Megosztás a következőn keresztül:


Jelszavak összetettségi követelményeinek konfigurálása az Azure Active Directory B2C-ben

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Az Azure Active Directory B2C (Azure AD B2C) támogatja a végfelhasználó által a fiók létrehozásakor megadott jelszavak összetettségi követelményeinek módosítását. Az Azure AD B2C alapértelmezés szerint erős jelszavakat használ. Az Azure AD B2C a konfigurációs beállításokat is támogatja az ügyfelek által használható jelszavak összetettségének szabályozásához.

Előfeltételek

Jelszószabály kikényszerítése

A regisztráció vagy a jelszó alaphelyzetbe állítása során a végfelhasználónak olyan jelszót kell megadnia, amely megfelel az összetettségi szabályoknak. A jelszó összetettségi szabályai felhasználói folyamatonként lesznek kikényszerítve. Előfordulhat, hogy egy felhasználói folyamathoz négyjegyű pin-kód szükséges a regisztráció során, míg egy másik felhasználói folyamathoz nyolc karaktersorozat szükséges a regisztráció során. Használhat például olyan felhasználói folyamatot, amely a felnőtteknél eltérő jelszóbonyolulással rendelkezik, mint a gyermekek számára.

A jelszó összetettsége soha nem lesz kényszerítve a bejelentkezés során. A rendszer soha nem kéri a felhasználókat a bejelentkezés során a jelszavuk módosítására, mert az nem felel meg az aktuális összetettségi követelménynek.

A jelszó összetettségét a következő felhasználói folyamatokban konfigurálhatja:

  • Regisztrációs vagy bejelentkezési felhasználói folyamat
  • Új jelszó kérése felhasználói folyamat

Ha egyéni szabályzatokat használ, egyéni szabályzatokban konfigurálhatja a jelszó összetettségét.

Jelszó összetettségének konfigurálása

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
  4. Válassza ki a felhasználói folyamatokat.
  5. Jelöljön ki egy felhasználói folyamatot, és kattintson a Tulajdonságok gombra.
  6. A Jelszó összetettsége területen módosítsa a felhasználói folyamat jelszó-összetettségét egyszerű, erős vagy egyénire.

Összehasonlító diagram

Összetettség Leírás
Egyszerű Legalább 8–64 karakter hosszúságú jelszó.
Erős Legalább 8–64 karakter hosszúságú jelszó. 4-ből 3 kisbetűt, nagybetűt, számot vagy szimbólumot igényel.
Custom Ez a beállítás a jelszó összetettségi szabályainak legnagyobb vezérlését biztosítja. Lehetővé teszi az egyéni hossz konfigurálását. Lehetővé teszi a csak számozott jelszavak (pin-ek) elfogadását is.

Egyéni beállítások

Karakterkészlet

Lehetővé teszi, hogy csak számjegyeket (tűket) vagy a teljes karakterkészletet fogadjon el.

  • A számok csak a számjegyeket engedélyezik (0-9) jelszó megadásakor.
  • Minden betűt, számot vagy szimbólumot engedélyez.

Hossz

Lehetővé teszi a jelszó hosszkövetelményeinek szabályozását.

  • A minimális hossznak legalább 4-nek kell lennie.
  • A maximális hossznak nagyobbnak vagy egyenlőnek kell lennie a minimális hossznál, és legfeljebb 256 karakter lehet.

Karakterosztályok

Lehetővé teszi a jelszóban használt különböző karaktertípusok szabályozását.

  • 2/4: Kisbetű, Nagybetű, Szám (0-9), A szimbólum biztosítja, hogy a jelszó legalább két karaktertípust tartalmazzon. Például egy szám és egy kisbetű.

  • 3/4: Kisbetű, Nagybetűs karakter, Szám (0-9), A szimbólum biztosítja, hogy a jelszó legalább három karaktertípust tartalmaz. Például egy szám, egy kisbetű és egy nagybetű.

  • 4/4: Kisbetű, Nagybetűs karakter, Szám (0-9), A szimbólum biztosítja, hogy a jelszó tartalmazza az összes karaktertípust.

    Megjegyzés:

    A 4-ből 4 megkövetelése a végfelhasználók frusztrációját eredményezheti. Egyes tanulmányok kimutatták, hogy ez a követelmény nem javítja a jelszó-entrópiát. Lásd az NIST jelszóval kapcsolatos irányelveit

Jelszó-predikátum érvényesítése

A jelszó összetettségének konfigurálásához felül kell bírálnia a newPassword reenterPasswordjogcímtípusokat és a jogcímtípusokat a predikátum-érvényesítésekre való hivatkozással. A PredicateValidations elem predikátumkészleteket csoportosít, amelyek felhasználói beviteli érvényesítést alkotnak, amely egy jogcímtípusra alkalmazható. Nyissa meg a szabályzat bővítményfájlját. For example, SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

  1. Keresse meg a BuildingBlocks elemet. Ha az elem nem létezik, adja hozzá.

  2. Keresse meg a ClaimsSchema elemet. Ha az elem nem létezik, adja hozzá.

  3. Adja hozzá a newPassword jogcímeket a reenterPassword ClaimsSchema elemhez.

    <!-- 
    <BuildingBlocks>
      <ClaimsSchema> -->
        <ClaimType Id="newPassword">
          <PredicateValidationReference Id="CustomPassword" />
        </ClaimType>
        <ClaimType Id="reenterPassword">
          <PredicateValidationReference Id="CustomPassword" />
        </ClaimType>
      <!-- 
      </ClaimsSchema>
    </BuildingBlocks>-->
    
