Rencana penyebaran Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) adalah solusi manajemen identitas dan akses yang dapat memudahkan integrasi dengan infrastruktur Anda. Gunakan panduan berikut untuk membantu memahami persyaratan dan kepatuhan sepanjang penyebaran Azure AD B2C.

Merencanakan penyebaran Azure AD B2C

Persyaratan

• Menilai alasan utama untuk menonaktifkan sistem
  • Lihat, Apa itu Azure Active Directory B2C?
• Untuk aplikasi baru, rencanakan desain sistem Customer Identity Access Management (CIAM)
  • Lihat, Perencanaan dan desain
• Mengidentifikasi lokasi pelanggan dan membuat penyewa di pusat data yang sesuai
  • Lihat, Tutorial: Membuat penyewa Azure Active Directory B2C
• Konfirmasikan jenis aplikasi Anda dan teknologi yang didukung:
  • Gambaran umum Microsoft Authentication Library (MSAL)
  • Kembangkan dengan bahasa, kerangka kerja, database, dan alat sumber terbuka di Azure.
  • Untuk layanan back-end, gunakan alur kredensial klien
• Untuk bermigrasi dari Penyedia Identitas (IdP):
  • Migrasi mulus
  • Buka user-migration
• Pilih protokol
  • Jika Anda menggunakan Kerberos, Microsoft Windows NT LAN Manager (NTLM), dan Federasi Layanan Web (WS-Fed), lihat video, Aplikasi, dan migrasi identitas ke Azure AD B2C

Setelah migrasi, aplikasi Anda dapat mendukung protokol identitas modern seperti Open Authorization (OAuth) 2.0 dan OpenID Koneksi (OIDC).

Pemangku kepentingan

Keberhasilan proyek teknologi tergantung pada pengelolaan ekspektasi, hasil, dan tanggung jawab.

• Mengidentifikasi arsitek aplikasi, manajer program teknis, dan pemilik
• Membuat daftar distribusi (DL) untuk berkomunikasi dengan akun Microsoft atau tim teknik
  • Ajukan pertanyaan, dapatkan jawaban, dan terima pemberitahuan
• Identifikasi mitra atau sumber daya di luar organisasi Anda untuk mendukung Anda

Pelajari lebih lanjut: Menyertakan pemangku kepentingan yang tepat

Komunikasi

Berkomunikasi secara proaktif dan teratur dengan pengguna Anda tentang perubahan yang tertunda dan saat ini. Beri tahu mereka tentang bagaimana pengalaman berubah, saat berubah, dan berikan kontak untuk dukungan.

Garis waktu

Bantuan menetapkan ekspektasi realistis dan membuat rencana kontingensi untuk memenuhi tonggak penting:

• Tanggal pilot
• Tanggal peluncuran
• Tanggal yang memengaruhi pengiriman
• Dependensi

Rencanakan penyebaran Azure AD B2C

• Menyebarkan aplikasi dan identitas pengguna - Menyebarkan aplikasi klien dan memigrasikan identitas pengguna
• Onboarding dan pengiriman aplikasi klien - Onboarding aplikasi klien dan uji solusinya
• Keamanan - Meningkatkan keamanan solusi identitas
• Kepatuhan - Memenuhi persyaratan peraturan
• Pengalaman pengguna - Mengaktifkan layanan yang mudah digunakan

Autentikasi dan Otorisasi

• Sebelum aplikasi Anda berinteraksi dengan Azure AD B2C, daftarkan di penyewa yang Anda kelola
  • Lihat, Tutorial: Membuat penyewa Azure Active Directory B2C
• Untuk otorisasi, gunakan contoh perjalanan pengguna Identity Experience Framework (IEF)
  • Lihat, Azure Active Directory B2C: Perjalanan Pengguna CIAM Kustom
• Menggunakan kontrol berbasis kebijakan untuk lingkungan cloud-native
  • Buka openpolicyagent.org untuk mempelajari tentang Open Policy Agent (OPA)

Pelajari selengkapnya dengan Microsoft Identity PDF, Mendapatkan keahlian dengan Azure AD B2C, kursus untuk pengembang.

Daftar periksa untuk persona, izin, delegasi, dan panggilan

• Mengidentifikasi persona yang mengakses aplikasi Anda
• Tentukan bagaimana Anda mengelola izin dan hak sistem hari ini, dan di masa mendatang
• Konfirmasikan bahwa Anda memiliki penyimpanan izin dan jika ada izin untuk ditambahkan ke direktori
• Menentukan cara Anda mengelola administrasi yang didelegasikan
  • Misalnya, manajemen pelanggan pelanggan Anda
• Memverifikasi aplikasi Anda memanggil API Manager (APIM)
  • Mungkin ada kebutuhan untuk memanggil dari IdP sebelum aplikasi mengeluarkan token

Menerapkan aplikasi dan identitas pengguna

Proyek Azure AD B2C dimulai dengan satu atau beberapa aplikasi klien.

