Piani di distribuzione di Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) è una soluzione di gestione delle identità e degli accessi che consente di semplificare l'integrazione con l'infrastruttura. Usare le indicazioni seguenti per comprendere i requisiti e la conformità in una distribuzione di Azure AD B2C.
Pianificare una distribuzione di Azure AD B2C
Requisiti
- Valutare il motivo principale per cui disattivare i sistemi
- Vedere Che cos'è Azure Active Directory B2C?
- Per una nuova applicazione, pianificare la progettazione del sistema CIAM (Customer Identity Access Management)
- Vedere Pianificazione e progettazione
- Identificare le posizioni dei clienti e creare un tenant nel data center corrispondente
- Vedere Esercitazione : Creare un tenant di Azure Active Directory B2C
- Verificare i tipi di applicazione e le tecnologie supportate:
- Panoramica di Microsoft Authentication Library (MSAL)
- Sviluppare con linguaggi, framework, database e strumenti open source in Azure.
- Per i servizi back-end, usare il flusso delle credenziali client
- Per eseguire la migrazione da un provider di identità (IdP):
- Migrazione senza problemi
- Passare a
user-migration
- Selezionare i protocolli
- Se si usa Kerberos, Microsoft Windows NT LAN Manager (NTLM) e Web Services Federation (WS-Fed), vedere il video relativo alla migrazione di applicazioni e identità ad Azure AD B2C
Dopo la migrazione, le applicazioni possono supportare protocolli di identità moderni, ad esempio Open Authorization (OAuth) 2.0 e OpenID Connessione (OIDC).
Stakeholder
Il successo del progetto tecnologico dipende dalla gestione di aspettative, risultati e responsabilità.
- Identificare l'architetto dell'applicazione, il responsabile del programma tecnico e il proprietario
- Creare una lista di distribuzione (DL) per comunicare con l'account Microsoft o i team di progettazione
- Porre domande, ottenere risposte e ricevere notifiche
- Identificare un partner o una risorsa all'esterno dell'organizzazione per supportare l'utente
Altre informazioni: Includere gli stakeholder appropriati
Comunicazioni
Comunicare in modo proattivo e regolare con gli utenti sulle modifiche in sospeso e correnti. Informarli su come cambia l'esperienza, quando cambia e fornire un contatto per il supporto tecnico.
Sequenze temporali
Aiuta a impostare aspettative realistiche e a creare piani di emergenza per soddisfare le attività cardine principali:
- Data pilota
- Data di avvio
- Date che influiscono sul recapito
- Dipendenze
Implementare una distribuzione di Azure AD B2C
- Distribuire applicazioni e identità utente - Distribuire l'applicazione client ed eseguire la migrazione delle identità utente
- Onboarding e risultati finali dell'applicazione client: eseguire l'onboarding dell'applicazione client e testare la soluzione
- Sicurezza - Migliorare la sicurezza della soluzione di gestione delle identità
- Conformità - Soddisfare i requisiti normativi
- Esperienza utente- Abilitare un servizio intuitivo
Distribuire l'autenticazione e l'autorizzazione
- Prima che le applicazioni interagiscono con Azure AD B2C, registrarle in un tenant gestito
- Vedere Esercitazione : Creare un tenant di Azure Active Directory B2C
- Per l'autorizzazione, usare i percorsi utente di esempio di Identity Experience Framework (IEF)
- Usare il controllo basato su criteri per gli ambienti nativi del cloud
- Passare a openpolicyagent.org per informazioni su Open Policy Agent (OPA)
Per altre informazioni, vedere Microsoft Identity PDF, Acquisizione di competenze con Azure AD B2C, un corso per sviluppatori.
Elenco di controllo per utenti, autorizzazioni, delega e chiamate
- Identificare gli utenti che accedono all'applicazione
- Definire come gestire le autorizzazioni e i diritti di sistema oggi e in futuro
- Verificare di disporre di un archivio autorizzazioni e, se sono disponibili autorizzazioni per l'aggiunta alla directory
- Definire la modalità di gestione dell'amministrazione delegata
- Ad esempio, la gestione dei clienti dei clienti
- Verificare che l'applicazione chiami Gestione API (GESTIONE API)
- Potrebbe essere necessario chiamare dal provider di identità prima che l'applicazione venga emesso un token
Distribuire applicazioni e identità utente
I progetti Azure AD B2C iniziano con una o più applicazioni client.
