Rekomendasi dan praktik terbaik untuk Azure Active Directory B2C
Praktik dan rekomendasi terbaik berikut ini mencakup beberapa aspek utama dalam mengintegrasikan Azure Active Directory (Azure AD) B2C ke dalam lingkungan aplikasi yang ada atau baru.
Dasar-dasar
| Praktik terbaik | Deskripsi |
|---|---|
| Memilih alur pengguna untuk sebagian besar skenario | IEF Azure AD B2C adalah kekuatan inti dari layanan ini. Kebijakan sepenuhnya menjelaskan pengalaman identitas seperti pendaftaran, rincian masuk, atau pengeditan profil. Untuk membantu Anda menyiapkan tugas identitas yang paling umum, portal Azure AD B2C menyertakan kebijakan yang telah ditentukan dan dapat dikonfigurasi yang disebut alur pengguna. Dengan alur pengguna, Anda dapat menciptakan pengalaman pengguna yang hebat dalam hitungan menit, hanya dengan beberapa klik. Pelajari kapan menggunakan alur pengguna vs. kebijakan kustom. |
| Pendaftaran aplikasi | Setiap aplikasi (web, asli) dan API yang diamankan harus terdaftar di Azure AD B2C. Jika aplikasi memiliki web dan versi asli iOS dan Android, Anda dapat mendaftarkannya sebagai satu aplikasi di Azure AD B2C dengan ID klien yang sama. Pelajari cara mendaftarkan aplikasi asli, OIDC, SAML, dan web. Pelajari selengkapnya jenis aplikasi yang bisa digunakan di Azure AD B2C. |
| Memindahkan ke tagihan pengguna aktif bulanan | Azure AD B2C telah berpindah dari autentikasi aktif bulanan ke penagihan pengguna aktif bulanan (MAU). Sebagian besar pelanggan akan merasa model ini hemat biaya. Pelajari lebih lanjut penagihan pengguna aktif bulanan. |
Perencanaan dan rancangan
Tentukan arsitektur aplikasi dan layanan Anda, inventaris sistem saat ini, dan rencanakan migrasi Anda ke Azure AD B2C.
| Praktik terbaik | Deskripsi |
|---|---|
| Merencanakan solusi menyeluruh | Sertakan semua dependensi aplikasi Anda saat merencanakan integrasi Azure AD B2C. Pertimbangkan semua layanan dan produk yang saat ini ada di lingkungan Anda atau yang mungkin perlu ditambahkan ke solusi (misalnya, Azure Functions, sistem manajemen hubungan pelanggan (CRM), gateway Azure API Management, dan layanan penyimpanan). Perhitungkan keamanan dan skalabilitas untuk semua layanan. |
| Mendokumentasikan pengalaman pengguna Anda | Rincikan semua perjalanan pengguna yang dapat dialami pelanggan Anda di aplikasi Anda. Sertakan setiap layar dan alur percabangan apa pun yang mungkin mereka temui saat berinteraksi dengan aspek identitas dan profil aplikasi Anda. Sertakan kegunaan, aksesibilitas, dan lokalisasi dalam perencanaan Anda. |
| Memilih protokol autentikasi yang tepat | Untuk perincian skenario aplikasi yang berbeda dan alur autentikasi yang direkomendasikan, lihat Skenario dan alur autentikasi yang didukung. |
| Menguji coba pengalaman pengguna menyeluruh bukti konsep (POC) | Mulai dengan sampel kode Microsoft dan sampel komunitas kami. |
| Membuat rencana migrasi | Merencanakan ke depan dapat membuat migrasi berjalan lebih lancar. Pelajari selengkapnya migrasi pengguna. |
| Kegunaan vs. keamanan | Solusi Anda harus mencapai keseimbangan yang tepat antara kegunaan aplikasi dan tingkat risiko organisasi yang dapat diterima. |
| Memindahkan dependensi lokal ke cloud | Untuk membantu memastikan solusi yang tangguh, pertimbangkan untuk memindahkan dependensi aplikasi yang ada ke cloud. |
| Memigrasikan aplikasi yang sudah ada ke b2clogin.com | Penghentian login.microsoftonline.com berlaku untuk semua penyewa Azure AD B2C pada 04 Desember 2020. Pelajari lebih lanjut. |
| Menggunakan Perlindungan Identitas dan Akses Bersyarat | Gunakan kemampuan ini untuk memegang kontrol yang jauh lebih besar atas autentikasi berisiko dan kebijakan akses. Diperlukan Azure AD B2C Premium P2. Pelajari lebih lanjut. |
| Ukuran penyewa | Anda perlu merencanakan dengan mengingat ukuran penyewa Azure AD B2C. Secara default, penyewa Azure AD B2C dapat mengakomodasi 1,25 juta objek (akun pengguna dan aplikasi). Anda dapat meningkatkan batas ini menjadi 5,25 juta objek dengan menambahkan domain kustom ke penyewa Anda, dan memverifikasinya. Jika Anda memerlukan ukuran penyewa yang lebih besar, Anda perlu menghubungi Dukungan. |
| Menggunakan Perlindungan Identitas dan Akses Bersyarat | Gunakan kemampuan ini untuk kontrol yang lebih besar atas autentikasi berisiko dan kebijakan akses. Diperlukan Azure AD B2C Premium P2. Pelajari lebih lanjut. |
implementasi
Selama tahap implementasi, pertimbangkan rekomendasi berikut.
