Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.
Het migreren van een andere id-provider naar Azure Active Directory B2C (Azure AD B2C) vereist mogelijk ook het migreren van bestaande gebruikersaccounts. Hier worden twee migratiemethoden besproken, vóór de migratie en naadloze migratie. Met beide benaderingen moet u een toepassing of script schrijven dat gebruikmaakt van de Microsoft Graph API om gebruikersaccounts te maken in Azure AD B2C.
Bekijk deze video voor meer informatie over migratiestrategieën en stappen voor migratie van Azure AD B2C-gebruikers.
Opmerking
Voordat u de migratie start, moet u ervoor zorgen dat het ongebruikte quotum van uw Azure AD B2C-tenant geschikt is voor alle gebruikers die u verwacht te migreren. Kom meer te weten over het ophalen van uw tenantgebruik. Als u de quotumlimiet van uw tenant wilt verhogen, neemt u contact op met Microsoft Ondersteuning.
Vóór migratie
In de premigratiestroom voert uw migratietoepassing deze stappen uit voor elk gebruikersaccount:
- Lees het gebruikersaccount van de oude id-provider, inclusief de huidige referenties (gebruikersnaam en wachtwoord).
- Maak een bijbehorend account in uw Azure AD B2C-directory met de huidige inloggegevens.
Gebruik de premigratiestroom in een van deze twee situaties:
- U hebt toegang tot de gebruikersgegevens in platte tekst van een gebruiker (gebruikersnaam en wachtwoord).
- De referenties zijn versleuteld, maar u kunt ze ontsleutelen.
Zie Azure AD B2C-gebruikersaccounts beheren met Microsoft Graph voor informatie over het programmatisch maken van gebruikersaccounts.
Naadloze migratie
Gebruik de naadloze migratiestroom als wachtwoorden zonder opmaak in de oude id-provider niet toegankelijk zijn. Bijvoorbeeld wanneer:
- Het wachtwoord wordt opgeslagen in een eenzijdig versleutelde formaat, zoals met een hashfunctie.
- Het wachtwoord wordt opgeslagen door de verouderde id-provider op een manier die u niet kunt openen. Wanneer de id-provider bijvoorbeeld referenties valideert door een webservice aan te roepen.
De naadloze migratiestroom vereist nog steeds een premigratie van gebruikersaccounts, maar gebruikt vervolgens een aangepast beleid om een query uit te voeren op een REST API (die u maakt) om het wachtwoord van elke gebruikers in te stellen bij de eerste aanmelding.
De naadloze migratiestroom bestaat uit twee fasen: premigratie en referenties instellen.
Fase 1: Premigratie
- Uw migratietoepassing leest de gebruikersaccounts van de oude id-provider.
- De migratietoepassing maakt bijbehorende gebruikersaccounts in uw Azure AD B2C-directory, maar stel willekeurige wachtwoorden in die u genereert.
Fase 2: Instellen van inloggegevens
Nadat de voormigratie van de accounts is voltooid, voert u uw aangepaste beleid en REST API het volgende uit wanneer een gebruiker zich aanmeldt:
- Lees het Azure AD B2C-gebruikersaccount dat overeenkomt met het ingevoerde e-mailadres.
- Controleer of het account is gemarkeerd voor migratie door een booleaanse extensiekenmerk te evalueren.
- Als het extensiekenmerk
Trueretourneert, roept u de REST API aan om het wachtwoord te valideren bij de verouderde identiteitsprovider.- Als de REST API bepaalt dat het wachtwoord onjuist is, geef dan een vriendelijke foutmelding aan de gebruiker.
- Als de REST API bepaalt dat het wachtwoord juist is, schrijft u het wachtwoord naar het Azure AD B2C-account en wijzigt u het booleaanse extensiekenmerk in
False.
- Als het booleaanse extensiekenmerk wordt geretourneerd
False, gaat u verder met het aanmeldingsproces zoals gewoonlijk.
- Als het extensiekenmerk
Als u een voorbeeld van aangepast beleid en REST API wilt zien, raadpleegt u het voorbeeld van naadloze gebruikersmigratie op GitHub.
Veiligheid
De naadloze migratiebenadering maakt gebruik van uw eigen aangepaste REST API om de referenties van een gebruiker te valideren voor de verouderde id-provider.
U moet uw REST API beschermen tegen beveiligingsaanvallen. Een aanvaller kan verschillende wachtwoorden proberen in de hoop uiteindelijk de inloggegevens van een gebruiker te raden. Als u dergelijke aanvallen wilt verslaan, stopt u met het verwerken van aanvragen voor uw REST API wanneer het aantal aanmeldingspogingen een bepaalde drempelwaarde overschrijdt. Beveilig ook de communicatie tussen Azure AD B2C en uw REST API. Zie Secure RESTful API voor meer informatie over het beveiligen van uw RESTful-API's voor productie.
Gebruikerskenmerken
Niet alle informatie in de verouderde id-provider moet worden gemigreerd naar uw Azure AD B2C-directory. Identificeer de juiste set gebruikerskenmerken die moeten worden opgeslagen in Azure AD B2C voordat u migreert.
-
Opslaan in Azure AD B2C:
- Gebruikersnaam, wachtwoord, e-mailadressen, telefoonnummers, lidmaatschapsnummers/id's.
- Toestemmingsmarkeringen voor privacybeleid en gebruiksrechtovereenkomsten voor eindgebruikers.
-
Niet opslaan in Azure AD B2C:
- Gevoelige gegevens zoals creditcardnummers, burgerservicenummers (SSN), medische dossiers of andere gegevens die worden gereguleerd door overheids- of branchenalevingsinstanties.
- Marketing- of communicatievoorkeuren, gebruikersgedrag en inzichten.
Adreslijst opschonen
Voordat u het migratieproces start, kunt u uw directory opschonen.
- Identificeer de set gebruikerskenmerken die moeten worden opgeslagen in Azure AD B2C en migreer alleen wat u nodig hebt. Indien nodig kunt u aangepaste kenmerken maken om meer gegevens over een gebruiker op te slaan.
- Als u migreert vanuit een omgeving met meerdere verificatiebronnen (bijvoorbeeld elke toepassing heeft een eigen gebruikersmap), migreert u naar een uniform account in Azure AD B2C.
- Als meerdere toepassingen verschillende gebruikersnamen hebben, kunt u ze allemaal opslaan in een Azure AD B2C-gebruikersaccount met behulp van de verzameling identiteiten. Wat betreft het wachtwoord, laat de gebruiker er een kiezen en instellen in de map. Met de naadloze migratie moet bijvoorbeeld alleen het gekozen wachtwoord worden opgeslagen in het Azure AD B2C-account.
- Verwijder ongebruikte gebruikersaccounts of migreer verouderde accounts niet.
Wachtwoordbeleid
Als de accounts die u migreert een zwakkere wachtwoordsterkte hebben dan de sterke wachtwoordsterkte die door Azure AD B2C wordt afgedwongen, kunt u de vereiste voor sterke wachtwoorden uitschakelen. Zie de eigenschap Wachtwoordbeleid voor meer informatie.
Volgende stappen
De azure-ad-b2c/user-migration opslagplaats op GitHub bevat een voorbeeld van een aangepast migratiebeleid en voorbeeld van REST API-code:
Voorbeeld van aangepast beleid en REST API-codevoorbeeld voor naadloze gebruikersmigratie