- Nuova esperienza di Registrazioni app per Azure Active Directory B2C
- Vedere esempi di codice B2C di Azure Active Directory per l'implementazione
- Configurare il percorso utente in base ai flussi utente personalizzati
Elenco di controllo per la distribuzione delle applicazioni
- Applicazioni incluse nella distribuzione CIAM
- Applicazioni in uso
- Ad esempio, applicazioni Web, API, app Web a pagina singola o applicazioni per dispositivi mobili native
- Autenticazione in uso:
- Ad esempio, form federati con SECURITY Assertion Markup Language (SAML) o federati con OIDC
- Se OIDC, confermare il tipo di risposta: codice o id_token
- Determinare dove sono ospitate le applicazioni front-end e back-end: locale, cloud o cloud ibrido
- Verificare le piattaforme o le lingue in uso:
- Ad esempio, ASP.NET, Java e Node.js
- Vedere Avvio rapido: Configurare l'accesso per un'applicazione ASP.NET usando Azure AD B2C
- Verificare la posizione di archiviazione degli attributi utente
- Ad esempio, Lightweight Directory Access Protocol (LDAP) o database
Elenco di controllo per la distribuzione delle identità utente
- Confermare il numero di utenti che accedono alle applicazioni
- Determinare i tipi IdP necessari:
- Ad esempio, Facebook, account locale e Active Directory Federation Services (AD FS)
- Vedere Active Directory Federation Services
- Delineare lo schema di attestazione richiesto dall'applicazione, Azure AD B2C e gli IDP, se applicabile
- Determinare le informazioni da raccogliere durante l'accesso e l'iscrizione
Onboarding e risultati finali dell'applicazione client
Usare l'elenco di controllo seguente per l'onboarding di un'applicazione
Area | Descrizione |
---|---|
Gruppo di utenti di destinazione dell'applicazione | Selezionare tra clienti finali, clienti aziendali o un servizio digitale. Determinare la necessità di accedere ai dipendenti. |
Valore aziendale dell'applicazione | Comprendere l'esigenza aziendale o l'obiettivo per determinare la migliore soluzione Azure AD B2C e l'integrazione con altre applicazioni client. |
Gruppi di identità | Identità del cluster in gruppi con requisiti, ad esempio business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E) e business-to-machine (B2M) per gli account di accesso e di servizio per dispositivi IoT. |
Provider di identità (IdP) | Vedere Selezionare un provider di identità. Ad esempio, per un'app per dispositivi mobili da cliente a cliente (C2C) usare un processo di accesso semplice. B2C con servizi digitali ha requisiti di conformità. Prendere in considerazione l'accesso tramite posta elettronica. |
Vincoli normativi | Determinare la necessità di profili remoti o criteri di privacy. |
Flusso di accesso e iscrizione | Confermare la verifica tramite posta elettronica o la verifica tramite posta elettronica durante l'iscrizione. Per i processi di estrazione, vedere Funzionamento: Autenticazione a più fattori Di Microsoft Entra. Vedere il video relativo alla migrazione degli utenti di Azure AD B2C con l'API Microsoft Graph. |
Protocollo di autenticazione e applicazione | Implementare applicazioni client come applicazione Web, applicazione a pagina singola (SPA) o nativa. Protocolli di autenticazione per l'applicazione client e Azure AD B2C: OAuth, OIDC e SAML. Vedere il video Protezione delle API Web con Microsoft Entra ID. |
Migrazione degli utenti | Verificare se si eseguirà la migrazione degli utenti ad Azure AD B2C: migrazione JIT (Just-in-time) e importazione/esportazione in blocco. Vedere il video Sulle strategie di migrazione degli utenti di Azure AD B2C. |
Usare l'elenco di controllo seguente per il recapito.