| Praktik terbaik | Deskripsi |
|---|---|
| Mengedit kebijakan kustom dengan ekstensi Azure AD B2C untuk Visual Studio Code | Unduh Visual Studio Code dan Ekstensi dari Marketplace Visual Studio Code yang dibuat untuk komunitas. Meskipun bukan produk Microsoft resmi, ekstensi Azure AD B2C untuk Visual Studio Code menyertakan beberapa fitur yang membantu mempermudah pekerjaan dengan kebijakan kustom. |
| Pelajari cara memecahkan masalah Azure AD B2C | Pelajari cara memecahkan masalah kebijakan kustom selama pengembangan. Pelajari seperti apa alur autentikasi normal dan gunakan alat untuk menemukan anomali dan kesalahan. Misalnya, gunakan Application Insights untuk meninjau log output perjalanan pengguna. |
| Memanfaatkan pustaka kami dari pola kebijakan kustom yang sudah terbukti | Temukan sampel untuk perjalanan pengguna identitas pelanggan dan manajemen akses (CIAM) Azure AD B2C yang disempurnakan. |
Pengujian
Uji dan otomatisasi implementasi Azure AD B2C Anda.
| Praktik terbaik | Deskripsi |
|---|---|
| Akun untuk lalu lintas global | Gunakan sumber lalu lintas dari alamat global yang berbeda untuk menguji persyaratan performa dan lokalisasi. Pastikan semua HTML, CSS, dan dependensi dapat memenuhi kebutuhan performa Anda. |
| Pengujian fungsional dan antarmuka pengguna | Uji alur pengguna secara menyeluruh. Tambahkan uji sintetis setiap beberapa menit menggunakan Selenium, VS Web Test, dll. |
| Pengujian pena | Sebelum menerapkan langsung dengan solusi Anda, lakukan latihan pengujian penetrasi untuk memverifikasi semua komponen aman, termasuk dependensi pihak ketiga. Pastikan Anda telah mengamankan API dengan token akses dan gunakan protokol autentikasi yang tepat untuk skenario aplikasi Anda. Pelajari selengkapnya pengujian Penetrasi dan Aturan Pengujian Penetrasi Terpadu Microsoft Cloud. |
| Pengujian A/B | Tayangkan fitur baru Anda dengan sekumpulan kecil pengguna acak sebelum diluncurkan ke seluruh populasi. Dengan JavaScript yang diaktifkan di Azure AD B2C, Anda dapat berintegrasi dengan alat pengujian A/B seperti Optimizely, Clarity, dan lainnya. |
| Uji beban | Azure AD B2C dapat menskalakan, tetapi aplikasi Anda hanya dapat menskalakan jika semua dependensinya dapat menskalakan. Uji beban API dan CDN Anda. Pelajari selengkapnya tentang Ketahanan melalui praktik terbaik pengembang. |
| Pembatasan | Azure AD B2C membatasi lalu lintas jika terlalu banyak permintaan dikirim dari sumber yang sama dalam waktu singkat. Gunakan beberapa sumber lalu lintas saat uji beban, dan tangani kode kesalahan AADB2C90229 dengan teliti di aplikasi Anda. |
| Automation | Gunakan alur integrasi dan pengiriman berkelanjutan (CI/CD) untuk mengotomatiskan pengujian dan penyebaran, misalnya, Azure DevOps. |
Operasional
Mengelola lingkungan Azure AD B2C Anda.
