Comment sécuriser votre solution d’identité Azure Active Directory B2C

Cet article fournit les meilleures pratiques de sécurisation de votre solution Azure Active Directory B2C (Azure AD B2C). Pour créer votre solution d’identité à l’aide d’Azure AD B2C implique de nombreux composants que vous devez envisager de protéger et de surveiller.

Selon votre solution, vous disposez d’un ou plusieurs des composants suivants dans le champ d'application :

• Points de terminaison d’authentification Azure AD B2C
• Flux d’utilisateurs ou stratégies personnalisées Azure AD B2C
  • Connectez-vous
  • S'inscrire
• E-mail mot de passe à usage unique (OTP)
• Contrôles d’authentification multifacteur
• API REST externes

Vous devez protéger et surveiller tous ces composants pour vous assurer que vos utilisateurs peuvent se connecter aux applications sans interruption. Suivez les instructions de cet article pour protéger votre solution contre les attaques par bot, la création de comptes frauduleux, la fraude à la part de revenus internationale (ISRF) et la pulvérisation de mots de passe.

Comment sécuriser votre solution

Votre solution d’identité utilise plusieurs composants pour offrir une expérience de connexion fluide. Le tableau suivant présente les mécanismes de protection que nous recommandons pour chaque composant.

Composant	Point de terminaison	Pourquoi	Comment protéger
Points de terminaison d’authentification Azure AD B2C	/authorize, , /token/.well-known/openid-configuration, ,/discovery/v2.0/keys	Empêcher l’épuisement des ressources	Pare-feu d’applications web (WAF) et Azure Front Door (AFD)
Se connecter	N/D	Les connexions malveillantes peuvent essayer de pirater des comptes par force brute ou d’utiliser des informations d’identification fuitées	Identity Protection
Inscription	N/D	Les inscriptions frauduleuses qui peuvent tenter d'épuiser les ressources.	Protection des points de terminaison Technologies de prévention des fraudes, telles que Dynamics Fraud Protection
Mot de passe à usage unique par e-mail	N/D	Tentatives frauduleuses de force brute ou d’épuisement des ressources	Protection des points de terminaison et Application Authentificateur
Contrôles d’authentification multifacteur	N/D	Appels téléphoniques non sollicités ou sms ou épuisement des ressources.	Protection des points de terminaison et Application Authentificateur
API REST externes	Points de terminaison de votre API REST	L’utilisation malveillante des flux utilisateur ou des stratégies personnalisées peut entraîner l’épuisement des ressources sur vos points de terminaison d’API.	WAF et AFD

Mécanismes de protection

Le tableau suivant fournit une vue d’ensemble des différents mécanismes de protection que vous pouvez utiliser pour protéger différents composants.

Quoi	Pourquoi	Comment
Pare-feu d’applications web (WAF)	WAF sert de première couche de défense contre les demandes malveillantes adressées aux points de terminaison Azure AD B2C. Il fournit une protection centralisée contre les attaques et vulnérabilités courantes telles que DDoS, bots, OWASP Top 10, etc. Il est recommandé d’utiliser WAF pour vous assurer que les requêtes malveillantes sont arrêtées avant même qu’elles n’atteignent les points de terminaison Azure AD B2C. Pour activer waf, vous devez d’abord activer des domaines personnalisés dans Azure AD B2C à l’aide d’AFD.	Configurer Cloudflare WAF Configurer Akamai WAF
Azure Front Door (AFD)	AFD est un point d’entrée global et évolutif qui utilise le réseau de périphérie mondial Microsoft pour créer des applications web rapides, sécurisées et largement évolutives. Les principales fonctionnalités de l’AFD sont les suivantes : Vous pouvez ajouter ou supprimer des domaines personnalisés de manière libre-service Expérience de gestion des certificats simplifiée Vous pouvez apporter votre propre certificat et recevoir une alerte pour l'expiration du certificat tout en profitant d'une gestion efficace des rotations grâce à Azure Key Vault Certificat approvisionné par AFD pour un approvisionnement et une rotation automatique plus rapides à l’expiration	Activer des domaines personnalisés pour Azure Active Directory B2C
Vérification de l’identité et Preuve d'identité / Protection contre la fraude	La vérification et la validation des identités sont essentielles pour la création d'une expérience utilisateur de confiance et la protection contre la prise de contrôle du compte et la création de comptes frauduleux. Il contribue également à l’hygiène des locataires en s’assurant que les objets utilisateur reflètent les utilisateurs réels, qui s’alignent sur les scénarios métier. Azure AD B2C permet l’intégration de la vérification et de la vérification des identités et de la protection contre les fraudes de divers partenaires fournisseurs de logiciels.	Intégrer avec les partenaires de vérification et de validation des identités Configurer Microsoft Dynamics 365 Fraud Protection Configurer avec la plateforme Arkose Labs Atténuer l'utilisation frauduleuse de MFA
Protection de l’identité	Identity Protection fournit une détection continue des risques. Lorsqu’un risque est détecté lors de la connexion, vous pouvez configurer une stratégie conditionnelle Azure AD B2C pour permettre à l’utilisateur de corriger le risque avant de poursuivre la connexion. Les administrateurs peuvent également utiliser des rapports de protection des identités pour examiner les utilisateurs à risque qui sont à risque et passer en revue les détails de la détection. Le rapport sur les détections de risques inclut des informations sur chaque détection de risque, telles que son type et l’emplacement de la tentative de connexion, et bien plus encore. Les administrateurs peuvent également confirmer ou refuser que l’utilisateur soit compromis.	Examiner les risques avec Identity Protection
Accès conditionnel (CA)	Lorsqu’un utilisateur tente de se connecter, l’autorité de certification collecte différents signaux tels que les risques liés à la protection des identités, pour prendre des décisions et appliquer des stratégies d’organisation. L’autorité de certification peut aider les administrateurs à développer des stratégies cohérentes avec la posture de sécurité de leur organisation. Les stratégies peuvent inclure la possibilité de bloquer complètement l’accès utilisateur ou de fournir l’accès une fois que l’utilisateur a terminé une autre authentification comme MFA.	Ajouter des stratégies d’accès conditionnel aux flux utilisateur
Authentification multifacteur	L’authentification multifacteur ajoute une deuxième couche de sécurité au processus d’inscription et de connexion et constitue un composant essentiel de l’amélioration de la posture de sécurité de l’authentification utilisateur dans Azure AD B2C. L’application Authenticator - TOTP est la méthode MFA recommandée dans Azure AD B2C.	Activer l’authentification multifacteur
Gestion des informations et des événements de sécurité (SIEM) / Orchestration de la sécurité, Automatisation et réponse (SOAR)	Vous avez besoin d’un système de surveillance et d’alerte fiable pour analyser les modèles d’utilisation tels que les connexions et les inscriptions, et détecter tout comportement anormal qui peut être indicatif d’une cyber-attaque. Il s’agit d’une étape importante qui ajoute une couche supplémentaire de sécurité. Il vous permet également de comprendre les modèles et les tendances qui ne peuvent être capturés et construits qu’au fil du temps. L’alerte aide à déterminer les facteurs tels que le taux de modification des connexions globales, une augmentation des connexions ayant échoué et des parcours d’inscription ayant échoué, des fraudes par téléphone telles que des attaques IRSF, etc. Tous ces éléments peuvent être des indicateurs d’une cyber-attaque en cours qui nécessite une attention immédiate. Azure AD B2C prend en charge la journalisation à la fois de haut niveau et de granularité fine, ainsi que la génération de rapports et d'alertes. Il est conseillé d’implémenter la surveillance et les alertes dans tous les locataires de production.	Surveiller à l’aide d’Azure Monitor Utiliser des rapports et des alertes Surveiller l’utilisation frauduleuse de l’authentification multifacteur Collecter les journaux Azure AD B2C avec Application Insights Configurer l’analytique de sécurité pour les données Azure AD B2C avec Microsoft Sentinel

