Paket penyebaran Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) adalah solusi manajemen identitas dan akses yang dapat memudahkan integrasi dengan infrastruktur Anda. Gunakan panduan berikut untuk membantu memahami persyaratan dan kepatuhan sepanjang penyebaran Azure AD B2C.
Merencanakan penyebaran Azure AD B2C
Persyaratan
- Menilai alasan utama untuk menonaktifkan sistem
- Untuk aplikasi baru, rencanakan desain sistem Customer Identity Access Management (CIAM)
- Lihat, Perencanaan dan desain
- Mengidentifikasi lokasi pelanggan dan membuat penyewa di pusat data yang sesuai
- Konfirmasikan jenis aplikasi Anda dan teknologi yang didukung:
- Gambaran umum Microsoft Authentication Library (MSAL)
- Kembangkan dengan bahasa, kerangka kerja, database, dan alat sumber terbuka di Azure.
- Untuk layanan back-end, gunakan alur kredensial klien
- Untuk bermigrasi dari Penyedia Identitas (IdP):
- Migrasi mulus
- Pergi ke
user-migration
- Pilih protokol
- Jika Anda menggunakan Kerberos, Microsoft Windows NT LAN Manager (NTLM), dan Federasi Layanan Web (WS-Fed), lihat video, Aplikasi, dan migrasi identitas ke Azure AD B2C
Setelah migrasi, aplikasi Anda dapat mendukung protokol identitas modern seperti Open Authorization (OAuth) 2.0 dan OpenID Connect (OIDC).
Pemangku Kepentingan
Keberhasilan proyek teknologi tergantung pada pengelolaan ekspektasi, hasil, dan tanggung jawab.
- Mengidentifikasi arsitek aplikasi, manajer program teknis, dan pemilik
- Membuat daftar distribusi (DL) untuk berkomunikasi dengan akun Microsoft atau tim teknik
- Ajukan pertanyaan, dapatkan jawaban, dan terima pemberitahuan
- Identifikasi mitra atau sumber daya di luar organisasi Anda untuk mendukung Anda
Pelajari lebih lanjut: Menyertakan pemangku kepentingan yang tepat
Komunikasi
Berkomunikasi secara proaktif dan teratur dengan pengguna Anda tentang perubahan yang tertunda dan saat ini. Beri tahu mereka tentang bagaimana pengalaman berubah, saat berubah, dan berikan kontak untuk dukungan.
Garis waktu
Bantuan menetapkan ekspektasi realistis dan membuat rencana kontingensi untuk memenuhi tonggak penting:
- Tanggal pilot
- Tanggal peluncuran
- Tanggal yang memengaruhi pengiriman
- Dependensi
Menerapkan penyebaran Azure AD B2C
- Menyebarkan aplikasi dan identitas pengguna - Menyebarkan aplikasi klien dan memigrasikan identitas pengguna
- Onboarding dan pengiriman aplikasi klien - Onboarding aplikasi klien dan uji solusinya
- Keamanan - Meningkatkan keamanan solusi identitas
- Kepatuhan - Memenuhi persyaratan peraturan
- Pengalaman pengguna - Mengaktifkan layanan yang mudah digunakan
Menyebarkan autentikasi dan otorisasi
- Sebelum aplikasi Anda berinteraksi dengan Azure AD B2C, daftarkan di penyewa yang Anda kelola
- Untuk otorisasi, gunakan contoh perjalanan pengguna Identity Experience Framework (IEF)
- Menggunakan kontrol berbasis kebijakan untuk lingkungan cloud-native
- Buka untuk
openpolicyagent.org
mempelajari tentang Open Policy Agent (OPA)
- Buka untuk
Pelajari selengkapnya dengan Microsoft Identity PDF, Mendapatkan keahlian dengan Azure AD B2C, kursus untuk pengembang.
Daftar periksa untuk persona, izin, delegasi, dan panggilan
- Mengidentifikasi persona yang mengakses aplikasi Anda
- Tentukan bagaimana Anda mengelola izin dan hak sistem hari ini, dan di masa mendatang
- Konfirmasikan bahwa Anda memiliki penyimpanan izin dan jika ada izin untuk ditambahkan ke direktori
- Menentukan cara Anda mengelola administrasi yang didelegasikan
- Misalnya, manajemen pelanggan pelanggan Anda
- Memverifikasi aplikasi Anda memanggil API Manager (APIM)
- Mungkin ada kebutuhan untuk memanggil dari IdP sebelum aplikasi mengeluarkan token
Menyebarkan aplikasi dan identitas pengguna
Proyek Azure AD B2C dimulai dengan satu atau beberapa aplikasi klien.
