Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Le procedure consigliate e le raccomandazioni seguenti illustrano alcuni degli aspetti principali dell'integrazione di Azure Active Directory (Azure AD) B2C in ambienti applicazioni nuovi o esistenti.
Nozioni fondamentali
| Procedura consigliata | Descrizione |
|---|---|
| Creare un account di accesso di emergenza | Questo account di accesso di emergenza consente di ottenere l'accesso al tenant di Azure AD B2C in circostanze come l'unico amministratore non raggiungibile quando sono necessarie le credenziali. Informazioni su come creare un account di accesso di emergenza |
| Scegliere i flussi utente per la maggior parte degli scenari | Il framework dell'esperienza di gestione delle identità di Azure AD B2C è il punto di forza principale del servizio. I criteri descrivono completamente le esperienze di identità, ad esempio l'iscrizione, l'accesso o la modifica del profilo. Per configurare le attività di identità più comuni, il portale di Azure AD B2C include criteri predefiniti configurabili denominati flussi utente. Con i flussi utente, è possibile creare esperienze utente eccezionali in pochi minuti, con pochi clic. Informazioni su quando usare i flussi utente e i criteri personalizzati. |
| Registrazioni app | Ogni applicazione (Web, nativa) e l'API protetta devono essere registrate in Azure AD B2C. Se un'app ha sia una versione Web che quella nativa di iOS e Android, è possibile registrarle come un'unica applicazione in Azure AD B2C con lo stesso ID client. Scopri come registrare app OIDC, SAML, web e native. Altre informazioni sui tipi di applicazione che possono essere usati in Azure AD B2C. |
| Passare alla fatturazione mensile degli utenti attivi | Azure AD B2C è passato dalle autenticazioni attive mensili alla fatturazione mensile degli utenti attivi (MAU). La maggior parte dei clienti troverà questo modello conveniente. Altre informazioni sulla fatturazione mensile degli utenti attivi. |
| Seguire le procedure consigliate per la sicurezza | Esistono minacce e attacchi continui e in continua evoluzione e, come tutte le risorse di proprietà, la distribuzione di Azure AD B2C deve seguire le procedure consigliate per la sicurezza, incluse indicazioni sull'implementazione di WAF (difesa da minacce come DDOS e bot) e altre linee guida dettagliate sull'architettura di sicurezza B2C. |
Pianificazione e progettazione
Definire l'architettura dell'applicazione e del servizio, i sistemi correnti di inventario e pianificare la migrazione ad Azure AD B2C.
| Procedura consigliata | Descrizione |
|---|---|
| Progettare una soluzione end-to-end | Includere tutte le dipendenze delle applicazioni durante la pianificazione di un'integrazione di Azure AD B2C. Prendere in considerazione tutti i servizi e i prodotti attualmente presenti nell'ambiente o che potrebbero dover essere aggiunti alla soluzione (ad esempio, Funzioni di Azure, sistemi CRM (Customer Relationship Management), Gateway di Gestione API di Azure e servizi di archiviazione. Prendere in considerazione la sicurezza e la scalabilità per tutti i servizi. |
| Documentare le esperienze degli utenti | Dettaglia tutti i percorsi utente che i clienti possono sperimentare nell'applicazione. Includere ogni schermata e qualsiasi flusso di diramazione che potrebbero verificarsi durante l'interazione con gli aspetti relativi all'identità e al profilo dell'applicazione. Includere usabilità, accessibilità e localizzazione nella pianificazione. |
| Scegliere il protocollo di autenticazione corretto | Per una suddivisione dei diversi scenari di applicazione e dei relativi flussi di autenticazione consigliati, vedere Scenari e flussi di autenticazione supportati. |
| Pilotare un proof-of-concept (POC) per l'esperienza utente end-to-end | Iniziare con gli esempi di codice Microsoft e gli esempi della community. |
| Creare un piano di migrazione | La pianificazione in anticipo può rendere la migrazione più fluida. Altre informazioni sulla migrazione degli utenti. |
| Usabilità e sicurezza | La soluzione deve raggiungere il giusto equilibrio tra l'usabilità delle applicazioni e il livello di rischio accettabile dell'organizzazione. |
| Spostare le dipendenze locali nel cloud | Per garantire una soluzione resiliente, è consigliabile spostare le dipendenze dell'applicazione esistenti nel cloud. |
| Eseguire la migrazione di app esistenti a b2clogin.com | La deprecazione di login.microsoftonline.com diventerà effettiva per tutti i tenant di Azure AD B2C il 04 dicembre 2020. Altre informazioni. |
| Usare Protezione dell'identità e l'accesso condizionale | Usare queste funzionalità per un maggiore controllo sulle autenticazioni rischiose e sui criteri di accesso. È necessario Azure AD B2C Premium P2. Altre informazioni. |
| Dimensioni del tenant | È necessario pianificare tenendo a mente le dimensioni del tenant di Azure AD B2C. Per impostazione predefinita, il tenant di Azure AD B2C può contenere 1,25 milioni di oggetti (account utente e applicazioni). È possibile aumentare questo limite a 5,25 milioni di oggetti aggiungendo un dominio personalizzato al tenant e verificandolo. Se sono necessarie dimensioni maggiori del tenant, è necessario contattare il supporto tecnico. |
Implementazione
Durante la fase di implementazione, prendere in considerazione le raccomandazioni seguenti.
