Felhasználók migrálása az Azure AD B2C-be

Fontos

2025. május 1-jére az Azure AD B2C már nem lesz elérhető az új ügyfelek számára. További információ a GYIK-ben.

A másik identitásszolgáltatóról az Azure Active Directory B2C-be (Azure AD B2C) való migráláshoz szükség lehet a meglévő felhasználói fiókok migrálására is. Itt két migrálási módszert tárgyalunk, a migrálás előtti és a zökkenőmentes migrálást. Mindkét módszerrel meg kell írnia egy alkalmazást vagy szkriptet, amely a Microsoft Graph API-t használja felhasználói fiókok létrehozásához az Azure AD B2C-ben.

Ebből a videóból megismerheti az Azure AD B2C felhasználói migrálási stratégiáit és megfontolandó lépéseit.

Megjegyzés:

A migrálás megkezdése előtt győződjön meg arról, hogy az Azure AD B2C-bérlő nem használt kvótája minden áttelepítendő felhasználónak megfelel. Megtudhatja, hogyan lekérheti a bérlési adatait. Ha növelnie kell a bérlő kvótakorlátját, forduljon a Microsoft ügyfélszolgálatához.

Migrálás előtti

Az áttelepítés előtti folyamat során a migrálási alkalmazás végrehajtja az alábbi lépéseket az egyes felhasználói fiókokhoz:

  1. Olvassa el a felhasználói fiókot a régi identitásszolgáltatótól, beleértve az aktuális hitelesítő adatait (felhasználónevet és jelszót).
  2. Hozzon létre egy megfelelő fiókot az Azure AD B2C-címtárban az aktuális hitelesítő adatokkal.

A migrálás előtti folyamatot a következő két helyzetben használhatja:

  • Hozzáféréssel rendelkezik egy felhasználó egyszerű szöveges hitelesítő adataihoz (a felhasználó felhasználónevéhez és jelszavához).
  • A hitelesítő adatok titkosítva vannak, de visszafejthetők.

További információ a felhasználói fiókok programozott létrehozásáról: Azure AD B2C felhasználói fiókok kezelése a Microsoft Graph használatával.

Zökkenőmentes migrálás

Használja a zökkenőmentes migrálási folyamatot, ha a régi identitásszolgáltató egyszerű szöveges jelszavai nem érhetők el. Például amikor:

  • A jelszó tárolása egyirányú titkosított formátumban történik, például hashfüggvénnyel.
  • A jelszót az örökölt identitásszolgáltató tárolja úgy, hogy ön ne férhessen hozzá. Ha például az identitásszolgáltató egy webszolgáltatás meghívásával ellenőrzi a hitelesítő adatokat.

A zökkenőmentes migrálási folyamathoz továbbra is szükség van a felhasználói fiókok előzetes migrálására, de egy egyéni szabályzattal lekérdez egy (ön által létrehozott) REST API-t az egyes felhasználók jelszavának első bejelentkezéskor történő beállításához.

A zökkenőmentes migrálási folyamat két fázisból áll: az áttelepítés előtti és a hitelesítő adatok beállításából.

1. fázis: Migrálás előtti

  1. A migrálási alkalmazás beolvassa a felhasználói fiókokat a régi identitásszolgáltatótól.
  2. A migrálási alkalmazás megfelelő felhasználói fiókokat hoz létre az Azure AD B2C-címtárban, de beállítja a létrehozott véletlenszerű jelszavakat .

2. fázis: Hitelesítő adatok beállítása

A fiókok előzetes migrálása után az egyéni szabályzat és a REST API a következőt hajtja végre, amikor egy felhasználó bejelentkezik:

  1. Olvassa el a megadott e-mail-címnek megfelelő Azure AD B2C felhasználói fiókot.
  2. Ellenőrizze, hogy a fiók migrálásra van-e megjelölve egy logikai bővítményttribútum kiértékelésével.
    • Ha a bővítményattribútum visszatér True, hívja meg a REST API-t, hogy érvényesítse a jelszót az örökölt identitásszolgáltatóval szemben.
      • Ha a REST API végpont megállapítja, hogy a jelszó helytelen, adjon vissza egy barátságos hibát a felhasználónak.
      • Ha a REST API megállapítja a jelszó helyességét, írja be a jelszót az Azure AD B2C-fiókba, és módosítsa a logikai bővítmény attribútumát a következőre False: .
    • Ha a logikai bővítmény attribútuma visszaadja False, folytassa a bejelentkezési folyamatot a szokásos módon.