- Pengalaman Pendaftaran aplikasi baru untuk Azure Active Directory B2C
- Lihat sampel kode Azure Active Directory B2C untuk implementasi
- Menyiapkan perjalanan pengguna Anda berdasarkan alur pengguna kustom
- Membandingkan alur pengguna dan kebijakan kustom
- Menambahkan idP ke penyewa Azure Active Directory B2C Anda
- Memigrasikan pengguna ke Azure AD B2C
- Azure Active Directory B2C: Perjalanan Pengguna CIAM Kustom untuk skenario tingkat lanjut
Daftar periksa penyebaran aplikasi
- Aplikasi yang disertakan dalam penyebaran CIAM
- Aplikasi yang digunakan
- Misalnya, aplikasi web, API, aplikasi web satu halaman (SPAs), atau aplikasi seluler asli
- Autentikasi yang digunakan:
- Misalnya, formulir yang digabungkan dengan Security Assertion Markup Language (SAML), atau digabungkan dengan OIDC
- Jika OIDC, konfirmasikan jenis respons: kode atau id_token
- Tentukan di mana aplikasi front-end dan back-end dihosting: lokal, cloud, atau hybrid-cloud
- Konfirmasikan platform atau bahasa yang digunakan:
- Misalnya ASP.NET, Java, dan Node.js
- Lihat, Mulai Cepat: Menyiapkan masuk untuk aplikasi ASP.NET menggunakan Azure AD B2C
- Verifikasi di mana atribut pengguna disimpan
- Misalnya, Lightweight Directory Access Protocol (LDAP) atau database
Daftar periksa penyebaran identitas pengguna
- Mengonfirmasi jumlah pengguna yang mengakses aplikasi
- Tentukan jenis IdP yang diperlukan:
- Misalnya, Facebook, akun lokal, dan Layanan Federasi Direktori Aktif (AD FS)
- Lihat, Layanan Federasi Direktori Aktif
- Menguraikan skema klaim yang diperlukan dari aplikasi Anda, Azure AD B2C, dan IdP jika berlaku
- Lihat, ClaimsSchema
- Tentukan informasi yang akan dikumpulkan selama masuk dan mendaftar
Onboarding dan pengiriman aplikasi klien
Gunakan daftar periksa berikut untuk onboarding aplikasi
Daerah | Deskripsi |
---|---|
Grup pengguna target aplikasi | Pilih di antara pelanggan akhir, pelanggan bisnis, atau layanan digital. Tentukan kebutuhan untuk masuk karyawan. |
Nilai bisnis aplikasi | Pahami kebutuhan bisnis atau tujuan untuk menentukan solusi dan integrasi Azure AD B2C terbaik dengan aplikasi klien lainnya. |
Grup identitas Anda | Identitas kluster ke dalam grup dengan persyaratan, seperti business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E), dan business-to-machine (B2M) untuk akun masuk dan layanan perangkat IoT. |
Penyedia Identitas (IdP) | Lihat, Pilih IdP. Misalnya, untuk aplikasi seluler pelanggan-ke-pelanggan (C2C) menggunakan proses masuk yang mudah. B2C dengan layanan digital memiliki persyaratan kepatuhan. Pertimbangkan rincian masuk email. |
Batasan peraturan | Tentukan kebutuhan akan profil jarak jauh atau kebijakan privasi. |
Alur masuk dan pendaftaran | Konfirmasi verifikasi email atau verifikasi email selama pendaftaran. Untuk proses check-out, lihat Cara kerjanya: Autentikasi multifaktor Microsoft Entra. Lihat video migrasi pengguna Azure AD B2C menggunakan Microsoft Graph API. |
Protokol aplikasi dan autentikasi | Terapkan aplikasi klien seperti aplikasi Web, aplikasi satu halaman (SPA), atau asli. Protokol autentikasi untuk aplikasi klien dan Azure AD B2C: OAuth, OIDC, dan SAML. Lihat video Melindungi API Web dengan ID Microsoft Entra. |
Migrasi pengguna | Konfirmasikan apakah Anda akan memigrasikan pengguna ke Azure AD B2C: Migrasi just-in-time (JIT) dan impor/ekspor massal. Lihat strategi migrasi pengguna Azure AD B2C video. |
Gunakan daftar periksa berikut untuk pengiriman.
