal, um Rollen und Benutzereigenschaften zu ändern. Stellen Sie delegierten Zugriff auf das Administratorportal bereit, indem Sie Benutzer einladen.

Nächste Schritte

• Übersicht über Benutzerdefinierte Azure AD B2C-Richtlinien

• Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C

• SAAS-Plattform: Onboardingportal für Organisationsanwendungen

• SAAS-Plattform: Administratorportal