Az egyéni szabályzat és a REST API példájának megtekintéséhez tekintse meg a GitHubon található közvetlen felhasználói migrálási mintát .

A felhasználói migrálás zökkenőmentes migrálási megközelítésének folyamatábradiagramja

Biztonság

A zökkenőmentes migrálási módszer a saját egyéni REST API-jával ellenőrzi a felhasználó hitelesítő adatait az örökölt identitásszolgáltatóval szemben.

Meg kell védenie a REST API-t a brute force támadásokkal szemben. A támadók több jelszót is beküldhetnek abban a reményben, hogy végül kitalálják a felhasználó hitelesítő adatait. Az ilyen támadások legyőzése érdekében állítsa le a kérések REST API-nak való kiszolgálását, amikor a bejelentkezési kísérletek száma túllép egy bizonyos küszöbértéket. Emellett biztonságossá teheti az Azure AD B2C és a REST API közötti kommunikációt. Hogyan teheti biztonságossá a RESTful API-kat a termelési környezetben, megtudhatja a Biztonságos RESTful API-k című útmutatóból.

Felhasználói attribútumok

Az örökölt identitásszolgáltató nem minden információját kell migrálni az Azure AD B2C-címtárba. A migrálás előtt azonosítsa az Azure AD B2C-ben tárolandó felhasználói attribútumok megfelelő készletét.

  • DO-tároló az Azure AD B2C-ben:
    • Felhasználónév, jelszó, e-mail-címek, telefonszámok, tagsági számok/azonosítók.
    • Az adatvédelmi szabályzat és a végfelhasználói licencszerződések jóváhagyási jelölői.
  • NE tárolja az Azure AD B2C-ben:
    • Bizalmas adatok, például hitelkártyaszámok, társadalombiztosítási számok (SSN), orvosi nyilvántartások vagy a kormányzati vagy iparági megfelelőségi szervek által szabályozott egyéb adatok.
    • Marketing- vagy kommunikációs beállítások, felhasználói viselkedések és elemzések.

Címtárkarbantartás

A migrálási folyamat megkezdése előtt használja ki a lehetőséget, hogy megtisztítsa a címtárat.

  • Azonosítsa az Azure AD B2C-ben tárolandó felhasználói attribútumokat, és csak azt migrálja, amire szüksége van. Szükség esetén létrehozhat egyéni attribútumokat , hogy több adatot tároljon egy felhasználóról.
  • Ha több hitelesítési forrással rendelkező környezetből migrál (például mindegyik alkalmazás saját felhasználói címtárral rendelkezik), migráljon egy egységes fiókba az Azure AD B2C-ben.
  • Ha több alkalmazás is rendelkezik eltérő felhasználónévvel, az identitásgyűjtemény használatával mindegyiket egy Azure AD B2C-felhasználói fiókban tárolhatja. A jelszóval kapcsolatban hagyja, hogy a felhasználó válasszon egyet, és állítsa be a címtárban. A zökkenőmentes migrálással például csak a választott jelszót kell tárolni az Azure AD B2C-fiókban.
  • Távolítsa el a nem használt felhasználói fiókokat, vagy ne migrálja az elavult fiókokat.

Jelszóházirend

Ha az áttelepített fiókok jelszava gyengébb, mint az Azure AD B2C által kikényszerített erős jelszóerősség , letilthatja az erős jelszókövetelményt. További információ: Jelszóházirend tulajdonság.

Következő lépések

A azure-ad-b2c/user-migration GitHub adattára egy közvetlen migrálási egyéni szabályzatmintát és REST API-kódmintát tartalmaz:

Közvetlen felhasználói migrálási egyéni szabályzat és REST API-kódminta

  • Last updated on