Area | Descrizione |
---|---|
Informazioni sul protocollo | Raccogliere il percorso di base, i criteri e l'URL dei metadati di entrambe le varianti. Specificare attributi come l'accesso di esempio, l'ID applicazione client, i segreti e i reindirizzamenti. |
Esempi di applicazioni | Vedere Esempi di codice di Azure Active Directory B2C. |
Test di penetrazione | Informare il team operativo sui test penna, quindi testare i flussi utente, inclusa l'implementazione OAuth. Vedere Test di penetrazione e Regole di test di penetrazione di engagement. |
Unit test | Unit test e generazione di token. Vedere Microsoft Identity Platform e Credenziali della password del proprietario della risorsa OAuth 2.0. Se si raggiunge il limite di token di Azure AD B2C, vedere Azure AD B2C: Richieste di supporto file. Riutilizzare i token per ridurre l'indagine sull'infrastruttura. Configurare un flusso di credenziali password del proprietario della risorsa in Azure Active Directory B2C. Non è consigliabile usare il flusso ROPC per autenticare gli utenti nelle app. |
Test di carico | Informazioni sui limiti e sulle restrizioni del servizio Azure AD B2C. Calcolare le autenticazioni previste e gli accessi utente al mese. Valutare le durate del traffico di carico elevato e i motivi aziendali: festività, migrazione ed eventi. Determinare le frequenze di picco previste per l'iscrizione, il traffico e la distribuzione geografica, ad esempio al secondo. |
Sicurezza
Usare l'elenco di controllo seguente per migliorare la sicurezza delle applicazioni.
- Metodo di autenticazione, ad esempio l'autenticazione a più fattori:
- L'autenticazione a più fattori è consigliata per gli utenti che attivano transazioni ad alto valore o altri eventi di rischio. Ad esempio, processi bancari, finanziari e check-out.
- Vedere Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
- Confermare l'uso di meccanismi anti-bot
- Valutare il rischio di tentativi di creare un account fraudolento o di accedere
- Vedere Esercitazione : Configurare Microsoft Dynamics 365 Fraud Protection con Azure Active Directory B2C
- Confermare le posizioni condizionali necessarie come parte dell'accesso o dell'iscrizione
Accesso condizionale e protezione delle identità
- Il perimetro di sicurezza moderno si estende ora oltre la rete di un'organizzazione. Il perimetro include l'identità utente e del dispositivo.
- Vedere Che cos'è l'accesso condizionale?
- Migliorare la sicurezza di Azure AD B2C con Microsoft Entra ID Protection
- Vedere Identity Protection e accesso condizionale in Azure AD B2C
Conformità
Per garantire la conformità ai requisiti normativi e migliorare la sicurezza del sistema back-end, è possibile usare reti virtuali (reti virtuali), restrizioni IP, Web Application Firewall e così via. Considerare i requisiti seguenti:
- Requisiti di conformità alle normative
- Ad esempio, Payment Card Industry Data Security Standard (PCI DSS)
- Passare a pcisecuritystandards.org per altre informazioni sul PCI Security Standards Council
- Archiviazione dei dati in un archivio di database separato
- Determinare se queste informazioni non possono essere scritte nella directory
Esperienza utente
Usare l'elenco di controllo seguente per definire i requisiti dell'esperienza utente.
- Identificare le integrazioni per estendere le funzionalità CIAM e creare esperienze utente finali senza interruzioni
- Usare screenshot e storie utente per mostrare l'esperienza dell'utente finale dell'applicazione
- Ad esempio, screenshot di accesso, iscrizione, iscrizione/accesso (SUSI), modifica del profilo e reimpostazione della password
- Cercare hint passati usando i parametri della stringa di query nella soluzione CIAM
- Per la personalizzazione dell'esperienza utente elevata, è consigliabile usare uno sviluppatore front-end
- In Azure AD B2C è possibile personalizzare HTML e CSS
- Vedere Linee guida per l'uso di JavaScript
- Implementare un'esperienza incorporata usando il supporto di iframe:
- Vedere Esperienza di iscrizione o accesso incorporata
- Per un'applicazione a pagina singola, usare una seconda pagina HTML di accesso che viene caricata nell'elemento
<iframe>
Monitoraggio del controllo e registrazione
Usare l'elenco di controllo seguente per il monitoraggio, il controllo e la registrazione.
- Monitoraggio
- Controllo e registrazione
Risorse
- Registrare un'applicazione Microsoft Graph
- Gestire Azure AD B2C con Microsoft Graph
- Distribuire criteri personalizzati con Azure Pipelines
- Gestire i criteri personalizzati di Azure AD B2C con Azure PowerShell
Passaggi successivi
Raccomandazioni e procedure consigliate per Azure Active Directory B2C