Tutorial: Mengonfigurasi Azure Active Directory B2C dengan BlokSec untuk autentikasi tanpa kata sandi

Penting

Berlaku mulai 1 Mei 2025, Azure AD B2C tidak akan lagi tersedia untuk dibeli untuk pelanggan baru. Pelajari lebih lanjut di FAQ kami.

Sebelum Anda mulai

Azure Active Directory B2C memiliki dua metode untuk menentukan interaksi pengguna dengan aplikasi: alur pengguna yang telah ditentukan sebelumnya atau kebijakan kustom yang dapat dikonfigurasi.

Nota

Di Azure Active Directory B2C, kebijakan kustom terutama mengatasi skenario yang kompleks. Untuk sebagian besar skenario, kami merekomendasikan alur pengguna bawaan.
Lihat, Alur pengguna dan gambaran umum kebijakan kustom

Azure AD B2C dan BlokSec

Pelajari cara mengintegrasikan autentikasi Azure Active Directory B2C (Azure AD B2C) dengan BlokSec Decentralized Identity Router. Solusi BlokSec menyederhanakan masuk pengguna dengan autentikasi tanpa kata sandi dan autentikasi multifaktor tanpa token. Solusi ini melindungi pelanggan dari serangan terkait identitas seperti pengisian kata sandi, phishing, dan man-in-the-middle.

Untuk mempelajari lebih lanjut, buka bloksec.com: BlokSec Technologies Inc.

Deskripsi skenario

Integrasi BlokSec mencakup komponen-komponen berikut:

• Azure AD B2C – server otorisasi dan IdP untuk aplikasi B2C
• BlokSec Decentralized Identity Router – gateway untuk layanan yang menerapkan BlokSec DIaaS untuk merutekan permintaan autentikasi dan otorisasi ke aplikasi Penyedia Identitas Pribadi (PIdP) pengguna
  • Ini adalah penyedia identitas OpenID Connect (OIDC) di Azure AD B2C
• Aplikasi seluler berbasis BlokSec SDK – pengguna menggunakan PIdP dalam skenario autentikasi terdesentralisasi.
  • Jika Anda tidak menggunakan BlokSec SDK, buka Google Play untuk blokSec yuID gratis

Diagram arsitektur berikut mengilustrasikan alur pendaftaran dan masuk dalam implementasi solusi BlokSec.

1. Pengguna masuk ke aplikasi Azure AD B2C dan diteruskan ke kebijakan masuk dan pendaftaran Azure AD B2C
2. Azure AD B2C mengalihkan pengguna ke router identitas terdesentralisasi BlokSec menggunakan alur kode otorisasi OIDC.
3. Router BlokSec mengirimkan pemberitahuan push ke aplikasi seluler pengguna dengan detail permintaan autentikasi dan otorisasi.
4. Pengguna meninjau tantangan autentikasi. Pengguna yang diterima diminta untuk biometri seperti sidik jari atau pemindaian wajah.
5. Respons ditandatangani secara digital dengan kunci digital unik pengguna. Respons autentikasi memberikan bukti kepemilikan, kehadiran, dan persetujuan. Respons kembali ke router.
6. Router memverifikasi tanda tangan digital terhadap kunci publik unik pengguna yang tidak dapat diubah yang disimpan dalam ledger terdistribusi. Router membalas Azure AD B2C dengan hasil autentikasi.
7. Pengguna diberikan atau ditolak aksesnya.

Aktifkan BlokSec

1. Buka bloksec.com dan pilih Minta demo dari penyewa.
2. Di bidang pesan, tunjukkan bahwa Anda ingin berintegrasi dengan Azure AD B2C.
3. Unduh dan instal aplikasi seluler BlokSec yuID gratis.
4. Setelah penyewa demo disiapkan, email pun tiba.
5. Di perangkat seluler dengan aplikasi BlokSec, pilih tautan untuk mendaftarkan akun admin Anda dengan aplikasi yuID Anda.