• Pengalaman Pendaftaran aplikasi baru untuk Azure Active Directory B2C
  • Lihat sampel kode Azure Active Directory B2C untuk implementasi
• Menyiapkan perjalanan pengguna Anda berdasarkan alur pengguna kustom
  • Membandingkan alur pengguna dan kebijakan kustom
  • Menambahkan idP ke penyewa Azure Active Directory B2C Anda
  • Memigrasikan pengguna ke Azure AD B2C
  • Azure Active Directory B2C: Perjalanan Pengguna CIAM Kustom untuk skenario tingkat lanjut

Daftar periksa penyebaran aplikasi

• Aplikasi yang disertakan dalam penyebaran CIAM
• Aplikasi yang digunakan
  • Misalnya, aplikasi web, API, aplikasi web satu halaman (SPAs), atau aplikasi seluler asli
• Autentikasi yang digunakan:
  • Misalnya, formulir yang digabungkan dengan Security Assertion Markup Language (SAML), atau digabungkan dengan OIDC
  • Jika OIDC, konfirmasikan jenis respons: kode atau id_token
• Tentukan di mana aplikasi front-end dan back-end dihosting: lokal, cloud, atau hybrid-cloud
• Konfirmasikan platform atau bahasa yang digunakan:
  • Misalnya ASP.NET, Java, dan Node.js
  • Lihat, Mulai Cepat: Menyiapkan masuk untuk aplikasi ASP.NET menggunakan Azure AD B2C
• Verifikasi di mana atribut pengguna disimpan
  • Misalnya, Lightweight Directory Access Protocol (LDAP) atau database

Daftar periksa penyebaran identitas pengguna

• Mengonfirmasi jumlah pengguna yang mengakses aplikasi
• Tentukan jenis IdP yang diperlukan:
  • Misalnya, Facebook, akun lokal, dan Layanan Federasi Direktori Aktif (AD FS)
  • Lihat, Layanan Federasi Direktori Aktif
• Menguraikan skema klaim yang diperlukan dari aplikasi Anda, Azure AD B2C, dan IdP jika berlaku
  • Lihat, ClaimsSchema
• Tentukan informasi yang akan dikumpulkan selama masuk dan mendaftar
  • Menyiapkan alur pendaftaran dan masuk di Azure Active Directory B2C

Onboarding dan kiriman aplikasi klien

Gunakan daftar periksa berikut untuk onboarding aplikasi

Area	Deskripsi
Grup pengguna target aplikasi	Pilih di antara pelanggan akhir, pelanggan bisnis, atau layanan digital. Tentukan kebutuhan untuk masuk karyawan.
Nilai bisnis aplikasi	Pahami kebutuhan bisnis atau tujuan untuk menentukan solusi dan integrasi Azure AD B2C terbaik dengan aplikasi klien lainnya.
Grup identitas Anda	Identitas kluster ke dalam grup dengan persyaratan, seperti business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E), dan business-to-machine (B2M) untuk akun masuk dan layanan perangkat IoT.
Penyedia identitas (IdP)	Lihat, Pilih IdP. Misalnya, untuk aplikasi seluler pelanggan-ke-pelanggan (C2C) menggunakan proses masuk yang mudah. B2C dengan layanan digital memiliki persyaratan kepatuhan. Pertimbangkan rincian masuk email.
Batasan peraturan	Tentukan kebutuhan akan profil jarak jauh atau kebijakan privasi.
Alur masuk dan pendaftaran	Konfirmasi verifikasi email atau verifikasi email selama pendaftaran. Untuk proses check-out, lihat Cara kerjanya: Autentikasi multifaktor Microsoft Entra. Lihat video migrasi pengguna Azure AD B2C menggunakan Microsoft Graph API.
Protokol aplikasi dan autentikasi	Terapkan aplikasi klien seperti aplikasi Web, aplikasi satu halaman (SPA), atau asli. Protokol autentikasi untuk aplikasi klien dan Azure AD B2C: OAuth, OIDC, dan SAML. Lihat video Melindungi API Web dengan ID Microsoft Entra.
Migrasi pengguna	Konfirmasikan apakah Anda akan memigrasikan pengguna ke Azure AD B2C: Migrasi just-in-time (JIT) dan impor/ekspor massal. Lihat strategi migrasi pengguna Azure AD B2C video.

Gunakan daftar periksa berikut untuk pengiriman.

