Esercitazione: Configurare Nok Nok Passport con Azure Active Directory B2C per l'autenticazione FIDO2 senza password

Informazioni su come integrare Nok Nok S3 Authentication Suite nel tenant di Azure Active Directory B2C (Azure AD B2C). Le soluzioni Nok Nok consentono l'autenticazione a più fattori certificati FIDO, ad esempio FIDO UAF, FIDO U2F, WebAuthn e FIDO2 per applicazioni mobili e Web. Le soluzioni Nok Nok migliorano il comportamento di sicurezza durante il bilanciamento dell'esperienza utente.

Per noknok.com per altre informazioni: Nok Nok Labs, Inc.

Prerequisiti

Per iniziare, è necessario:

• Una sottoscrizione di Azure
  • Se non ne hai uno, ottieni un account gratuito di Azure
• Un tenant di Azure AD B2C collegato alla sottoscrizione di Azure
  • Esercitazione: Creare un tenant di Azure Active Directory B2C
• Passare a noknok.com. Nel menu in alto selezionare Demo.

Descrizione dello scenario

Per abilitare l'autenticazione FIDO senza password per gli utenti, abilitare Nok Nok come provider di identità (IdP) nel tenant di Azure AD B2C. L'integrazione della soluzione Nok Nok include i componenti seguenti:

• Azure AD B2C : server di autorizzazione che verifica le credenziali utente
• Applicazioni Web e per dispositivi mobili : app Web o Web da proteggere con soluzioni Nok Nok e Azure AD B2C
• App Nok Nok SDK o Passport : autenticare applicazioni abilitate per Azure AD B2C.
  • Passare alla App Store Apple per Nok Nok Passport
  • Oppure, Google Play Nok Nok Passport

Il diagramma seguente illustra la soluzione Nok Nok come IdP per Azure AD B2C usando OpenID Connect (OIDC) per l'autenticazione senza password.

1. Nella pagina di accesso l'utente seleziona l'accesso o l'iscrizione e immette il nome utente.
2. Azure AD B2C reindirizza l'utente al provider di autenticazione Nok Nok OIDC.
3. Per le autenticazione per dispositivi mobili, viene visualizzato un codice a matrice o viene inviata una notifica push al dispositivo utente. Per l'accesso desktop, l'utente viene reindirizzato alla pagina di accesso dell'app Web per l'autenticazione senza password.
4. L'utente analizza il codice a matrice con l'SDK dell'app Nok Nok o Passport. In alternativa, il nome utente è l'input della pagina di accesso.
5. L'utente viene richiesto di eseguire l'autenticazione. L'utente esegue l'autenticazione senza password: biometrici, PIN del dispositivo o qualsiasi autenticatore roaming. La richiesta di autenticazione viene visualizzata nell'applicazione Web. L'utente esegue l'autenticazione senza password: biometrici, PIN del dispositivo o qualsiasi autenticatore roaming.
6. Il server Nok convalida l'asserzione FIDO e invia una risposta di autenticazione OIDC ad Azure AD B2C.
7. L'utente viene concesso o negato l'accesso.

Introduzione a Nok Nok

1. Passare alla pagina noknok.com Contatto .
2. Compilare il modulo per un tenant Nok Nok.
3. Un messaggio di posta elettronica arriva con informazioni di accesso al tenant e collegamenti alla documentazione.
4. Usare la documentazione di integrazione Nok Nok per completare la configurazione OIDC del tenant.

Integrazione con Azure AD B2C

Usare le istruzioni seguenti per aggiungere e configurare un IDP e quindi configurare un flusso utente.

Aggiungere un nuovo provider di identità

Per le istruzioni seguenti, usare la directory con il tenant di Azure AD B2C. Per aggiungere un nuovo IDP:

1. Accedere al portale di Azure come amministratore globale del tenant di Azure AD B2C.
2. Nella barra degli strumenti del portale selezionare le directory e le sottoscrizioni.
3. Nelle impostazioni del portale, directory e sottoscrizioni, nell'elenco nome directory individuare la directory di Azure AD B2C.
4. Selezionare Commutatore.
5. Nell'angolo superiore sinistro della portale di Azure selezionare Tutti i servizi.
6. Cercare e selezionare Azure Active Directory B2C.
7. Passare a Dashboard> AzureActive Directory B2C>Identity provider.
8. Selezionare Provider di identità.
9. Selezionare Aggiungi.

Configurare un provider di identità

Per configurare un IDP:

1. Selezionare Tipo >di provider di identitàOpenID Connect (anteprima).
2. In Nome immettere Nok Nok Authentication Provider o un altro nome.
3. Per URL metadati immettere l'URI dell'app Nok Authentication ospitata, seguita dal percorso, ad esempio https://demo.noknok.com/mytenant/oidc/.well-known/openid-configuration
4. Per Segreto client, usare il segreto client da Nok Nok.
5. Per ID client, usare l'ID client fornito da Nok Nok.
6. Per Ambito, usare il messaggio di posta elettronica del profilo OpenID.
7. Per Tipo di risposta, usare il codice.
8. Per la modalità Risposta, usare form_post.
9. Selezionare OK.
10. Selezionare Mappare le attestazioni del provider di identità.
11. Per UserID selezionare Dalla sottoscrizione.
12. Per Nome visualizzato selezionare Dalla sottoscrizione.
13. In Modalità risposta selezionare Dalla sottoscrizione.
14. Selezionare Salva.

Creare criteri di flusso utente

Per le istruzioni seguenti, Nok Nok è un nuovo IDP OIDC nell'elenco dei provider di identità B2C.

1. Nel tenant di Azure AD B2C, in Criteri selezionare Flussi utente.
2. Selezionare Nuovo.
3. Selezionare Iscrizione e accesso.
4. Selezionare una versione.
5. Selezionare Crea.
6. Immettere un nome di criterio.
7. In Provider di identità selezionare l'IDP nok creato.
8. È possibile aggiungere un indirizzo di posta elettronica. Azure non reindirizzerà l'accesso a Nok Nok; viene visualizzata una schermata con le opzioni utente.
9. Lasciare il campo Autenticazione a più fattori .
10. Selezionare Applica criteri di accesso condizionale.
11. In Attributi utente e attestazioni di token selezionare Email Indirizzo nell'opzione Raccolta attributi.
12. Aggiungere attributi utente per Microsoft Entra ID da raccogliere, con attestazioni restituite da Azure AD B2C all'applicazione client.
13. Selezionare Crea.
14. Selezionare il nuovo flusso utente.
15. Nel pannello sinistro selezionare Attestazioni applicazione.
16. In opzioni selezionare la casella di controllo Posta elettronica
17. Selezionare Salva.

Testare il flusso utente

1. Aprire il tenant di Azure AD B2C e in Criteri selezionare Identity Experience Framework.
2. Selezionare l'elemento SignUpSignIn creato.
3. Selezionare Esegui il flusso utente.
4. Per Applicazione selezionare l'app registrata. L'esempio è JWT.
5. Per URL di risposta selezionare l'URL di reindirizzamento.
6. Selezionare Esegui il flusso utente.
7. Eseguire un flusso di iscrizione e creare un account.
8. Dopo aver creato l'attributo utente, viene chiamato Nok Nok.

Se il flusso è incompleto, verificare che l'utente sia o non sia salvato nella directory.

Passaggi successivi

• Panoramica dei criteri personalizzati di Azure AD B2C
• Esercitazione: Creare flussi utente e criteri personalizzati in Azure Active Directory B2C