Prasyarat

Untuk memulai, Anda memerlukan:

• Langganan Azure
  • Jika Anda tidak memilikinya, dapatkan akun Azfree
• Tenant Azure AD B2C yang ditautkan ke langganan Azure
• BlokSec Demo
• Mendaftarkan aplikasi web
  • Tutorial: Mendaftarkan aplikasi web di Azure AD B2C

Lihat juga, Tutorial: Membuat alur pengguna dan kebijakan kustom di Azure AD B2C

Membuat pendaftaran aplikasi di BlokSec

Di email pendaftaran akun dari BlokSec, temukan tautan ke konsol admin BlokSec.

1. Masuk ke konsol admin BlokSec.
2. Pada dasbor utama, pilih Tambahkan Aplikasi > Buat Kustom.
3. Untuk Nama, masukkan Azure AD B2C atau nama aplikasi.
4. Untuk jenis SSO, pilih OIDC.
5. Untuk Logo URI, masukkan tautan ke gambar logo.
6. Untuk URI Pengalihan, gunakan https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Contohnya, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Untuk domain kustom, masukkan https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
7. Untuk URI pengalihan setelah log out, masukkan https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout.
8. Pilih aplikasi Azure AD B2C yang dibuat untuk membuka konfigurasi aplikasi.
9. Pilih Buat Rahasia Aplikasi.

Pelajari selengkapnya: Mengirim permintaan keluar.

Nota

Anda memerlukan ID aplikasi dan rahasia aplikasi untuk mengonfigurasi penyedia identitas (IdP) di Azure AD B2C.

Tambahkan penyedia identitas baru di Azure AD B2C

Untuk instruksi berikut, gunakan direktori yang berisi penyewa Azure AD B2C Anda.

1. Masuk ke portal Azure sebagai setidaknya Administrator Kebijakan IEF B2C dari penyewa Azure AD B2C Anda.
2. Di toolbar portal, pilih Direktori + langganan.
3. Pada halaman Pengaturan portal, Direktori + langganan , di daftar Nama direktori , temukan direktori Azure AD B2C Anda.
4. Pilih Beralih.
5. Di sudut kiri atas portal Microsoft Azure, pilih Semua layanan.
6. Cari dan pilih Azure AD B2C.
7. Arahkan ke Dasbor>Azure Active Directory B2C>Penyedia Identitas.
8. Pilih Penyedia OpenID Connect Baru.
9. Pilih Tambahkan.

Mengonfigurasi penyedia identitas

1. Pilih Jenis > penyedia identitas OpenID Connect
2. Untuk Nama, masukkan BlokSec yuID Passwordless atau nama lain.
3. Untuk URL Metadata, masukkan https://api.bloksec.io/oidc/.well-known/openid-configuration.
4. Untuk IDV Klien, masukkan ID aplikasi dari antarmuka pengguna admin BlokSec.
5. Untuk Rahasia Klien, masukkan Rahasia aplikasi dari antarmuka pengguna admin BlokSec.
6. Untuk Cakupan, pilih Profil email OpenID.
7. Untuk Jenis respons, pilih Kode.
8. Untuk Petunjuk domain, pilih yuID.
9. Pilih OK.
10. Pilih Petakan atribut penyedia identitas ini.
11. Untuk ID Pengguna, pilih sub.
12. Untuk Nama tampilan, pilih nama.
13. Untuk Nama yang diberikan, gunakan given_name.
14. Untuk Nama Keluarga, gunakan family_name.
15. Untuk Email, gunakan email.
16. Pilih Simpan.

Pendaftaran pengguna

1. Masuk ke konsol admin BlokSec dengan kredensial yang disediakan.
2. Navigasi ke aplikasi Azure AD B2C yang dibuat sebelumnya.
3. Di kanan atas, pilih ikon roda gigi .
4. Pilih Buat Akun.
5. Di Buat Akun, masukkan informasi pengguna. Perhatikan Nama Akun.
6. Pilih Kirim.

Pengguna menerima email pendaftaran akun di alamat email yang disediakan. Instruksikan pengguna untuk memilih tautan pendaftaran di perangkat seluler dengan aplikasi BlokSec yuID.