Protection de vos API REST

Azure AD B2C vous permet de vous connecter à des systèmes externes à l’aide des connecteurs d’API ou du profil technique de l’API REST. Vous devez protéger ces interfaces. Vous pouvez empêcher les demandes malveillantes adressées à vos API REST en protégeant les points de terminaison d’authentification Azure AD B2C. Vous pouvez protéger ces points de terminaison avec un WAF et AFD.

Scénario 1 : Comment sécuriser votre expérience de connexion

Après avoir créé une expérience de connexion ou un flux utilisateur, vous devez protéger des composants spécifiques de votre flux contre les activités malveillantes. Par exemple, si votre flux de connexion implique les éléments suivants, le tableau affiche les composants que vous devez protéger et la technique de protection associée :

• E-mail de compte local et authentification par mot de passe
• Authentification multifacteur Microsoft Entra à l’aide d’un SMS ou d’un appel téléphonique

Composant	Point de terminaison	Comment protéger
Points de terminaison d’authentification Azure AD B2C	/authorize, , /token/.well-known/openid-configuration, ,/discovery/v2.0/keys	WAP et AFD
Connectez-vous	N/D	Protection de l’identité
Contrôles d’authentification multifacteur	N/D	Application Authentificateur
API REST externe	Votre point de terminaison d’API.	Application d’authentification, WAF et AFD

Scénario 2 : Comment sécuriser votre expérience d’inscription

Après avoir créé une expérience d’inscription ou un flux utilisateur, vous devez protéger des composants spécifiques de votre flux contre les activités malveillantes. Si votre flux de connexion implique les éléments suivants, le tableau affiche les composants que vous devez protéger et la technique de protection associée :

• E-mail de compte local et inscription au mot de passe
• Vérification par e-mail à l’aide du protocole OTP
• Authentification multifacteur Microsoft Entra à l’aide d’un SMS ou d’un appel téléphonique

Composant	Point de terminaison	Comment protéger
Points de terminaison d’authentification Azure AD B2C	/authorize, , /token/.well-known/openid-configuration, ,/discovery/v2.0/keys	WAF et AFD
inscription	N/D	Dynamics Fraud Protection (Protection contre la fraude)
Mot de passe à usage unique par e-mail	N/D	WAF et AFD
Contrôles d’authentification multifacteur	N/D	Application Authentificateur

Dans ce scénario, l’utilisation des mécanismes de protection WAF et AFD protège à la fois les points de terminaison d’authentification Azure AD B2C et les composants e-mail OTP.

Étapes suivantes

• Configurez un pare-feu d’applications web pour protéger les points de terminaison d’authentification Azure AD B2C.
• Configurez la prévention des fraudes avec Dynamics pour protéger vos expériences d’authentification.
• Examinez les risques avec Identity Protection dans Azure AD B2C pour découvrir, examiner et corriger les risques basés sur l’identité.
• Sécurisation de l’authentification multifacteur basée sur un téléphone pour protéger l’authentification multifacteur basée sur un téléphone.
• Configurez Identity Protection pour protéger votre expérience de connexion.
• Configurez la surveillance et les alertes pour être averti de toutes les menaces.