| Procedura consigliata | Descrizione |
|---|---|
| Modificare criteri personalizzati con l'estensione Azure AD B2C per Visual Studio Code | Scaricare Visual Studio Code e questa estensione compilata dalla community da Visual Studio Code Marketplace. Anche se non è un prodotto Microsoft ufficiale, l'estensione Azure AD B2C per Visual Studio Code include diverse funzionalità che semplificano l'uso dei criteri personalizzati. |
| Informazioni su come risolvere i problemi di Azure AD B2C | Informazioni su come risolvere i problemi relativi ai criteri personalizzati durante lo sviluppo. Informazioni sull'aspetto di un normale flusso di autenticazione e sull'uso degli strumenti per individuare anomalie ed errori. Ad esempio, usare Application Insights per esaminare i log di output dei percorsi utente. |
| Utilizzare la nostra libreria di comprovati modelli di criteri personalizzati | Trova esempi per percorsi utente avanzati di gestione delle identità e degli accessi dei clienti (CIAM) in Azure AD B2C. |
Esecuzione del test
Testare e automatizzare l'implementazione di Azure AD B2C.
| Procedura consigliata | Descrizione |
|---|---|
| Considerare il traffico globale | Usare le origini del traffico da indirizzi globali diversi per testare i requisiti di prestazioni e localizzazione. Assicurarsi che tutti gli HTML, i CSS e le dipendenze possano soddisfare le esigenze prestazionali. |
| Test funzionali e dell'interfaccia utente | Testare i flussi degli utenti da inizio a fine. Aggiungere test sintetici ogni pochi minuti usando Selenium, VS Web Test e così via. |
| Test di penetrazione | Prima di mettere in produzione la soluzione, eseguire test di penetrazione per verificare che tutti i componenti siano sicuri, comprese le dipendenze di terze parti. Verificare di aver protetto le API con token di accesso e di aver usato il protocollo di autenticazione corretto per lo scenario dell'applicazione. Altre informazioni sui test di penetrazione e sulle regole di engagement per i test di penetrazione unificata di Microsoft Cloud. |
| Il test A/B | Sperimentare le nuove funzionalità con un piccolo set casuale di utenti prima di distribuirle a tutti gli utenti. Con JavaScript abilitato in Azure AD B2C, è possibile eseguire l'integrazione con strumenti di test A/B come Optimizely, Clarity e altri. |
| Test di carico | Azure AD B2C può essere ridimensionato, ma l'applicazione può essere ridimensionata solo se tutte le relative dipendenze possono essere ridimensionate. Si raccomanda di eseguire un test di carico del criterio in modalità di produzione, impostando l'attributo DeploymentMode nell'elemento <TrustFrameworkPolicy> del file dei criteri personalizzati su Production. Questa impostazione garantisce che le prestazioni durante il test corrispondano alle prestazioni del livello di produzione. Testare il carico delle API e della rete CDN. Altre informazioni sulla resilienza tramite le procedure consigliate per gli sviluppatori. |
| Regolazione | Azure AD B2C limita il traffico se troppe richieste vengono inviate dalla stessa origine in un breve periodo di tempo. Usare diverse origini di traffico durante il test di carico e gestire correttamente il AADB2C90229 codice di errore nelle applicazioni. |
| Automazione | Usare pipeline di integrazione e recapito continuo (CI/CD) per automatizzare i test e le distribuzioni, ad esempio Azure DevOps. |
Operazioni
Gestire l'ambiente Azure AD B2C.