| Praktik terbaik | Deskripsi |
|---|---|
| Membuat beberapa lingkungan | Untuk operasi dan peluncuran penyebaran yang lebih mudah, buat lingkungan terpisah untuk pengembangan, pengujian, pra-produksi, dan produksi. Buat penyewa Azure AD B2C untuk masing-masing penyewa. |
| Gunakan kontrol versi untuk kebijakan kustom Anda | Pertimbangkan untuk menggunakan GitHub, Azure Repos, atau sistem kontrol versi berbasis cloud lainnya untuk kebijakan kustom Azure AD B2C Anda. |
| Menggunakan Microsoft Graph API untuk mengotomatiskan pengelolaan penyewa B2C Anda | Microsoft Graph API: Kelola Kerangka Kerja Pengalaman Identitas (kebijakan kustom) Key Alur Pengguna |
| Berintegrasi dengan Azure DevOps | Alur CI/CD memudahkan pemindahan kode antara lingkungan yang berbeda dan memastikan kesiapan produksi selalu. |
| Menyebarkan kebijakan kustom | Azure AD B2C mengandalkan penembolokan untuk memberikan performa kepada pengguna akhir Anda. Saat Anda menyebarkan kebijakan kustom menggunakan metode apa pun, harapkan penundaan hingga 30 menit bagi pengguna Anda untuk melihat perubahan. Akibat perilaku ini, pertimbangkan praktik berikut saat Anda menyebarkan kebijakan kustom Anda: - Jika Anda menyebarkan ke lingkungan pengembangan, atur DeploymentMode atribut ke Development dalam elemen file <TrustFrameworkPolicy> kebijakan kustom Anda. - Sebarkan file kebijakan yang diperbarui ke lingkungan produksi saat lalu lintas di aplikasi Anda rendah. - Saat Anda menyebarkan ke lingkungan produksi untuk memperbarui file kebijakan yang ada, unggah file yang diperbarui dengan nama baru, lalu perbarui referensi aplikasi Anda ke nama baru. Anda kemudian dapat menghapus file kebijakan lama setelahnya. - Anda dapat mengatur DeploymentMode ke Development di lingkungan produksi untuk melewati perilaku penembolokan. Namun, kami tidak merekomendasikan praktik ini. Jika Anda Mengumpulkan log Azure AD B2C dengan Application Insights, semua klaim yang dikirim ke dan dari penyedia identitas dikumpulkan, yang merupakan risiko keamanan dan performa. |
| Menyebarkan pembaruan pendaftaran aplikasi | Saat Anda mengubah pendaftaran aplikasi di penyewa Azure AD B2C, seperti memperbarui URI pengalihan aplikasi, harapkan penundaan hingga 2 jam (3600s) agar perubahan diterapkan di lingkungan produksi. Sebaiknya ubah pendaftaran aplikasi di lingkungan produksi saat lalu lintas di aplikasi Anda rendah. |
| Berintegrasi dengan Azure Monitor | Peristiwa log audit hanya dipertahankan selama tujuh hari. Integrasikan dengan Azure Monitor untuk mempertahankan log untuk penggunaan jangka panjang, atau integrasikan dengan alat informasi keamanan dan manajemen peristiwa (SIEM) pihak ketiga untuk mendapatkan wawasan tentang lingkungan Anda. |
| Menyetel peringatan dan pemantauan aktif | Lacak perilaku pengguna di Azure AD B2C menggunakan Application Insights. |
Pembaruan Dukungan dan Status
Tetap terbarukan dengan status layanan dan temukan opsi dukungan.
| Praktik terbaik | Deskripsi |
|---|---|
| Pembaruan layanan | Tetap terbarukan dengan pembaruan dan pengumuman produk Azure AD B2C. |
| Dukungan Microsoft | Ajukan permintaan dukungan untuk masalah teknis Azure AD B2C. Dukungan manajemen tagihan dan langganan disediakan tanpa biaya. |
| Status Azure | Tampilkan status kesehatan saat ini dari semua layanan Azure. |