Tutorial: Konfigurieren von Keyless mit Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) mit der lösung ohne Kennwort konfigurieren. Integrieren Sie mit Azure AD B2C als Identitätsanbieter (IdP) Keyless in Kundenanwendungen, um kennwortlose Authentifizierung bereitzustellen. Die Keyless Zero-Knowledge Biometric (ZKB) ist eine passwortlose Multifaktor-Authentifizierung, die dazu beiträgt, Betrug, Phishing und die Wiederverwendung von Zugangsdaten zu verhindern und gleichzeitig das Kundenerlebnis zu verbessern und die Privatsphäre zu schützen.

Wechseln Sie zu keyless.io, um mehr über Folgendes zu erfahren:

• Keyless
• Wie Keyless Zero-Knowledge-Nachweise verwendet, um Ihre biometrischen Daten zu schützen

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Azure-Abonnement
  • Wenn Sie kein Konto haben, erhalten Sie ein kostenloses Azure-Konto.
• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist
• Ein Cloud-Mieter ohne Schlüssel
  • Wechseln Sie zu keyless.io, um eine Demo anzufordern
• Die auf einem Benutzergerät installierte Keyless Authenticator-App

Szenariobeschreibung

Die Keyless-Integration umfasst die folgenden Komponenten:

• Azure AD B2C – Autorisierungsserver, der Benutzeranmeldeinformationen überprüft. Wird auch als Identitätsanbieter bezeichnet.
• Web- und mobile Anwendungen – mobile oder Webanwendungen zum Schutz durch Keyless und Azure AD B2C
• Die mobile Keyless Authenticator-App – mobile App für die Authentifizierung bei aktivierten Azure AD B2C-Anwendungen

Das folgende Architekturdiagramm veranschaulicht eine Implementierung.

1. Der Benutzer gelangt zu einer Anmeldeseite. Der Benutzer wählt die Anmeldung/Registrierung aus und gibt den Benutzernamen ein.
2. Die Anwendung sendet Benutzerattribute zur Identitätsüberprüfung an Azure AD B2C.
3. Azure AD B2C sendet Benutzerattribute zur Authentifizierung an Keyless.
4. Keyless sendet eine Pushbenachrichtigung an das registrierte mobile Gerät des Benutzers für die Authentifizierung, einen biometrischen Gesichtsscan.
5. Der Benutzer antwortet auf die Push-Benachrichtigung, und ihm wird entweder der Zugriff gewährt oder verweigert.

Hinzufügen eines IdP, Konfigurieren des IdP und Erstellen einer Benutzerflussrichtlinie

Verwenden Sie die folgenden Abschnitte, um einen IdP hinzuzufügen, den IdP zu konfigurieren und eine Benutzerflussrichtlinie zu erstellen.

Hinzufügen eines neuen Identitätsanbieters

So fügen Sie einen neuen Identitätsanbieter hinzu:

1. Melden Sie sich beim Azure-Portal mindestens als B2C-IEF-Richtlinienadministrator des Azure AD B2C-Mandanten an.
2. Wählen Sie Verzeichnisse + Abonnements aus.
3. Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste Ihr Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der oberen linken Ecke des Azure-Portals "Alle Dienste" aus.
6. Suchen Sie nach Azure AD B2C, und wählen Sie es aus.
7. Navigieren Sie zu Dashboard>Azure Active Directory B2C>Identitätsanbieter.
8. Auswählen Identitätsanbieter.
9. Wählen Sie Hinzufügen aus.