Membuat kebijakan alur pengguna

Untuk instruksi berikut, pastikan BlokSec adalah penyedia identitas OIDC baru.

1. Di penyewa Azure AD B2C Anda, di bawah Kebijakan, pilih Alur pengguna.
2. Pilih Alur pengguna baru.
3. Pilih Daftar dan masuk>Versi>Buat.
4. Masukkan nama untuk Kebijakan.
5. Di bagian Penyedia Identitas, pilih IdP BlokSec yang dibuat.
6. Untuk Akun Lokal, pilih Tidak Ada. Tindakan ini menonaktifkan autentikasi berbasis email dan kata sandi.
7. Pilih Jalankan alur pengguna
8. Dalam formulir, masukkan URL Balasan, seperti https://jwt.ms.
9. Browser dialihkan ke halaman masuk BlokSec.
10. Masukkan nama akun dari pendaftaran pengguna.
11. Pengguna menerima pemberitahuan push di perangkat seluler dengan aplikasi BlokSec yuID.
12. Pengguna membuka pemberitahuan, dan tantangan autentikasi muncul.
13. Jika autentikasi diterima, browser akan mengalihkan pengguna ke URL balasan.

Nota

Di Azure Active Directory B2C, kebijakan kustom terutama mengatasi skenario yang kompleks. Untuk sebagian besar skenario, kami merekomendasikan alur pengguna bawaan.
Lihat, Alur pengguna dan gambaran umum kebijakan kustom

Membuat kunci kebijakan

Simpan rahasia klien yang telah Anda catat di dalam penyewa Azure AD B2C Anda. Untuk instruksi berikut, gunakan direktori dengan tenant Azure AD B2C Anda.

1. Masuk ke portal Azure.
2. Di toolbar portal, pilih Direktori + langganan.
3. Pada halaman Pengaturan portal, Direktori + langganan , di daftar Nama direktori , temukan direktori Azure AD B2C Anda.
4. Pilih Beralih.
5. Di sudut kiri atas portal Microsoft Azure, pilih Semua layanan
6. Cari dan pilih Azure AD B2C.
7. Pada halaman Gambaran Umum , pilih Kerangka Kerja Pengalaman Identitas.
8. Pilih Kunci Kebijakan.
9. Pilih Tambahkan.
10. Untuk Opsi, pilih Manual.
11. Masukkan Nama kebijakan sebagai kunci kebijakan. Contohnya, BlokSecAppSecret. Awalan B2C_1A_ ditambahkan ke nama kunci.
12. Di Rahasia, masukkan rahasia klien yang Anda catat.
13. Untuk Penggunaan kunci, pilih Tanda Tangan.
14. Pilih Buat.

Mengonfigurasi BlokSec sebagai penyedia identitas

Untuk memungkinkan pengguna masuk menggunakan identitas terdesentralisasi BlokSec, tentukan BlokSec sebagai penyedia klaim. Tindakan ini memastikan Azure AD B2C berkomunikasi dengan entitas tersebut melalui sebuah titik akhir. Azure AD B2C menggunakan klaim titik akhir untuk memverifikasi pengguna mengautentikasi identitas dengan menggunakan biometri, seperti sidik jari atau pemindaian wajah.

Untuk menentukan BlokSec sebagai penyedia klaim, tambahkan ke elemen ClaimsProvider dalam file ekstensi kebijakan.

1. Buka TrustFrameworkExtensions.xml.

2. Temukan elemen ClaimsProviders . Jika elemen tidak muncul, tambahkan di bawah elemen akar.

3. Untuk menambahkan ClaimsProvider baru:

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Atur client_id ke ID aplikasi dari pendaftaran aplikasi.

5. Pilih Simpan.

Menambahkan perjalanan pengguna

Gunakan instruksi berikut jika Penyedia Identitas disiapkan, tetapi tidak di halaman masuk apa pun. Jika Anda tidak memiliki perjalanan pengguna kustom, salin perjalanan pengguna templat.

