Jelszavak összetettségi követelményeinek konfigurálása az Azure Active Directory B2C-ben
Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.
Az Azure Active Directory B2C (Azure AD B2C) támogatja a végfelhasználó által a fiók létrehozásakor megadott jelszavak összetettségi követelményeinek módosítását. Az Azure AD B2C alapértelmezés szerint erős jelszavakat használ. Az Azure AD B2C a konfigurációs beállításokat is támogatja az ügyfelek által használható jelszavak összetettségének szabályozásához.
Előfeltételek
- Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
- Webalkalmazás regisztrálása.
- Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
- Webalkalmazás regisztrálása.
Jelszószabály kikényszerítése
A regisztráció vagy a jelszó alaphelyzetbe állítása során a végfelhasználónak olyan jelszót kell megadnia, amely megfelel az összetettségi szabályoknak. A jelszó összetettségi szabályai felhasználói folyamatonként lesznek kikényszerítve. Előfordulhat, hogy egy felhasználói folyamathoz négyjegyű pin-kód szükséges a regisztráció során, míg egy másik felhasználói folyamathoz nyolc karaktersorozat szükséges a regisztráció során. Használhat például olyan felhasználói folyamatot, amely a felnőtteknél eltérő jelszóbonyolulással rendelkezik, mint a gyermekek számára.
A jelszó összetettsége soha nem lesz kényszerítve a bejelentkezés során. A rendszer soha nem kéri a felhasználókat a bejelentkezés során a jelszavuk módosítására, mert az nem felel meg az aktuális összetettségi követelménynek.
A jelszó összetettségét a következő felhasználói folyamatokban konfigurálhatja:
- Regisztrációs vagy bejelentkezési felhasználói folyamat
- Új jelszó kérése felhasználói folyamat
Ha egyéni szabályzatokat használ, egyéni szabályzatokban konfigurálhatja a jelszó összetettségét.
Jelszó összetettségének konfigurálása
- Jelentkezzen be az Azure Portalra.
- Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
- Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
- Válassza ki a felhasználói folyamatokat.
- Jelöljön ki egy felhasználói folyamatot, és kattintson a Tulajdonságok gombra.
- A Jelszó összetettsége területen módosítsa a felhasználói folyamat jelszó-összetettségét egyszerű, erős vagy egyénire.
Összehasonlító diagram
Összetettség | Leírás |
---|---|
Egyszerű | Legalább 8–64 karakter hosszúságú jelszó. |
Erős | Legalább 8–64 karakter hosszúságú jelszó. 4-ből 3 kisbetűt, nagybetűt, számot vagy szimbólumot igényel. |
Custom | Ez a beállítás a jelszó összetettségi szabályainak legnagyobb vezérlését biztosítja. Lehetővé teszi az egyéni hossz konfigurálását. Lehetővé teszi a csak számozott jelszavak (pin-ek) elfogadását is. |
Egyéni beállítások
Karakterkészlet
Lehetővé teszi, hogy csak számjegyeket (tűket) vagy a teljes karakterkészletet fogadjon el.
- A számok csak a számjegyeket engedélyezik (0-9) jelszó megadásakor.
- Minden betűt, számot vagy szimbólumot engedélyez.
Hossz
Lehetővé teszi a jelszó hosszkövetelményeinek szabályozását.
- A minimális hossznak legalább 4-nek kell lennie.
- A maximális hossznak nagyobbnak vagy egyenlőnek kell lennie a minimális hossznál, és legfeljebb 256 karakter lehet.
Karakterosztályok
Lehetővé teszi a jelszóban használt különböző karaktertípusok szabályozását.
2/4: Kisbetű, Nagybetű, Szám (0-9), A szimbólum biztosítja, hogy a jelszó legalább két karaktertípust tartalmazzon. Például egy szám és egy kisbetű.
3/4: Kisbetű, Nagybetűs karakter, Szám (0-9), A szimbólum biztosítja, hogy a jelszó legalább három karaktertípust tartalmaz. Például egy szám, egy kisbetű és egy nagybetű.
4/4: Kisbetű, Nagybetűs karakter, Szám (0-9), A szimbólum biztosítja, hogy a jelszó tartalmazza az összes karaktertípust.
Megjegyzés:
A 4-ből 4 megkövetelése a végfelhasználók frusztrációját eredményezheti. Egyes tanulmányok kimutatták, hogy ez a követelmény nem javítja a jelszó-entrópiát. Lásd az NIST jelszóval kapcsolatos irányelveit
Jelszó-predikátum érvényesítése
A jelszó összetettségének konfigurálásához felül kell bírálnia a newPassword
reenterPassword
jogcímtípusokat és a jogcímtípusokat a predikátum-érvényesítésekre való hivatkozással. A PredicateValidations elem predikátumkészleteket csoportosít, amelyek felhasználói beviteli érvényesítést alkotnak, amely egy jogcímtípusra alkalmazható. Nyissa meg a szabályzat bővítményfájlját. For example, SocialAndLocalAccounts/
TrustFrameworkExtensions.xml
.
Keresse meg a BuildingBlocks elemet. Ha az elem nem létezik, adja hozzá.
Keresse meg a ClaimsSchema elemet. Ha az elem nem létezik, adja hozzá.