  4. A predikátumok alapszintű ellenőrzést határoznak meg egy jogcímtípus értékének ellenőrzéséhez, és igaz vagy hamis értéket ad vissza. Az érvényesítés egy megadott metóduselem és a metódus szempontjából releváns paraméterek halmazával történik. Adja hozzá a következő predikátumokat a BuildingBlocks elemhez közvetlenül az elem bezárása </ClaimsSchema> után:

    <!-- 
    <BuildingBlocks>-->
      <Predicates>
        <Predicate Id="LengthRange" Method="IsLengthRange">
          <UserHelpText>The password must be between 6 and 64 characters.</UserHelpText>
          <Parameters>
            <Parameter Id="Minimum">6</Parameter>
            <Parameter Id="Maximum">64</Parameter>
          </Parameters>
        </Predicate>
        <Predicate Id="Lowercase" Method="IncludesCharacters">
          <UserHelpText>a lowercase letter</UserHelpText>
          <Parameters>
            <Parameter Id="CharacterSet">a-z</Parameter>
          </Parameters>
        </Predicate>
        <Predicate Id="Uppercase" Method="IncludesCharacters">
          <UserHelpText>an uppercase letter</UserHelpText>
          <Parameters>
            <Parameter Id="CharacterSet">A-Z</Parameter>
          </Parameters>
        </Predicate>
        <Predicate Id="Number" Method="IncludesCharacters">
          <UserHelpText>a digit</UserHelpText>
          <Parameters>
            <Parameter Id="CharacterSet">0-9</Parameter>
          </Parameters>
        </Predicate>
        <Predicate Id="Symbol" Method="IncludesCharacters">
          <UserHelpText>a symbol</UserHelpText>
          <Parameters>
            <Parameter Id="CharacterSet">@#$%^&amp;*\-_+=[]{}|\\:',.?/`~"();!</Parameter>
          </Parameters>
        </Predicate>
      </Predicates>
    <!-- 
    </BuildingBlocks>-->
    
  5. Adja hozzá a következő predikátum-érvényesítéseket a BuildingBlocks elemhez közvetlenül az elem bezárása </Predicates> után:

    <!-- 
    <BuildingBlocks>-->
      <PredicateValidations>
        <PredicateValidation Id="CustomPassword">
          <PredicateGroups>
            <PredicateGroup Id="LengthGroup">
              <PredicateReferences MatchAtLeast="1">
                <PredicateReference Id="LengthRange" />
              </PredicateReferences>
            </PredicateGroup>
            <PredicateGroup Id="CharacterClasses">
              <UserHelpText>The password must have at least 3 of the following:</UserHelpText>
              <PredicateReferences MatchAtLeast="3">
                <PredicateReference Id="Lowercase" />
                <PredicateReference Id="Uppercase" />
                <PredicateReference Id="Number" />
                <PredicateReference Id="Symbol" />
              </PredicateReferences>
            </PredicateGroup>
          </PredicateGroups>
        </PredicateValidation>
      </PredicateValidations>
    <!-- 
    </BuildingBlocks>-->
    

Erős jelszó letiltása

A következő technikai profilok az Active Directory technikai profiljai, amelyek adatokat olvasnak és írnak a Microsoft Entra-azonosítóba. Felülbírálja ezeket a technikai profilokat a bővítményfájlban. Az erős jelszóházirend letiltására használható PersistedClaims . Keresse meg a ClaimsProviders elemet. Adja hozzá a következő jogcímszolgáltatókat az alábbiak szerint:

<!-- 
<ClaimsProviders>-->
  <ClaimsProvider>
    <DisplayName>Azure Active Directory</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="AAD-UserWriteUsingLogonEmail">
        <PersistedClaims>
          <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
        </PersistedClaims>
      </TechnicalProfile>
      <TechnicalProfile Id="AAD-UserWritePasswordUsingObjectId">
        <PersistedClaims>
          <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
        </PersistedClaims>
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
<!-- 
</ClaimsProviders>-->

Ha a felhasználónévalapú bejelentkezési szabályzatot használja, frissítse a AAD-UserWriteUsingLogonEmail, AAD-UserWritePasswordUsingObjectIdés LocalAccountWritePasswordUsingObjectId a technikai profilokat a DisableStrongPassword szabályzattal.

Mentse a szabályzatfájlt.

Test your policy

A fájlok feltöltése

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
  4. Válassza az Identity Experience Framework lehetőséget.
  5. Az Egyéni szabályzatok lapon válassza a Szabályzat feltöltése lehetőséget.
  6. Válassza a Szabályzat felülírása, ha létezik, majd keresse meg és válassza ki az TrustFrameworkExtensions.xml fájlt.
  7. Válassza a Feltöltés lehetőséget.

A szabályzat futtatása

  1. Nyissa meg a regisztrációs vagy bejelentkezési szabályzatot, például B2C_1A_signup_signin.
  2. Alkalmazás esetén válassza ki a korábban regisztrált alkalmazást. A jogkivonat megtekintéséhez a Válasz URL-címnek kell megjelennie https://jwt.ms.
  3. Válassza a Futtatás most lehetőséget.
  4. Válassza a Regisztráció lehetőséget, adjon meg egy e-mail-címet, és adjon meg egy új jelszót. Útmutatást talál a jelszókorlátozásokról. Fejezze be a felhasználói adatok megadását, majd válassza a Létrehozás lehetőséget. Látnia kell a visszaadott jogkivonat tartalmát.

Következő lépések