| Procedura consigliata | Descrizione |
|---|---|
| Creare più ambienti | Per semplificare le operazioni e l'implementazione della distribuzione, creare ambienti separati per lo sviluppo, il test, la pre-produzione e la produzione. Creare tenant di Azure AD B2C per ognuno di essi. |
| Usare il controllo della versione per i criteri personalizzati | È consigliabile usare GitHub, Azure Repos o un altro sistema di controllo della versione basato sul cloud per i criteri personalizzati di Azure AD B2C. |
| Usare l'API Microsoft Graph per automatizzare la gestione dei tenant B2C | API Microsoft Graph: Gestire il framework dell'esperienza di gestione delle identità (criteri personalizzati) Chiavi Flussi utente |
| Integrazione con Azure DevOps | Una pipeline CI/CD semplifica lo spostamento del codice tra ambienti diversi e garantisce sempre l'idoneità per la produzione. |
| Distribuire criteri personalizzati | Azure AD B2C si basa sulla memorizzazione nella cache per offrire prestazioni agli utenti finali. Quando si distribuisce un criterio personalizzato usando qualsiasi metodo, prevedere un ritardo massimo di 30 minuti per consentire agli utenti di visualizzare le modifiche. A causa di questo comportamento, considerate le procedure seguenti quando si distribuiscono i criteri personalizzati: - Se si esegue la distribuzione in un ambiente di sviluppo, impostare l'attributo DeploymentMode nell'elemento del file di <TrustFrameworkPolicy> criteri personalizzato su Production. - Distribuire i file di criteri aggiornati in un ambiente di produzione quando il traffico nell'app è basso. - Quando si esegue la distribuzione in un ambiente di produzione per aggiornare i file di criteri esistenti, caricare i file aggiornati con nuovi nomi, che fungono da nuove versioni dei criteri. Aggiornare quindi i riferimenti dell'app ai nuovi nomi/versioni. È possibile rimuovere i file di criteri precedenti in un secondo momento o mantenerli come ultima configurazione conosciuta come valida per semplificare il rollback. - Se è necessario implementare in un ambiente di produzione per aggiornare i file di criteri esistenti senza versionamento, rendi il nuovo criterio compatibile con le versioni precedenti seguendo alcune semplici regole. Se è necessario modificare un profilo tecnico, un'attestazione o SubJourney, crearne una nuova versione, pubblica i criteri e attendi 30 minuti prima che le cache di Azure AD B2C rilevino la nuova versione. Quindi, in un aggiornamento successivo, apportare modifiche per usare la nuova versione ed eseguire un altro aggiornamento dei criteri. Attendere altri 30 minuti, quindi è possibile eliminare la versione precedente degli elementi, se necessario. Assicurarsi che tutta la logica di business sia all'interno di SubJourneys. - È possibile impostare DeploymentMode su Development in un ambiente di produzione per aggirare il comportamento di memorizzazione nella cache. Tuttavia, questa pratica non è consigliata. Se si raccolgono i log di Azure AD B2C con Application Insights, vengono raccolte tutte le attestazioni inviate a e dai provider di identità, ovvero un rischio per la sicurezza e le prestazioni. |
| Distribuire gli aggiornamenti della registrazione delle app | Quando si modifica la registrazione dell'applicazione nel tenant di Azure AD B2C, ad esempio l'aggiornamento dell'URI di reindirizzamento dell'applicazione, si prevede un ritardo massimo di 2 ore (3600) per rendere effettive le modifiche nell'ambiente di produzione. È consigliabile modificare la registrazione dell'applicazione nell'ambiente di produzione quando il traffico nell'app è basso. |
| Integrazione con Monitoraggio di Azure | Gli eventi del log di controllo vengono conservati solo per sette giorni. Eseguire l'integrazione con Monitoraggio di Azure per conservare i log per l'uso a lungo termine o integrarsi con strumenti SIEM (Security Information and Event Management) di terze parti per ottenere informazioni dettagliate sull'ambiente. |
| Configurare avvisi e monitoraggio attivi | Tenere traccia del comportamento degli utenti in Azure AD B2C usando Application Insights. |
Aggiornamenti di supporto e stato
Rimanere aggiornati sullo stato del servizio e trovare le opzioni di supporto.
| Procedura consigliata | Descrizione |
|---|---|
| Aggiornamenti del servizio | Rimanere aggiornati con gli aggiornamenti e gli annunci del prodotto Azure AD B2C. |
| Supporto Tecnico Microsoft | Inviare una richiesta di supporto per i problemi tecnici di Azure AD B2C. Il supporto per fatturazione e gestione delle sottoscrizioni viene fornito gratuitamente. |
| Stato di Azure | Visualizzare lo stato di integrità corrente di tutti i servizi di Azure. |