Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.
Los siguientes procedimientos recomendados y recomendaciones cubren algunos de los aspectos principales de la integración de Azure Active Directory (Azure AD) B2C en entornos de aplicación nuevos o existentes.
Aspectos básicos
Procedimiento recomendado | Descripción |
---|---|
Crear una cuenta de acceso de emergencia | Esta cuenta de acceso de emergencia le ayuda a obtener acceso al inquilino de Azure AD B2C en circunstancias como, por ejemplo, el único administrador no es accesible cuando se necesita la credencial. Aprenda a crear una cuenta de acceso de emergencia |
Elección de flujos de usuario para la mayoría de los escenarios | El marco de experiencia de identidad de Azure AD B2C es la fortaleza principal del servicio. Las directivas describen completamente las experiencias de identidad, como la suscripción, el inicio de sesión o la edición de perfiles. Para ayudarle a configurar las tareas de identidad más comunes, el portal de Azure AD B2C incluye directivas predefinidas y configurables denominadas flujos de usuario. Con los flujos de usuario, puede crear excelentes experiencias de usuario en minutos, con tan solo unos pocos clics. Obtenga información sobre cuándo usar flujos de usuario frente a directivas personalizadas. |
Registros de aplicaciones | Todas las aplicaciones (web, nativas) y API que se protegen deben registrarse en Azure AD B2C. Si una aplicación tiene una versión web y nativa de iOS y Android, puede registrarlas como una aplicación en Azure AD B2C con el mismo identificador de cliente. Aprenda a registrar aplicaciones OIDC, SAML, web y nativas. Obtenga más información sobre los tipos de aplicación que se pueden usar en Azure AD B2C. |
Cambio a la facturación mensual de usuarios activos | Azure AD B2C ha pasado de las autenticaciones activas mensuales a la facturación mensual de usuarios activos (MAU). La mayoría de los clientes encontrarán este modelo rentable. Obtenga más información sobre la facturación mensual de usuarios activos. |
Seguir los procedimientos recomendados de seguridad | Hay amenazas y ataques continuos y en constante evolución, y, al igual que todos los recursos de propiedad, la implementación de Azure AD B2C debe seguir los procedimientos recomendados para la seguridad, incluidas las instrucciones sobre la implementación de WAF (defensa contra amenazas como DDOS y Bots) y otras instrucciones más detalladas sobre la arquitectura de seguridad B2C. |
Planificación y diseño
Defina la arquitectura de aplicaciones y servicios, inventario de sistemas actuales y planee la migración a Azure AD B2C.
Procedimiento recomendado | Descripción |
---|---|
Diseñar una solución de un extremo a otro | Incluya todas las dependencias de las aplicaciones al planear una integración de Azure AD B2C. Tenga en cuenta todos los servicios y productos que están actualmente en su entorno o que podrían necesitar agregarse a la solución (por ejemplo, Azure Functions, sistemas de administración de relaciones con clientes (CRM), puerta de enlace de Azure API Management y servicios de almacenamiento. Tenga en cuenta la seguridad y la escalabilidad de todos los servicios. |
Documentar las experiencias de los usuarios | Detalla todos los recorridos del usuario que los clientes pueden experimentar en la aplicación. Incluya cada pantalla y los flujos de bifurcación que puedan encontrar al interactuar con los aspectos de identidad y perfil de la aplicación. Incluya facilidad de uso, accesibilidad y localización en la planificación. |
Elección del protocolo de autenticación adecuado | Para obtener un desglose de los distintos escenarios de aplicación y sus flujos de autenticación recomendados, consulte Escenarios y flujos de autenticación admitidos. |
Piloto de una experiencia del usuario de un extremo a otro de prueba de concepto (POC) | Comience con nuestros ejemplos de código de Microsoft y ejemplos de la comunidad. |
Creación de un plan de migración | La planeación anticipada puede hacer que la migración sea más fluida. Obtenga más información sobre la migración de usuarios. |
Facilidad de uso frente a seguridad | La solución debe alcanzar el equilibrio adecuado entre la facilidad de uso de la aplicación y el nivel de riesgo aceptable de su organización. |
Traslado de dependencias locales a la nube | Para ayudar a garantizar una solución resistente, considere la posibilidad de mover las dependencias de aplicaciones existentes a la nube. |
Migración de aplicaciones existentes a b2clogin.com | El desuso de login.microsoftonline.com entrará en vigor para todos los inquilinos de Azure AD B2C el 04 de diciembre de 2020. Más información. |
Uso de Identity Protection y acceso condicional | Use estas funcionalidades para un mayor control sobre las autenticaciones de riesgo y las directivas de acceso. Se requiere Azure AD B2C Premium P2. Más información. |
Tamaño del inquilino | Debe hacer su planificación con el tamaño del inquilino de Azure AD B2C en mente. De forma predeterminada, el inquilino de Azure AD B2C puede alojar 1,25 millones de objetos (cuentas de usuario y aplicaciones). Puede aumentar este límite a 5,25 millones de objetos agregando un dominio personalizado al inquilino y comprobándolo. Si necesita un tamaño de inquilino mayor, debe ponerse en contacto con el soporte técnico. |
Implementación
Durante la fase de implementación, tenga en cuenta las siguientes recomendaciones.