Konfigurieren eines Identitätsanbieters

So konfigurieren Sie einen IdP:

1. Wählen Sie den Identitätsanbietertyp>OpenID Connect (Vorschau) aus.
2. Wählen Sie für "Name" die Option "Schlüssellos" aus.
3. Fügen Sie für die Metadaten-URL den URI der gehosteten schlüssellosen Authentifizierungs-App ein, gefolgt vom Pfad, z. B. https://keyless.auth/.well-known/openid-configuration.
4. Wählen Sie für den geheimen Clientschlüssel den geheimen Schlüssel aus, der der Keyless-Authentifizierungsinstanz zugeordnet ist. Das Geheimnis wird später in der Konfiguration des Keyless-Containers verwendet.
5. Wählen Sie unter Client-ID die Client-ID aus. Die Client-ID wird später in der Konfiguration des Keyless-Containers verwendet.
6. Wählen Sie für Bereich die Option openid aus.
7. Wählen Sie für den Antworttypid_token aus.
8. Wählen Sie für den Antwortmodusform_post aus.
9. Wählen Sie OK aus.
10. Wählen Sie Ansprüche dieses Identitätsanbieters zuordnen aus.
11. Wählen Sie für "UserID" die Option "Von Abonnement" aus.
12. Wählen Sie für Anzeigename die Option Aus Abonnement aus.
13. Wählen Sie für den Antwortmodus"Von Abonnement" aus.
14. Wählen Sie Speichern aus.

Erstellen einer Benutzerflussrichtlinie

Keyless tritt als neuer OpenID Connect (OIDC)-IdP bei B2C-Identitätsanbietern auf.

1. Öffnen Sie den Azure AD B2C-Mandanten.
2. Wählen Sie unter Richtlinien die Option Benutzerflows aus.
3. Wählen Sie "Neuer Benutzerablauf" aus.
4. Wählen Sie "Registrieren" aus, und melden Sie sich an.
5. Wählen Sie eine Version aus.
6. Wählen Sie "Erstellen" aus.
7. Geben Sie einen Namen für Ihre Richtlinie ein.
8. Wählen Sie im Abschnitt "Identitätsanbieter" den erstellten Keyless Identity Provider aus.
9. Geben Sie einen Namen ein.
10. Wählen Sie den von Ihnen erstellten IdP aus.
11. Fügen Sie eine E-Mail-Adresse hinzu. Azure leitet die Anmeldung nicht zu Keyless um. Ein Bildschirm wird mit einer Benutzeroption angezeigt.
12. Verlassen Sie das Feld "Mehrstufige Authentifizierung ".
13. Wählen Sie "Richtlinien für bedingten Zugriff erzwingen" aus.
14. Wählen Sie unter "Benutzerattribute" und "Tokenansprüche" in der Option " Attribut sammeln " die Option "E-Mail-Adresse" aus.
15. Fügen Sie Benutzerattribute hinzu, die Microsoft Entra ID mit Ansprüchen sammelt, die Azure AD B2C an die Clientanwendung zurückgibt.
16. Wählen Sie "Erstellen" aus.
17. Wählen Sie den neuen Benutzerablauf aus.
18. Wählen Sie im linken Bereich "Anwendungsansprüche" aus.
19. Aktivieren Sie unter "Optionen" das Kontrollkästchen "E-Mail" .
20. Wählen Sie Speichern aus.

Testen des Benutzerflows

1. Öffnen Sie den Azure AD B2C-Mandanten.
2. Wählen Sie unter "Richtlinien" das Identitätsdarstellungsframework aus.
3. Wählen Sie den erstellten Flow „SignUpSignIn“ aus.
4. Wählen Sie Benutzerflow ausführen aus.
5. Wählen Sie für "Anwendung" die registrierte App aus (das Beispiel ist JWT).
6. Wählen Sie für antwort-URL die Umleitungs-URL aus.
7. Wählen Sie Benutzerflow ausführen aus.
8. Füllen Sie den Registrierungsablauf aus, und erstellen Sie ein Konto.
9. Nachdem die Benutzerattribute erstellt wurden, wird Keyless im Prozessablauf aufgerufen.

Wenn der Ablauf unvollständig ist, überprüfen Sie, ob der Benutzer im Verzeichnis gespeichert ist oder nicht.

Nächste Schritte

• Übersicht über benutzerdefinierte Azure AD B2C-Richtlinien
• Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure AD B2C