Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Die Migration von einem anderen Identitätsanbieter zu Azure Active Directory B2C (Azure AD B2C) erfordert möglicherweise auch die Migration vorhandener Benutzerkonten. Hier werden zwei Migrationsmethoden erläutert, vor der Migration und einer nahtlosen Migration. Bei beiden Ansätzen müssen Sie eine Anwendung oder ein Skript schreiben, die die Microsoft Graph-API zum Erstellen von Benutzerkonten in Azure AD B2C verwendet.
Schauen Sie sich dieses Video an, um mehr über Azure AD B2C-Benutzermigrationsstrategien und -schritte zu erfahren.
Hinweis
Bevor Sie die Migration starten, stellen Sie sicher, dass das nicht verwendete Kontingent Ihres Azure AD B2C-Mandanten alle Benutzer, die Sie migrieren möchten, berücksichtigen kann. Erfahren Sie, wie Sie die Mandantennutzung ermitteln. Wenn Sie das Kontingentlimit Ihres Mandanten erhöhen müssen, wenden Sie sich an den Microsoft-Support.
Vor der Migration
Im Vormigrationsfluss führt Ihre Migrationsanwendung die folgenden Schritte für jedes Benutzerkonto aus:
- Lesen Sie das Benutzerkonto vom alten Identitätsanbieter, einschließlich der aktuellen Anmeldeinformationen (Benutzername und Kennwort).
- Erstellen Sie ein entsprechendes Konto in Ihrem Azure AD B2C-Verzeichnis mit den aktuellen Anmeldeinformationen.
Verwenden Sie den Vormigrationsflow in folgenden zwei Situationen:
- Sie haben Zugriff auf die Nur-Text-Anmeldeinformationen eines Benutzers (benutzername und Kennwort).
- Die Anmeldeinformationen sind verschlüsselt, können aber entschlüsselt werden.
Informationen zum programmgesteuerten Erstellen von Benutzerkonten finden Sie unter Verwalten von Azure AD B2C-Benutzerkonten mit Microsoft Graph.
Nahtlose Migration
Verwenden Sie den nahtlosen Migrationsfluss, wenn auf Nur-Text-Kennwörter im alten Identitätsanbieter nicht zugegriffen werden kann. Zum Beispiel, wenn:
- Das Kennwort wird in einem unidirektionale verschlüsselten Format gespeichert, z. B. mit einer Hashfunktion.
- Das Kennwort wird vom älteren Identitätsanbieter auf eine Weise gespeichert, auf die Sie nicht zugreifen können. Beispielsweise, wenn der Identitätsanbieter Anmeldeinformationen durch Aufrufen eines Webdiensts überprüft.
Der nahtlose Migrationsfluss erfordert weiterhin die Vorab-Migration von Benutzerkonten, verwendet dann jedoch eine benutzerdefinierte Richtlinie, um eine von Ihnen erstellte REST-API abzufragen und das Passwort der einzelnen Benutzer bei der ersten Anmeldung festzulegen.
Der nahtlose Migrationsfluss besteht aus zwei Phasen: vor der Migration und Festlegen von Anmeldeinformationen.
Phase 1: Vorabmigration
- Ihre Migrationsanwendung liest die Benutzerkonten aus dem alten Identitätsanbieter.
- Die Migrationsanwendung erstellt entsprechende Benutzerkonten in Ihrem Azure AD B2C-Verzeichnis, legt aber zufällige Kennwörter fest , die Sie generieren.
Phase 2: Festlegen von Anmeldeinformationen
Nachdem die Vormigration der Konten abgeschlossen ist, wird Ihre benutzerdefinierte Richtlinie und REST-API bei der Anmeldung eines Benutzers Folgendes ausführen:
- Lesen Sie das Azure AD B2C-Benutzerkonto, das der eingegebenen E-Mail-Adresse entspricht.
- Überprüfen Sie, ob das Konto für die Migration gekennzeichnet ist, indem Sie ein boolesches Erweiterungsattribut auswerten.
- Wenn das Erweiterungsattribut zurückgegeben wird
True, rufen Sie Ihre REST-API auf, um das Kennwort für den älteren Identitätsanbieter zu überprüfen.- Wenn die REST-API feststellt, dass das Kennwort falsch ist, geben Sie eine benutzerfreundliche Fehlermeldung zurück.