1. Dari paket pemula, buka file TrustFrameworkBase.xml.
2. Temukan dan salin konten elemen UserJourneys yang menyertakan ID=SignUpOrSignIn.
3. Buka TrustFrameworkExtensions.xml.
4. Temukan elemen UserJourneys . Jika elemen tidak muncul, tambahkan elemen tersebut.
5. Tempelkan konten elemen UserJourney yang Anda salin sebagai anak dari elemen UserJourneys .
6. Ganti nama ID perjalanan pengguna. Misalnya, ID=CustomSignUpSignIn.

Menambahkan Penyedia Identitas ke alur pengguna

Jika Anda memiliki alur pengguna, tambahkan penyedia identitas baru ke dalamnya. Pertama tambahkan tombol masuk, lalu tautkan ke tindakan, yaitu profil teknis yang Anda buat.

1. Dalam perjalanan pengguna, temukan elemen langkah orkestrasi yang menyertakan Type=CombinedSignInAndSignUp, atau Type=ClaimsProviderSelection. Biasanya ini adalah langkah orkestrasi pertama. Elemen ClaimsProviderSelections berisi daftar penyedia identitas untuk masuk pengguna. Urutan elemen mengontrol urutan tombol masuk yang dilihat pengguna.
2. Tambahkan elemen XML ClaimsProviderSelection .
3. Atur nilai TargetClaimsExchangeId ke nama yang mudah diingat.
4. Pada langkah orkestrasi berikutnya, tambahkan elemen ClaimsExchange .
5. Atur Id ke nilai ID pertukaran klaim target.
6. Perbarui nilai TechnicalProfileReferenceId ke ID profil teknis yang Anda buat.

XML berikut menunjukkan dua langkah orkestrasi perjalanan pengguna pertama dengan Penyedia Identitas:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Mengonfigurasi kebijakan pihak terandal

Kebijakan pihak yang mengandalkan, misalnya SignUpSignIn.xml, menentukan perjalanan pengguna yang dijalankan Azure AD B2C.

1. Temukan elemen DefaultUserJourney pada relying party.
2. Perbarui ReferenceId agar sesuai dengan ID perjalanan pengguna, di mana Anda menambahkan penyedia identitas.

Dalam contoh berikut, untuk jalur pengguna CustomSignUpOrSignIn, ReferenceId diatur ke CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Mengunggah kebijakan kustom

Untuk instruksi berikut, gunakan direktori dengan tenant Azure AD B2C Anda.

1. Masuk ke portal Azure.
2. Di toolbar portal, pilih Direktori + langganan.
3. Pada halaman Pengaturan portal, Direktori + langganan , di daftar Nama direktori , temukan direktori Azure AD B2C Anda
4. Pilih Beralih.
5. Di portal Microsoft Azure, cari dan pilih AAD B2C.
6. Di bawah Kebijakan, pilih Kerangka Kerja Pengalaman Identitas.
7. Pilih Unggah Kebijakan Kustom.
8. Unggah dua file kebijakan yang Anda ubah dalam urutan berikut:

• Kebijakan ekstensi, misalnya TrustFrameworkExtensions.xml
• Mengandalkan kebijakan pihak, seperti SignUpSignIn.xml

Menguji kebijakan khusus

1. Pilih kebijakan pihak kepercayaan Anda, misalnya B2C_1A_signup_signin.
2. Untuk Aplikasi, pilih aplikasi web yang Anda daftarkan.
3. URL Balasan muncul sebagai https://jwt.ms.
4. Pilih Jalankan sekarang.
5. Dari halaman pendaftaran atau masuk, pilih Google untuk masuk dengan akun Google.
6. Browser dialihkan ke https://jwt.ms. Lihat konten token yang dikembalikan oleh Azure AD B2C.

Pelajari selengkapnya: Tutorial: Mendaftarkan aplikasi web di Azure Active Directory B2C

Langkah selanjutnya

• Gambaran umum kebijakan kustom Azure AD B2C
• Tutorial: Membuat alur pengguna dan kebijakan kustom di Azure AD B2C