Adja hozzá a
newPassword
jogcímeket areenterPassword
ClaimsSchema elemhez.<!-- <BuildingBlocks> <ClaimsSchema> --> <ClaimType Id="newPassword"> <PredicateValidationReference Id="CustomPassword" /> </ClaimType> <ClaimType Id="reenterPassword"> <PredicateValidationReference Id="CustomPassword" /> </ClaimType> <!-- </ClaimsSchema> </BuildingBlocks>-->
A predikátumok alapszintű ellenőrzést határoznak meg egy jogcímtípus értékének ellenőrzéséhez, és igaz vagy hamis értéket ad vissza. Az érvényesítés egy megadott metóduselem és a metódus szempontjából releváns paraméterek halmazával történik. Adja hozzá a következő predikátumokat a BuildingBlocks elemhez közvetlenül az elem bezárása
</ClaimsSchema>
után:<!-- <BuildingBlocks>--> <Predicates> <Predicate Id="LengthRange" Method="IsLengthRange"> <UserHelpText>The password must be between 6 and 64 characters.</UserHelpText> <Parameters> <Parameter Id="Minimum">6</Parameter> <Parameter Id="Maximum">64</Parameter> </Parameters> </Predicate> <Predicate Id="Lowercase" Method="IncludesCharacters"> <UserHelpText>a lowercase letter</UserHelpText> <Parameters> <Parameter Id="CharacterSet">a-z</Parameter> </Parameters> </Predicate> <Predicate Id="Uppercase" Method="IncludesCharacters"> <UserHelpText>an uppercase letter</UserHelpText> <Parameters> <Parameter Id="CharacterSet">A-Z</Parameter> </Parameters> </Predicate> <Predicate Id="Number" Method="IncludesCharacters"> <UserHelpText>a digit</UserHelpText> <Parameters> <Parameter Id="CharacterSet">0-9</Parameter> </Parameters> </Predicate> <Predicate Id="Symbol" Method="IncludesCharacters"> <UserHelpText>a symbol</UserHelpText> <Parameters> <Parameter Id="CharacterSet">@#$%^&*\-_+=[]{}|\\:',.?/`~"();!</Parameter> </Parameters> </Predicate> </Predicates> <!-- </BuildingBlocks>-->
Adja hozzá a következő predikátum-érvényesítéseket a BuildingBlocks elemhez közvetlenül az elem bezárása
</Predicates>
után:<!-- <BuildingBlocks>--> <PredicateValidations> <PredicateValidation Id="CustomPassword"> <PredicateGroups> <PredicateGroup Id="LengthGroup"> <PredicateReferences MatchAtLeast="1"> <PredicateReference Id="LengthRange" /> </PredicateReferences> </PredicateGroup> <PredicateGroup Id="CharacterClasses"> <UserHelpText>The password must have at least 3 of the following:</UserHelpText> <PredicateReferences MatchAtLeast="3"> <PredicateReference Id="Lowercase" /> <PredicateReference Id="Uppercase" /> <PredicateReference Id="Number" /> <PredicateReference Id="Symbol" /> </PredicateReferences> </PredicateGroup> </PredicateGroups> </PredicateValidation> </PredicateValidations> <!-- </BuildingBlocks>-->
Erős jelszó letiltása
A következő technikai profilok az Active Directory technikai profiljai, amelyek adatokat olvasnak és írnak a Microsoft Entra-azonosítóba. Felülbírálja ezeket a technikai profilokat a bővítményfájlban. Az erős jelszóházirend letiltására használható PersistedClaims
. Keresse meg a ClaimsProviders elemet. Adja hozzá a következő jogcímszolgáltatókat az alábbiak szerint:
<!--
<ClaimsProviders>-->
<ClaimsProvider>
<DisplayName>Azure Active Directory</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="AAD-UserWriteUsingLogonEmail">
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
</PersistedClaims>
</TechnicalProfile>
<TechnicalProfile Id="AAD-UserWritePasswordUsingObjectId">
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
</PersistedClaims>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
<!--
</ClaimsProviders>-->
Ha a felhasználónévalapú bejelentkezési szabályzatot használja, frissítse a AAD-UserWriteUsingLogonEmail
, AAD-UserWritePasswordUsingObjectId
és LocalAccountWritePasswordUsingObjectId
a technikai profilokat a DisableStrongPassword szabályzattal.
Mentse a szabályzatfájlt.
Test your policy
A fájlok feltöltése
- Jelentkezzen be az Azure Portalra.
- Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
- Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
- Válassza az Identity Experience Framework lehetőséget.
- Az Egyéni szabályzatok lapon válassza a Szabályzat feltöltése lehetőséget.
- Válassza a Szabályzat felülírása, ha létezik, majd keresse meg és válassza ki az TrustFrameworkExtensions.xml fájlt.
- Válassza a Feltöltés lehetőséget.
A szabályzat futtatása
- Nyissa meg a regisztrációs vagy bejelentkezési szabályzatot, például B2C_1A_signup_signin.
- Alkalmazás esetén válassza ki a korábban regisztrált alkalmazást. A jogkivonat megtekintéséhez a Válasz URL-címnek kell megjelennie
https://jwt.ms
. - Válassza a Futtatás most lehetőséget.
- Válassza a Regisztráció lehetőséget, adjon meg egy e-mail-címet, és adjon meg egy új jelszót. Útmutatást talál a jelszókorlátozásokról. Fejezze be a felhasználói adatok megadását, majd válassza a Létrehozás lehetőséget. Látnia kell a visszaadott jogkivonat tartalmát.
Következő lépések
- Megtudhatja, hogyan konfigurálhatja a jelszómódosítást az Azure Active Directory B2C-ben.
- További információ az IEF-referencia Predikátumok és PredicateValidations elemeiről.