Daerah | Deskripsi |
---|---|
Informasi protokol | Kumpulkan jalur dasar, kebijakan, dan URL metadata dari kedua varian. Tentukan atribut seperti contoh masuk, ID aplikasi klien, rahasia, dan pengalihan. |
Sampel aplikasi | Lihat, sampel kode Azure Active Directory B2C. |
Pengujian penetrasi | Beri tahu tim operasi Anda tentang pengujian pena, lalu uji alur pengguna termasuk implementasi OAuth. Lihat, Pengujian penetrasi dan Aturan pengujian penetrasi keterlibatan. |
Pengujian unit | Pengujian unit dan hasilkan token. Lihat, platform identitas Microsoft dan Info Masuk Kata Sandi Pemilik Sumber Daya OAuth 2.0. Jika Anda mencapai batas token Azure AD B2C, lihat Azure AD B2C: Permintaan Dukungan File. Gunakan kembali token untuk mengurangi penyelidikan pada infrastruktur Anda. Siapkan alur kredensial kata sandi pemilik sumber daya di Azure Active Directory B2C. Anda tidak boleh menggunakan alur ROPC untuk mengautentikasi pengguna di aplikasi Anda. |
Pengujian beban | Pelajari tentang batas dan batasan layanan Azure AD B2C. Hitung autentikasi dan rincian masuk pengguna yang diharapkan per bulan. Menilai durasi lalu lintas beban tinggi dan alasan bisnis: liburan, migrasi, dan acara. Tentukan tingkat puncak yang diharapkan untuk pendaftaran, lalu lintas, dan distribusi geografis, misalnya per detik. |
Keamanan
Gunakan daftar periksa berikut untuk meningkatkan keamanan aplikasi.
- Metode autentikasi, seperti autentikasi multifaktor:
- Autentikasi multifaktor direkomendasikan untuk pengguna yang memicu transaksi bernilai tinggi atau peristiwa risiko lainnya. Misalnya, proses perbankan, keuangan, dan check-out.
- Lihat, Metode autentikasi dan verifikasi apa yang tersedia di ID Microsoft Entra?
- Mengonfirmasi penggunaan mekanisme anti-bot
- Menilai risiko upaya untuk membuat akun penipuan atau masuk
- Mengonfirmasi postur bersyarat yang diperlukan sebagai bagian dari masuk atau mendaftar
Akses Bersyar dan Perlindungan ID Microsoft Entra
- Perimeter keamanan modern sekarang meluas di luar jaringan organisasi. Perimeter mencakup identitas pengguna dan perangkat.
- Lihat, Apa itu Akses Bersyar?
- Meningkatkan keamanan Azure AD B2C dengan Microsoft Entra ID Protection
Kepatuhan
Untuk membantu mematuhi persyaratan peraturan dan meningkatkan keamanan sistem back-end, Anda dapat menggunakan jaringan virtual (VNet), pembatasan IP, Web Application Firewall, dan sebagainya. Pertimbangkan persyaratan berikut:
- Persyaratan kepatuhan peraturan Anda
- Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)
- Buka pcisecuritystandards.org untuk mempelajari selengkapnya tentang Dewan Standar Keamanan PCI
- Penyimpanan data ke penyimpanan database terpisah
- Tentukan apakah informasi ini tidak dapat ditulis ke dalam direktori
Pengalaman pengguna
Gunakan daftar periksa berikut untuk membantu menentukan persyaratan pengalaman pengguna.
- Mengidentifikasi integrasi untuk memperluas kemampuan CIAM dan membangun pengalaman pengguna akhir yang mulus
- Menggunakan cuplikan layar dan cerita pengguna untuk menampilkan pengalaman pengguna akhir aplikasi
- Misalnya, cuplikan layar masuk, pendaftaran, pendaftaran/masuk (SUSI), pengeditan profil, dan pengaturan ulang kata sandi
- Cari petunjuk yang diteruskan dengan menggunakan parameter string kueri dalam solusi CIAM Anda
- Untuk penyesuaian pengalaman pengguna yang tinggi, pertimbangkan untuk menggunakan pengembang front-end
- Di Azure AD B2C, Anda dapat menyesuaikan HTML dan CSS
- Terapkan pengalaman yang disematkan dengan menggunakan dukungan iframe:
- Lihat, Pengalaman pendaftaran atau masuk yang disematkan
- Untuk aplikasi satu halaman, gunakan halaman HTML masuk kedua yang dimuat ke
<iframe>
dalam elemen
Pemantauan audit, dan pengelogan
Gunakan daftar periksa berikut untuk pemantauan, audit, dan pengelogan.
- Pemantauan
- Audit dan pengelogan
Sumber daya
- Mendaftarkan aplikasi Microsoft Graph
- Mengelola Azure AD B2C dengan Microsoft Graph
- Menyebarkan kebijakan kustom dengan Azure Pipelines
- Mengelola kebijakan kustom Azure AD B2C dengan Azure PowerShell
Langkah berikutnya
Rekomendasi dan praktik terbaik untuk Azure Active Directory B2C