Area	Deskripsi
Informasi protokol	Kumpulkan jalur dasar, kebijakan, dan URL metadata dari kedua varian. Tentukan atribut seperti contoh masuk, ID aplikasi klien, rahasia, dan pengalihan.
Sampel aplikasi	Lihat, sampel kode Azure Active Directory B2C.
Uji penetrasi	Beri tahu tim operasi Anda tentang pengujian pena, lalu uji alur pengguna termasuk implementasi OAuth. Lihat, Pengujian penetrasi dan Aturan pengujian penetrasi keterlibatan.
Pengujian Unit	Pengujian unit dan hasilkan token. Lihat, platform identitas Microsoft dan Info Masuk Kata Sandi Pemilik Sumber Daya OAuth 2.0. Jika Anda mencapai batas token Azure AD B2C, lihat Azure AD B2C: Permintaan Dukungan File. Gunakan kembali token untuk mengurangi penyelidikan pada infrastruktur Anda. Siapkan alur kredensial kata sandi pemilik sumber daya di Azure Active Directory B2C.
Uji beban	Pelajari tentang batas dan batasan layanan Azure AD B2C. Hitung autentikasi dan rincian masuk pengguna yang diharapkan per bulan. Menilai durasi lalu lintas beban tinggi dan alasan bisnis: liburan, migrasi, dan acara. Tentukan tingkat puncak yang diharapkan untuk pendaftaran, lalu lintas, dan distribusi geografis, misalnya per detik.

Keamanan

Gunakan daftar periksa berikut untuk meningkatkan keamanan aplikasi.

• Metode autentikasi, seperti autentikasi multifaktor:
  • Autentikasi multifaktor direkomendasikan untuk pengguna yang memicu transaksi bernilai tinggi atau peristiwa risiko lainnya. Misalnya, proses perbankan, keuangan, dan check-out.
  • Lihat, Metode autentikasi dan verifikasi apa yang tersedia di ID Microsoft Entra?
• Mengonfirmasi penggunaan mekanisme anti-bot
• Menilai risiko upaya untuk membuat akun penipuan atau masuk
  • Lihat, Tutorial: Mengonfigurasi Perlindungan Penipuan Microsoft Dynamics 365 dengan Azure Active Directory B2C
• Mengonfirmasi postur bersyarat yang diperlukan sebagai bagian dari masuk atau mendaftar

Akses Bersyar dan perlindungan identitas

• Perimeter keamanan modern sekarang meluas di luar jaringan organisasi. Perimeter mencakup identitas pengguna dan perangkat.
  • Lihat, Apa itu Akses Bersyar?
• Meningkatkan keamanan Azure AD B2C dengan Microsoft Entra ID Protection
  • Lihat, Perlindungan Identitas dan Akses Bersyarkat di Azure AD B2C

Kepatuhan

Untuk membantu mematuhi persyaratan peraturan dan meningkatkan keamanan sistem back-end, Anda dapat menggunakan jaringan virtual (VNet), pembatasan IP, Web Application Firewall, dan sebagainya. Pertimbangkan persyaratan berikut:

• Persyaratan kepatuhan peraturan Anda
  • Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)
  • Buka pcisecuritystandards.org untuk mempelajari selengkapnya tentang Dewan Standar Keamanan PCI
• Penyimpanan data ke penyimpanan database terpisah
  • Tentukan apakah informasi ini tidak dapat ditulis ke dalam direktori

Pengalaman pengguna

Gunakan daftar periksa berikut untuk membantu menentukan persyaratan pengalaman pengguna.

• Mengidentifikasi integrasi untuk memperluas kemampuan CIAM dan membangun pengalaman pengguna akhir yang mulus
  • Mitra vendor perangkat lunak independen (ISV) Azure Active Directory B2C
• Menggunakan cuplikan layar dan cerita pengguna untuk menampilkan pengalaman pengguna akhir aplikasi
  • Misalnya, cuplikan layar masuk, pendaftaran, pendaftaran/masuk (SUSI), pengeditan profil, dan pengaturan ulang kata sandi
• Cari petunjuk yang diteruskan dengan menggunakan parameter string kueri dalam solusi CIAM Anda
• Untuk penyesuaian pengalaman pengguna yang tinggi, pertimbangkan untuk menggunakan pengembang front-end
• Di Azure AD B2C, Anda dapat menyesuaikan HTML dan CSS
  • Lihat, Panduan untuk menggunakan JavaScript
• Terapkan pengalaman yang disematkan dengan menggunakan dukungan iframe:
  • Lihat, Pengalaman pendaftaran atau masuk yang disematkan
  • Untuk aplikasi satu halaman, gunakan halaman HTML masuk kedua yang dimuat ke <iframe> dalam elemen

Pemantauan audit, dan pengelogan

Gunakan daftar periksa berikut untuk pemantauan, audit, dan pengelogan.

• Pemantauan
  • Memantau AAD B2C dengan Azure Monitor
  • Lihat video Memantau dan melaporkan Azure AD B2C menggunakan Azure Monitor
• Audit dan pengelogan
  • Mengakses log audit Azure AD B2C

Sumber

• Mendaftarkan aplikasi Microsoft Graph
• Mengelola AAD B2C dengan Microsoft Graph
• Menyebarkan kebijakan kustom dengan Azure Pipelines
• Mengelola kebijakan kustom Azure AD B2C dengan Azure PowerShell

Langkah berikutnya

Rekomendasi dan praktik terbaik untuk Azure Active Directory B2C