Aanbevelingen en best practices voor Azure Active Directory B2C
De volgende aanbevolen procedures en aanbevelingen hebben betrekking op enkele van de belangrijkste aspecten van de integratie van Azure Active Directory (Azure AD) B2C in bestaande of nieuwe toepassingsomgevingen.
Grondbeginselen
| Best practice | Beschrijving |
|---|---|
| Gebruikersstromen kiezen voor de meeste scenario's | Het Identity Experience Framework van Azure AD B2C is de kernsterkte van de service. Beleidsregels beschrijven identiteiten volledig, zoals registreren, aanmelden of profielbewerking. Om u te helpen de meest voorkomende identiteitstaken in te stellen, bevat de Azure AD B2C-portal vooraf gedefinieerde, configureerbare beleidsregels, genaamdgebruikersstromen. Met gebruikersstromen kunt u in enkele minuten geweldige gebruikerservaringen maken, met slechts een paar klikken. Meer informatie over het gebruik van gebruikersstromen versus aangepast beleid. |
| App-registraties | Elke toepassing (web, systeemeigen) en API die worden beveiligd, moeten worden geregistreerd in Azure AD B2C. Als een app zowel een webversie als een systeemeigen versie van iOS en Android heeft, kunt u deze als één toepassing registreren in Azure AD B2C met dezelfde client-id. Meer informatie over het registreren van OIDC-, SAML-, web- en systeemeigen apps. Meer informatie over toepassingstypen die kunnen worden gebruikt in Azure AD B2C. |
| Overstappen op maandelijkse actieve gebruikersfacturering | Azure AD B2C is verplaatst van maandelijkse actieve verificaties naar maandelijkse actieve gebruikers (MAU) facturering. De meeste klanten vinden dit model rendabel. Meer informatie over maandelijkse actieve gebruikersfacturering. |
Planning en ontwerp
Definieer uw toepassings- en servicearchitectuur, inventariseer de huidige systemen en plan uw migratie naar Azure AD B2C.
| Best practice | Beschrijving |
|---|---|
| Een end-to-end-oplossing ontwerpen | Neem alle afhankelijkheden van uw toepassingen op bij het plannen van een Azure AD B2C-integratie. Overweeg alle services en producten die zich momenteel in uw omgeving bevinden of die mogelijk moeten worden toegevoegd aan de oplossing (bijvoorbeeld Azure Functions, CRM-systemen (Customer Relationship Management), Azure API Management-gateway en opslagservices). Neem rekening met de beveiliging en schaalbaarheid voor alle services. |
| De ervaringen van uw gebruikers documenteer | Details van alle gebruikersbelevingen die uw klanten kunnen ervaren in uw toepassing. Neem elk scherm en eventuele vertakkingsstromen op die ze kunnen tegenkomen bij interactie met de identiteits- en profielaspecten van uw toepassing. Neem bruikbaarheid, toegankelijkheid en lokalisatie op in uw planning. |
| Het juiste verificatieprotocol kiezen | Zie Scenario's en ondersteunde verificatiestromen voor een uitsplitsing van de verschillende toepassingsscenario's en hun aanbevolen verificatiestromen. |
| Een proof-of-concept -ervaring (POC) testen voor end-to-end-gebruikers | Begin met onze Microsoft-codevoorbeelden en communityvoorbeelden. |
| Een migratieplan maken | Plannen kan ervoor zorgen dat de migratie soepeler verloopt. Meer informatie over gebruikersmigratie. |
| Bruikbaarheid versus beveiliging | Uw oplossing moet het juiste evenwicht vinden tussen de bruikbaarheid van toepassingen en het acceptabele risiconiveau van uw organisatie. |
| On-premises afhankelijkheden verplaatsen naar de cloud | Overweeg bestaande toepassingsafhankelijkheden naar de cloud te verplaatsen om een flexibele oplossing te garanderen. |
| Bestaande apps migreren naar b2clogin.com | De afschaffing van login.microsoftonline.com wordt van kracht voor alle Azure AD B2C-tenants op 04 december 2020. Meer informatie. |
| Identiteitsbeveiliging en voorwaardelijke toegang gebruiken | Gebruik deze mogelijkheden voor een aanzienlijk grotere controle over riskante verificaties en toegangsbeleid. Azure AD B2C Premium P2 is vereist. Meer informatie. |
| Tenantgrootte | U moet rekening houden met de grootte van azure AD B2C-tenants. Standaard kan de Azure AD B2C-tenant geschikt zijn voor 1,25 miljoen objecten (gebruikersaccounts en toepassingen). U kunt deze limiet verhogen tot 5,25 miljoen objecten door een aangepast domein toe te voegen aan uw tenant en deze te verifiëren. Als u een grotere tenantgrootte nodig hebt, neemt u contact op met de ondersteuning. |
| Identiteitsbeveiliging en voorwaardelijke toegang gebruiken | Gebruik deze mogelijkheden voor meer controle over riskante verificaties en toegangsbeleid. Azure AD B2C Premium P2 is vereist. Meer informatie. |
Implementatie
Houd tijdens de implementatiefase rekening met de volgende aanbevelingen.
