Tutorial: Konfigurieren von Keyless mit Azure Active Directory B2C

Erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) mit der kennwortlosen Lösung von Sift Keyless konfigurieren. Mit Azure AD B2C als Identitätsanbieter (Identity Provider, IdP) können Sie Keyless in Kundenanwendungen integrieren, um eine kennwortlose Authentifizierung zu bieten. Die Keyless Zero-Knowledge Biometric (ZKB) ist eine kennwortlose Multi-Faktor-Authentifizierung, die dazu beiträgt, Betrug, Phishing und Wiederverwendung von Anmeldeinformationen zu vermeiden und gleichzeitig die Kundenerfahrung zu verbessern und die Privatsphäre zu schützen.

Wechseln Sie zu keyless.io, um Folgendes zu erfahren:

• Sift Keyless
• Wie Keyless Zero-Knowledge-Nachweise verwendet, um Ihre biometrischen Daten zu schützen

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Azure-Abonnement
  • Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist
• Einen Keyless-Cloudmandanten
  • Wechseln Sie zu keyless.io, um eine Demo anzufordern
• Die auf einem Benutzergerät installierte Keyless Authenticator-App

Beschreibung des Szenarios

Die Keyless-Integration umfasst die folgenden Komponenten:

• Azure AD B2C – der Autorisierungsserver zum Überprüfen von Benutzeranmeldeinformationen. Wird auch als IdP bezeichnet.
• Web- und mobile Anwendungen – mobile oder Webanwendungen, die Sie mit Keyless und Azure AD B2C schützen wollen
• Die mobile Keyless Authenticator-App – Die mobile Sift-App für die Authentifizierung bei Anwendungen mit Azure AD B2C-Unterstützung

Das folgende Architekturdiagramm veranschaulicht eine Implementierung.

1. Der Benutzer erreicht eine Anmeldeseite. Der Benutzer wählt Anmeldung/Registrierung aus und gibt den Benutzernamen ein.
2. Die Anwendung sendet die Benutzerattribute an Azure AD B2C zur Identitätsüberprüfung.
3. Azure AD B2C sendet Benutzerattribute zur Authentifizierung an Keyless.
4. Keyless sendet eine Pushbenachrichtigung an das mobile Gerät des registrierten Benutzers zur Authentifizierung, einem biometrischen Gesichtsscan.
5. Der Benutzer antwortet auf die Pushbenachrichtigung, und der Zugriff wird gewährt oder verweigert.

Hinzufügen eines IdP, Konfigurieren des IdP und Erstellen einer Benutzerflowrichtlinie

Verwenden Sie die folgenden Abschnitte, um einen IdP hinzuzufügen, den IdP zu konfigurieren und eine Benutzerflowrichtlinie zu erstellen.

Hinzufügen eines neuen Identitätsanbieters

So fügen Sie einen neuen Identitätsanbieter hinzu:

1. Melden Sie sich beim Azure-Portal als globaler Administrator des Azure AD B2C-Mandanten an.
2. Wählen Sie Verzeichnisse + Abonnements aus.
3. Suchen Sie auf der Seite Portaleinstellungen, Verzeichnisse + Abonnements Ihr Azure AD B2C-Verzeichnis in der Liste Verzeichnisname.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der linken oberen Ecke im Azure-Portal die Option Alle Dienste aus.
6. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
7. Navigieren Sie zu Dashboard>Azure Active Directory B2C>Identitätsanbieter.
8. Wählen Sie Identitätsanbieter aus.
9. Wählen Sie Hinzufügen.