Procedimiento recomendado | Descripción |
---|---|
Edición de directivas personalizadas con la extensión de Azure AD B2C para Visual Studio Code | Descargue Visual Studio Code y esta extensión creada por la comunidad desde Visual Studio Code Marketplace. Aunque no es un producto oficial de Microsoft, la extensión de Azure AD B2C para Visual Studio Code incluye varias características que ayudan a facilitar el trabajo con directivas personalizadas. |
Aprenda a solucionar problemas de Azure AD B2C | Obtenga información sobre cómo solucionar problemas de directivas personalizadas durante el desarrollo. Obtenga información sobre el aspecto de un flujo de autenticación normal y use herramientas para detectar anomalías y errores. Por ejemplo, use Application Insights para revisar los registros de salida de los recorridos del usuario. |
Aprovechar nuestra biblioteca de patrones de directiva personalizados probados | Busque ejemplos de varios recorridos del usuario de administración de identidades y acceso de clientes (CIAM) mejorados de Azure AD B2C. |
Ensayo
Pruebe y automatice la implementación de Azure AD B2C.
Procedimiento recomendado | Descripción |
---|---|
Tener en cuenta el tráfico global | Use orígenes de tráfico de diferentes direcciones globales para probar los requisitos de rendimiento y localización. Asegúrese de que todas las HTM, CSS y dependencias pueden satisfacer sus necesidades de rendimiento. |
Pruebas funcionales y de IU | Pruebe los flujos de usuario de un extremo a otro. Agregue pruebas sintéticas cada pocos minutos con Selenium, VS Web Test, etc. |
Pruebas de lápiz | Antes de continuar con la solución, realice ejercicios de pruebas de penetración para comprobar que todos los componentes son seguros, incluidas las dependencias de terceros. Compruebe que ha protegido las API con tokens de acceso y ha usado el protocolo de autenticación adecuado para su escenario de aplicación. Obtenga más información sobre las pruebas de penetración y las reglas de interacción de pruebas unificadas de penetración de Microsoft Cloud. |
Pruebas Comparativas A/B | Pruebe sus nuevas funcionalidades con un pequeño conjunto aleatorio de usuarios antes de implementar en toda su base de usuarios. Con JavaScript habilitado en Azure AD B2C, puede integrarse con herramientas de prueba de A/B como Optimizely, Clarity y otros. |
Pruebas de carga | Azure AD B2C puede escalar, pero la aplicación solo puede escalar si todas sus dependencias se pueden escalar. Se recomienda que realice una prueba de carga de su directiva en modo de producción; es decir, establezca el atributo DeploymentMode en el elemento <TrustFrameworkPolicy> de su archivo de directiva personalizada a Production . Esta configuración garantiza que el rendimiento durante la prueba coincida con el rendimiento del nivel de producción. Prueba de carga de las API y la red CDN. Obtenga más información sobre la resistencia a través de los procedimientos recomendados para desarrolladores. |
Limitaciones | Azure AD B2C limita el tráfico si se envían demasiadas solicitudes desde el mismo origen en un breve período de tiempo. Use varios orígenes de tráfico durante las pruebas de carga y controle el AADB2C90229 código de error correctamente en las aplicaciones. |
Automatización | Use canalizaciones de integración y entrega continuas (CI/CD) para automatizar las pruebas e implementaciones, por ejemplo, Azure DevOps. |
Operaciones
Administre el entorno de Azure AD B2C.