| Best practice | Beschrijving |
|---|---|
| Aangepast beleid bewerken met de Azure AD B2C-extensie voor Visual Studio Code | Download Visual Studio Code en deze door de community gebouwde extensie vanuit Visual Studio Code Marketplace. Hoewel het geen officieel Microsoft-product is, bevat de Azure AD B2C-extensie voor Visual Studio Code verschillende functies waarmee u eenvoudiger met aangepast beleid kunt werken. |
| Meer informatie over het oplossen van problemen met Azure AD B2C | Meer informatie over het oplossen van problemen met aangepaste beleidsregels tijdens de ontwikkeling. Lees hoe een normale verificatiestroom eruitziet en gebruik hulpprogramma's voor het detecteren van afwijkingen en fouten. Gebruik bijvoorbeeld Application Insights om uitvoerlogboeken van gebruikersbelevingen te bekijken. |
| Gebruik onze bibliotheek met bewezen aangepaste beleidspatronen | Zoek voorbeelden voor verbeterde gebruikersbelevingen voor Azure AD B2C-klantidentiteit en toegangsbeheer (CIAM). |
Testen
Test en automatiseer uw Azure AD B2C-implementatie.
| Best practice | Beschrijving |
|---|---|
| Account voor globaal verkeer | Gebruik verkeersbronnen van verschillende globale adressen om de prestatie- en lokalisatievereisten te testen. Zorg ervoor dat alle HTML's, CSS en afhankelijkheden aan uw prestatiebehoeften kunnen voldoen. |
| Functionele en ui-tests | Test de gebruikersstromen end-to-end. Voeg om de paar minuten synthetische tests toe met Selenium, VS Web Test, enzovoort. |
| Pentests | Voordat u live gaat met uw oplossing, voert u penetratietests uit om te controleren of alle onderdelen veilig zijn, inclusief afhankelijkheden van derden. Controleer of u uw API's hebt beveiligd met toegangstokens en het juiste verificatieprotocol voor uw toepassingsscenario hebt gebruikt. Meer informatie over penetratietests en de regels voor geïntegreerde penetratietests van Microsoft Cloud. |
| A/B Testen | Flight your new features with a small, random set users before roll out to your entire population. Als JavaScript is ingeschakeld in Azure AD B2C, kunt u integreren met A/B-testhulpprogramma's zoals Optimizely, Clarity en andere hulpprogramma's. |
| Belasting testen | Azure AD B2C kan worden geschaald, maar uw toepassing kan alleen worden geschaald als alle afhankelijkheden kunnen worden geschaald. Test uw API's en CDN. Meer informatie over tolerantie via best practices voor ontwikkelaars. |
| Beperking | Azure AD B2C beperkt het verkeer als er in korte tijd te veel aanvragen van dezelfde bron worden verzonden. Gebruik verschillende verkeersbronnen tijdens het testen van belasting en werk de AADB2C90229 foutcode correct af in uw toepassingen. |
| Automatisering | Gebruik pijplijnen voor continue integratie en levering (CI/CD) om testen en implementaties te automatiseren, bijvoorbeeld Azure DevOps. |
Operations
Beheer uw Azure AD B2C-omgeving.