- Wenn die REST-API bestimmt, dass das Kennwort korrekt ist, schreiben Sie das Kennwort in das Azure AD B2C-Konto, und ändern Sie das boolesche Erweiterungsattribut in
False.
- Wenn das boolesche Erweiterungsattribut zurückgegeben wird
False, setzen Sie den Anmeldevorgang wie gewohnt fort.
- Wenn das Erweiterungsattribut zurückgegeben wird
Ein Beispiel für eine benutzerdefinierte Richtlinie und REST-API finden Sie im nahtlosen Beispiel für die Benutzermigration auf GitHub.
Sicherheit
Der nahtlose Migrationsansatz verwendet Ihre eigene benutzerdefinierte REST-API, um die Anmeldeinformationen eines Benutzers für den älteren Identitätsanbieter zu überprüfen.
Sie müssen Ihre REST-API vor Brute-Force-Angriffen schützen. Ein Angreifer kann mehrere Kennwörter übermitteln, um schließlich die Anmeldeinformationen eines Benutzers zu erraten. Um solche Angriffe zu besiegen, beenden Sie die Bereitstellung von Anforderungen an Ihre REST-API, wenn die Anzahl der Anmeldeversuche einen bestimmten Schwellenwert überschreitet. Sichern Sie außerdem die Kommunikation zwischen Azure AD B2C und Ihrer REST-API. Informationen zum Sichern Ihrer RESTful-APIs für die Produktion finden Sie unter Secure RESTful API.
Benutzerattribute
Nicht alle Informationen im Legacyidentitätsanbieter sollten in Ihr Azure AD B2C-Verzeichnis migriert werden. Identifizieren Sie den entsprechenden Satz von Benutzerattributen, die vor der Migration in Azure AD B2C gespeichert werden sollen.
-
SPEICHERN SIE in Azure AD B2C:
- Benutzername, Kennwort, E-Mail-Adressen, Telefonnummern, Mitgliedschaftsnummern/Bezeichner.
- Zustimmungsmarkierungen für Datenschutzrichtlinien und Endbenutzer-Lizenzverträge.
-
Speichern Sie nicht in Azure AD B2C:
- Vertrauliche Daten wie Kreditkartennummern, Sozialversicherungsnummern (SSN), Krankenakten oder andere daten, die von behörden- oder branchenspezifischen Compliance-Stellen reguliert werden.
- Marketing- oder Kommunikationseinstellungen, Benutzerverhalten und Einblicke.
Verzeichnisbereinigung
Bevor Sie den Migrationsprozess starten, können Sie Ihr Verzeichnis bereinigen.
- Identifizieren Sie den Satz von Benutzerattributen, die in Azure AD B2C gespeichert werden sollen, und migrieren Sie nur das, was Sie benötigen. Bei Bedarf können Sie benutzerdefinierte Attribute erstellen, um weitere Daten zu einem Benutzer zu speichern.
- Wenn Sie aus einer Umgebung mit mehreren Authentifizierungsquellen migrieren (z. B. verfügt jede Anwendung über ein eigenes Benutzerverzeichnis), migrieren Sie zu einem einheitlichen Konto in Azure AD B2C.
- Wenn mehrere Anwendungen unterschiedliche Benutzernamen haben, können Sie alle in einem Azure AD B2C-Benutzerkonto speichern, indem Sie die Identitätssammlung verwenden. Lassen Sie den Benutzer ein Kennwort auswählen und im Verzeichnis festlegen. Mit der nahtlosen Migration sollte beispielsweise nur das ausgewählte Kennwort im Azure AD B2C-Konto gespeichert werden.
- Entfernen Sie nicht verwendete Benutzerkonten, oder migrieren Sie veraltete Konten nicht.
Kennwortrichtlinie
Wenn die von Ihnen migrierten Konten eine schwächere Kennwortstärke aufweisen als die von Azure AD B2C erzwungene starke Kennwortstärke , können Sie die Anforderung für sichere Kennwörter deaktivieren. Weitere Informationen finden Sie unter Eigenschaft der Kennwortrichtlinie.
Nächste Schritte
Das azure-ad-b2c/user-migration Repository auf GitHub enthält ein nahtloses Beispiel für eine benutzerdefinierte Migration und ein BEISPIEL für REST-API-Code:
Beispiel einer nahtlosen Benutzermigration-Strategie und REST-API-Codebeispiel