Condividi tramite


Esercitazione: Configurare Keyless con Azure Active Directory B2C

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Informazioni su come configurare Azure Active Directory B2C (Azure AD B2C) con la soluzione senza password senza chiave. Con Azure AD B2C come provider di identità (IdP), integrare Keyless con le applicazioni dei clienti per fornire l'autenticazione senza password. Keyless Zero-Knowledge Biometric (ZKB) è l'autenticazione a più fattori senza password che consente di eliminare frodi, phishing e riutilizzo delle credenziali, migliorando al contempo l'esperienza del cliente e proteggendo la privacy.

Passare a keyless.io per informazioni su:

Prerequisiti

Per iniziare, è necessario:

  • Una sottoscrizione di Azure.
  • Un tenant di Azure AD B2C collegato alla sottoscrizione di Azure
  • Un tenant cloud senza chiave
  • App Authenticator senza chiave installata in un dispositivo utente

Descrizione dello scenario

L'integrazione senza chiave include i componenti seguenti:

  • Azure AD B2C : server di autorizzazione che verifica le credenziali utente. Noto anche come IdP.
  • Applicazioni Web e per dispositivi mobili : applicazioni per dispositivi mobili o Web da proteggere con Keyless e Azure AD B2C
  • App per dispositivi mobili Keyless Authenticator : app per dispositivi mobili per l'autenticazione nelle applicazioni abilitate per Azure AD B2C

Il diagramma dell'architettura seguente illustra un'implementazione.

Immagine che mostra il diagramma dell'architettura senza chiave

  1. L'utente arriva a una pagina di accesso. L'utente seleziona l'accesso/iscrizione e immette il nome utente.
  2. L'applicazione invia attributi utente ad Azure AD B2C per la verifica dell'identità.
  3. Azure AD B2C invia gli attributi utente a Keyless per l'autenticazione.
  4. Senza chiave invia una notifica push al dispositivo mobile registrato dagli utenti per l'autenticazione, un'analisi biometrica facciale.
  5. L'utente risponde alla notifica push e viene concesso o negato l'accesso.

Aggiungere un IdP, configurare l'IdP e creare una policy del flusso utente

Utilizzare le sezioni seguenti per aggiungere un provider di identità, configurare il provider di identità e creare una politica di flusso utente.

Aggiungi un nuovo provider di identità

Per aggiungere un nuovo provider di identità:

  1. Accedere al portale di Azure almeno con il ruolo di amministratore delle politiche IEF B2C del tenant di Azure AD B2C.
  2. Seleziona Directory + sottoscrizioni.
  3. Nella pagina Impostazioni del portale, Directory + sottoscrizioni, nell'elenco Nome della directory, individuare la directory di Azure AD B2C.
  4. Selezionare Commuta.
  5. Nell'angolo in alto a sinistra del portale di Azure selezionare Tutti i servizi.
  6. Cerca e seleziona Azure AD B2C.
  7. Passare a Dashboard>Azure Active Directory B2C>Identity providers.
  8. Seleziona Fornitori di identità.
  9. Seleziona Aggiungi.

Configurare un provider di identità

Per configurare un Provider di identità:

  1. Selezionare Tipo di provider di identitàOpenID Connect (anteprima).Select Identity provider type >OpenID Connect (Preview).
  2. In Nome selezionare Senza chiave.
  3. Per URL metadati inserire l'URI dell'app Di autenticazione senza chiave ospitata, seguito dal percorso, ad esempio https://keyless.auth/.well-known/openid-configuration.
  4. Per Segreto client selezionare il segreto associato all'istanza di Autenticazione senza chiave. Il segreto viene usato più avanti nella configurazione del contenitore senza chiave.
  5. Per ID client, selezionare l'ID cliente. L'ID client viene usato più avanti nella configurazione del contenitore senza chiave.
  6. In Ambito selezionare openid.
  7. In Tipo di risposta selezionare id_token.
  8. In Modalità risposta selezionare form_post.
  9. Seleziona OK.
  10. Seleziona Mappa le attestazioni del fornitore di identità.
  11. Per UserID, selezionare Dalla sottoscrizione.
  12. In Nome visualizzato, selezionare Da abbonamento.
  13. In Modalità risposta selezionare Da sottoscrizione.
  14. Seleziona Salva.

Creare una politica del flusso utente

Keyless si presenta come un nuovo IdP OpenID Connect (OIDC) con i provider di identità B2C.

  1. Aprire il tenant di Azure AD B2C.
  2. In Criteri selezionare Flussi utente.
  3. Selezionare Nuovo flusso utente.
  4. Selezionare Iscrizione e accesso.
  5. Selezionare una versione.
  6. Fare clic su Crea.
  7. Immettere un nome per il criterio.
  8. Nella sezione Provider di identità, seleziona il Provider di identità senza chiave che hai creato.
  9. Immetti un nome.
  10. Selezionare il provider di identità creato.
  11. Aggiungere un indirizzo di posta elettronica. Azure non reindirizzerà l'accesso a Senza chiave; viene visualizzata una schermata con un'opzione utente.
  12. Lasciare il campo Autenticazione a più fattori .
  13. Selezionare Imponi criteri di accesso condizionale.
  14. In Attributi utente e attestazioni token, nell'opzione Raccogli attributo selezionare Indirizzo di posta elettronica.
  15. Aggiungere all'applicazione client gli attributi utente raccolti da Microsoft Entra ID e le attestazioni che Azure AD B2C restituisce.
  16. Fare clic su Crea.
  17. Selezionare il nuovo flusso utente.
  18. Nel pannello sinistro selezionare Attestazioni applicazione.
  19. Sotto opzioni, selezionare la casella di controllo email.
  20. Seleziona Salva.

Testare il flusso utente

  1. Aprire il tenant di Azure AD B2C.
  2. In Criteri selezionare Framework dell'esperienza identitaria.
  3. Seleziona il SignUpSignIn creato.
  4. Seleziona Esegui il flusso utente.
  5. In Applicazione selezionare l'app registrata (l'esempio è JWT).
  6. Per URL di risposta selezionare l'URL di reindirizzamento.
  7. Seleziona Esegui il flusso utente.
  8. Completare il flusso di iscrizione e creare un account.
  9. Dopo aver creato l'attributo utente, keyless viene chiamato durante il flusso.

Se il flusso è incompleto, confermare se l'utente sia o non sia salvato nella directory.

Passaggi successivi