Konfigurieren eines Identitätsanbieters

So konfigurieren Sie einen IdP:

1. Wählen Sie Identitätsanbietertyp>OpenID Connect (Vorschau) aus.
2. Wählen Sie unter Name die Option Keyless aus.
3. Fügen Sie für Metadaten-URL den URI der gehosteten Keyless Authentifizierungs-App ein, gefolgt von dem Pfad, z. B. https://keyless.auth/.well-known/openid-configuration.
4. Wählen Sie unter Geheimer Clientschlüssel das Geheimnis aus, das der Keyless Authentifizierungsinstanz zugeordnet ist. Das Geheimnis wird später in der Konfiguration des Keyless-Containers verwendet.
5. Wählen Sie unter Client-ID die Client-ID aus. Die Client-ID wird später in der Konfiguration des Keyless-Containers verwendet.
6. Wählen Sie für Bereich die Option openid aus.
7. Wählen Sie als Antworttyp die Option id_token aus.
8. Wählen Sie als Antwortmodus die Option form_post aus.
9. Klicken Sie auf OK.
10. Wählen Sie Ansprüche dieses Identitätsanbieters zuordnen aus.
11. Wählen Sie für UserID die Option Aus Abonnement aus.
12. Wählen Sie für Anzeigename die Option Aus Abonnement aus.
13. Wählen Sie für Antwortmodus die Option Aus Abonnement aus.
14. Wählen Sie Speichern aus.

Erstellen einer Benutzerflowrichtlinie

Keyless wird als neuer OpenID Connect (OIDC)-IdP mit B2C-Identitätsanbietern angezeigt.

1. Öffnen Sie den Azure AD B2C-Mandanten.
2. Wählen Sie unter Richtlinien die Option Benutzerflows aus.
3. Wählen Sie Neuer Benutzerflow aus.
4. Wählen Sie Registrieren und Anmelden aus.
5. Wählen Sie eine Version aus.
6. Klicken Sie auf Erstellen.
7. Geben Sie einen Namen für die Richtlinie ein.
8. Wählen Sie im Abschnitt „Identitätsanbieter“ den erstellten Keyless-Identitätsanbieter aus.
9. Geben Sie einen Namen ein.
10. Wählen Sie den IdP aus, den Sie erstellt haben.
11. Fügen Sie eine E-Mail-Adresse hinzu. Azure leitet die Anmeldung nicht an Keyless um, ein Bildschirm mit einer Benutzeroption wird angezeigt.
12. Belassen Sie das Feld Multi-Faktor-Authentifizierung unverändert.
13. Wählen Sie Richtlinien für bedingten Zugriff erzwingen aus.
14. Wählen Sie unter Benutzerattribute und Tokenansprüche in der Option Attribut sammeln den Wert E-Mail-Adresse aus.
15. Fügen Sie Benutzerattribute hinzu, die Microsoft Entra ID mit Ansprüchen sammelt, die Azure AD B2C an die Clientanwendung zurückgibt.
16. Klicken Sie auf Erstellen.
17. Wählen Sie den neuen Benutzerflow aus.
18. Wählen Sie im linken Bereich Anwendungsansprüche aus.
19. Aktivieren Sie unter „Optionen“ das Kontrollkästchen E-Mail.
20. Wählen Sie Speichern aus.

Testen des Benutzerflows

1. Öffnen Sie den Azure AD B2C-Mandanten.
2. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.
3. Wählen Sie den erstellten Flow SignUpSignIn aus.
4. Wählen Sie Benutzerflow ausführen aus.
5. Wählen Sie für Anwendung die registrierte App aus (das Beispiel ist JWT).
6. Als Antwort-URL wählen Sie die Umleitungs-URL aus.
7. Wählen Sie Benutzerflow ausführen aus.
8. Führen Sie den Registrierungsflow aus, und erstellen Sie ein Konto.
9. Nachdem das Benutzerattribute erstellt wurde, wird Keyless während des Flows aufgerufen.

Wenn der Flow unvollständig ist, vergewissern Sie sich, ob der Benutzer im Verzeichnis gespeichert ist oder nicht.

Nächste Schritte

• Übersicht über Benutzerdefinierte Azure AD B2C-Richtlinien
• Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure AD B2C