Procedimiento recomendado | Descripción |
---|---|
Creación de varios entornos | Para facilitar las operaciones y la implementación, cree entornos independientes para el desarrollo, las pruebas, la preproducción y la producción. Cree inquilinos de Azure AD B2C para cada uno. |
Uso del control de versiones para las directivas personalizadas | Considere la posibilidad de usar GitHub, Azure Repos u otro sistema de control de versiones basado en la nube para las directivas personalizadas de Azure AD B2C. |
Uso de Microsoft Graph API para automatizar la administración de los inquilinos de B2C | API de Microsoft Graph: Administración de Identity Experience Framework (directivas personalizadas) Claves Flujos de usuario |
Integración con Azure DevOps | Una canalización de CI/CD facilita el movimiento de código entre distintos entornos y garantiza que esté listo para producción en todo momento. |
Implementación de una directiva personalizada | Azure AD B2C se basa en el almacenamiento en caché para ofrecer rendimiento a los usuarios finales. Al implementar una directiva personalizada mediante cualquier método, espere un retraso de hasta 30 minutos para que los usuarios vean los cambios. Como resultado de este comportamiento, tenga en cuenta los procedimientos siguientes al implementar las directivas personalizadas: - Si va a implementar en un entorno de desarrollo, establezca el atributo DeploymentMode en el elemento <TrustFrameworkPolicy> de su archivo de directiva personalizado a Production . - Implemente los archivos de directiva actualizados en un entorno de producción cuando el tráfico de la aplicación sea bajo. - Cuando se implementa en un entorno de producción para actualizar los archivos de directiva existentes, cargue los archivos actualizados con nuevos nombres, que actúan como nuevas versiones de las directivas. A continuación, actualice las referencias de la aplicación a los nuevos nombres o versiones. Puede quitar los archivos de directiva antiguos después o mantenerlos como la última configuración correcta conocida para facilitar la reversión. - Si necesita implementar en un entorno de producción para actualizar los archivos de directiva existentes sin control de versiones, haga que la nueva directiva sea compatible con la anterior siguiendo algunas reglas sencillas. Si necesita cambiar un perfil técnico, reclamo o SubJourney, cree una nueva versión, publique la directiva y espere 30 minutos para que las cachés de Azure AD B2C actualicen la nueva versión. A continuación, en una actualización posterior, realice cambios para usar la nueva versión y realice otra actualización de directiva. Espere otros 30 minutos y, si es necesario, puede eliminar la versión anterior de los elementos. Asegúrese de que toda la lógica de negocios está dentro de SubJourneys. - Puede establecer DeploymentMode en Development en un entorno de producción para eludir el comportamiento de almacenamiento en caché. Sin embargo, no se recomienda este procedimiento. Si recopila registros de Azure AD B2C con Application Insights, se recopilan todas las declaraciones enviadas hacia y desde los proveedores de identidades, lo que representa un riesgo tanto para la seguridad como para el rendimiento. |
Implementación de actualizaciones de registro de aplicaciones | Al modificar el registro de la aplicación en el inquilino de Azure AD B2C, como actualizar el URI de redirección de la aplicación, se espera un retraso de hasta 2 horas (3600) para que los cambios surtan efecto en el entorno de producción. Se recomienda modificar el registro de la aplicación en el entorno de producción cuando el tráfico de la aplicación sea bajo. |
Integración con Azure Monitor | Los eventos de registro de auditoría solo se conservan durante siete días. Integre con Azure Monitor para conservar los registros de uso a largo plazo o integrarlos con herramientas de administración de eventos e información de seguridad de terceros (SIEM) para obtener información sobre su entorno. |
Configuración de alertas y supervisión activas | Realice un seguimiento del comportamiento del usuario en Azure AD B2C mediante Application Insights. |
Actualizaciones de estado y soporte técnico
Manténgase al día con el estado del servicio y busque opciones de soporte técnico.
Procedimiento recomendado | Descripción |
---|---|
Actualizaciones del servicio | Manténgase al día con los anuncios y actualizaciones de productos de Azure AD B2C. |
Ayuda y soporte técnico de Microsoft | Presentar una solicitud de soporte técnico para problemas técnicos de Azure AD B2C. Se ofrece de forma gratuita soporte técnico para la administración de suscripciones y la facturación. |
Estado de Azure | Vea el estado de mantenimiento actual de todos los servicios de Azure. |