| Best practice | Beschrijving |
|---|---|
| Meerdere omgevingen maken | Voor eenvoudigere bewerkingen en implementatieimplementatie maakt u afzonderlijke omgevingen voor ontwikkeling, testen, preproductie en productie. Maak Azure AD B2C-tenants voor elk. |
| Versiebeheer gebruiken voor uw aangepaste beleid | Overweeg het gebruik van GitHub, Azure-opslagplaatsen of een ander versiebeheersysteem in de cloud voor uw aangepaste Azure AD B2C-beleid. |
| De Microsoft Graph API gebruiken om het beheer van uw B2C-tenants te automatiseren | Microsoft Graph-API's: Identity Experience Framework beheren (aangepast beleid) Sleutels Gebruikersstromen |
| Integreren met Azure DevOps | Een CI/CD-pijplijn maakt het verplaatsen van code tussen verschillende omgevingen eenvoudig en zorgt ervoor dat productiegereedheid altijd wordt gegarandeerd. |
| Aangepast beleid implementeren | Azure AD B2C is afhankelijk van caching om de prestaties aan uw eindgebruikers te leveren. Wanneer u een aangepast beleid implementeert met elke methode, verwacht u een vertraging van maximaal 30 minuten voordat uw gebruikers de wijzigingen kunnen zien. Als gevolg van dit gedrag kunt u rekening houden met de volgende procedures wanneer u uw aangepaste beleid implementeert: - Als u implementeert in een ontwikkelomgeving, stelt u het kenmerk Development in op DeploymentMode het element van <TrustFrameworkPolicy> uw aangepaste beleidsbestand. - Implementeer uw bijgewerkte beleidsbestanden in een productieomgeving wanneer het verkeer in uw app laag is. - Wanneer u implementeert in een productieomgeving om bestaande beleidsbestanden bij te werken, uploadt u de bijgewerkte bestanden met nieuwe naam(en) en werkt u de app-verwijzing vervolgens bij naar de nieuwe naam(en). Daarna kunt u de oude beleidsbestanden verwijderen. - U kunt de DeploymentMode instelling instellen op Development in een productieomgeving om het cachegedrag te omzeilen. We raden deze oefening echter niet aan. Als u Azure AD B2C-logboeken verzamelt met Application Insights, worden alle claims die naar en van id-providers worden verzonden, verzameld. Dit is een beveiligings- en prestatierisico. |
| App-registratie-updates implementeren | Wanneer u de registratie van uw toepassing in uw Azure AD B2C-tenant wijzigt, zoals het bijwerken van de omleidings-URI van de toepassing, verwacht u een vertraging van maximaal 2 uur (3600) voordat de wijzigingen in de productieomgeving van kracht worden. U wordt aangeraden uw toepassingsregistratie in uw productieomgeving te wijzigen wanneer het verkeer in uw app laag is. |
| Integreren met Azure Monitor | Auditlogboekgebeurtenissen worden slechts zeven dagen bewaard. Integreer met Azure Monitor om de logboeken voor langdurig gebruik te bewaren of integreer met SIEM-hulpprogramma's (Security Information and Event Management) van derden om inzicht te krijgen in uw omgeving. |
| Actieve waarschuwingen en bewaking instellen | Gebruikersgedrag bijhouden in Azure AD B2C met behulp van Application Insights. |
Ondersteunings- en statusupdates
Blijf up-to-date met de status van de service en zoek ondersteuningsopties.
| Best practice | Beschrijving |
|---|---|
| Service-updates | Blijf op de hoogte met azure AD B2C-productupdates en aankondigingen. |
| Microsoft Ondersteuning | Dien een ondersteuningsaanvraag in voor technische problemen met Azure AD B2C. Ondersteuning bij facturering en abonnementsbeheer is gratis. |
| Status van Azure | Bekijk de huidige status van alle Azure-services. |