Zelfstudie: Microsoft Dynamics 365 Fraud Protection configureren met Azure Active Directory B2C
Organisaties kunnen Microsoft Dynamics 365 Fraud Protection (DFP) gebruiken om risico's te beoordelen tijdens pogingen om frauduleuze accounts en aanmeldingen te maken. Klanten gebruiken Microsoft DFP-evaluatie om verdachte pogingen om nieuwe, valse accounts te maken of om accounts te compromitteren, te blokkeren of te betwisten.
In deze zelfstudie leert u hoe u Microsoft DFP integreert met Azure Active Directory B2C (Azure AD B2C). Er zijn richtlijnen voor het opnemen van de Microsoft DFP-apparaatvingerving en het maken van accounts en api-eindpunten voor aanmelding in een aangepast Azure AD B2C-beleid.
Meer informatie: Overzicht van Microsoft Dynamics 365 Fraud Protection
Vereisten
U hebt u het volgende nodig om aan de slag te gaan:
- Een Azure-abonnement
- Als u nog geen account hebt, kunt u een gratis Azure-account krijgen.
- Een Azure AD B2C-tenant die is gekoppeld aan uw Azure-abonnement
- Een Microsoft DFP-abonnement
- Zie prijzen voor Dynamics 365
- U kunt een evaluatieclientversie instellen
Scenariobeschrijving
Microsoft DFP-integratie omvat de volgende onderdelen:
- Azure AD B2C-tenant: verifieert de gebruiker en fungeert als een client van Microsoft DFP. Host een vingerafdrukscript dat identificatie- en diagnostische gegevens verzamelt van gebruikers die een doelbeleid uitvoeren. Het blokkeert of betwist aanmeldings- of registratiepogingen op basis van het resultaat van de regelevaluatie die door Microsoft DFP wordt geretourneerd.
- Aangepaste UI-sjablonen: hiermee past u de HTML-inhoud van de pagina's aan die door Azure AD B2C worden weergegeven. Deze pagina's bevatten het JavaScript-fragment dat is vereist voor microsoft DFP-vingerafdruk.
- Microsoft DFP-vingerafdrukservice: dynamisch ingesloten script waarmee telemetrie van apparaten en zelf-gecontroleerde gebruikersgegevens worden vastgelegd om een uniek identificeerbare vingerafdruk voor de gebruiker te maken.
- Microsoft DFP API-eindpunten: biedt het beslissingsresultaat en accepteert een definitieve status die de bewerking weerspiegelt die door de clienttoepassing wordt uitgevoerd. Azure AD B2C communiceert met de Microsoft DFP-eindpunten met behulp van REST API-connectors. API-verificatie vindt plaats met een client_credentials verlenen aan de Microsoft Entra-tenant waarin Microsoft DFP is gelicentieerd en geïnstalleerd om een bearer-token te verkrijgen.
In het volgende architectuurdiagram wordt de implementatie weergegeven.
- De gebruiker komt aan op een aanmeldingspagina, selecteert de optie om een nieuw account te maken en voert gegevens in. Azure AD B2C verzamelt gebruikerskenmerken.
- Azure AD B2C de Microsoft DFP API aanroept en de gebruikerskenmerken doorgeeft.
- Nadat de Microsoft DFP-API de informatie heeft verbruikt en verwerkt, wordt het resultaat geretourneerd naar Azure AD B2C.
- Azure AD B2C informatie ontvangt van de Microsoft DFP API. Als er een fout optreedt, wordt er een foutbericht weergegeven. De gebruiker wordt geverifieerd en naar de map geschreven.
De oplossing instellen
- Maak een Facebook-toepassing die is geconfigureerd om federatie toe te staan voor Azure AD B2C.
- Voeg het Facebook-geheim toe dat u hebt gemaakt als een Identity Experience Framework-beleidssleutel.
Uw toepassing configureren onder Microsoft DFP
Stel uw Microsoft Entra-tenant in voor het gebruik van Microsoft DFP.
Uw aangepaste domein instellen
Gebruik in een productieomgeving een aangepast domein voor Azure AD B2C en voor de Microsoft DFP-vingerafdrukservice. Het domein voor beide services bevindt zich in dezelfde DNS-hoofdzone om te voorkomen dat browserprivacyinstellingen cookies voor meerdere domeinen blokkeren. Deze configuratie is niet nodig in een niet-productieomgeving.
Zie de volgende tabel voor voorbeelden van omgeving, service en domein.
| Omgeving | Service | Domain |
|---|---|---|
| Ontwikkeling | Azure AD B2C | contoso-dev.b2clogin.com |
| Ontwikkeling | Microsoft DFP-vingerafdruk | fpt.dfp.microsoft-int.com |
| UAT | Azure AD B2C | contoso-uat.b2clogin.com |
| UAT | Microsoft DFP-vingerafdruk | fpt.dfp.microsoft.com |
| Productie | Azure AD B2C | login.contoso.com |
| Productie | Microsoft DFP-vingerafdruk | fpt.login.contoso.com |
De UI-sjablonen implementeren
- Implementeer de opgegeven Azure AD B2C UI-sjablonen in een openbare internethostingservice, zoals Azure Blob Storage.
- Vervang de waarde
https://<YOUR-UI-BASE-URL>/door de hoofd-URL voor uw implementatielocatie.
Notitie
Later hebt u de basis-URL nodig om Azure AD B2C-beleid te configureren.
- Vervang in het
ui-templates/js/dfp.jsbestand door<YOUR-DFP-INSTANCE-ID>de id van uw Microsoft DFP-exemplaar. - Zorg ervoor dat CORS is ingeschakeld voor uw Azure AD B2C-domeinnaam
https://{your_tenant_name}.b2clogin.comofyour custom domain.
Meer informatie: Documentatie voor het aanpassen van gebruikersinterfaces
Azure AD B2C-configuratie
Beleidssleutels toevoegen voor de id en het geheim van uw Microsoft DFP-client-app
- Maak in de Microsoft Entra tenant waar Microsoft DFP is ingesteld een Microsoft Entra-toepassing en ververleent u beheerderstoestemming.
- Maak een geheime waarde voor deze toepassingsregistratie. Noteer de client-id van de toepassing en de waarde van het clientgeheim.
- Sla de waarden van de client-id en het clientgeheim op als beleidssleutels in uw Azure AD B2C-tenant.
Notitie
Later hebt u de beleidssleutels nodig om Azure AD B2C-beleid te configureren.
De configuratiewaarden vervangen
Zoek in het opgegeven aangepaste beleid de volgende tijdelijke aanduidingen en vervang deze door de bijbehorende waarden van uw exemplaar.
| Tijdelijke aanduiding | Vervangen door | Notities |
|---|---|---|
| {Settings:Production} | Of het beleid moet worden geïmplementeerd in de productiemodus |
true of false |
| {Instellingen:Tenant} | De korte naam van uw tenant |
your-tenant - van your-tenant.onmicrosoft.com |
| {Settings:DeploymentMode} | Te gebruiken application insights-implementatiemodus |
Production of Development |
| {Settings:DeveloperMode} | Of het beleid moet worden geïmplementeerd in de Application Insights-ontwikkelaarsmodus |
true of false |
| {Settings:AppInsightsInstrumentationKey} | Instrumentatiesleutel van uw Application Insights-exemplaar* | 01234567-89ab-cdef-0123-456789abcdef |
| {Settings:IdentityExperienceFrameworkAppId} App-id van de IdentityExperienceFramework-app die is geconfigureerd in uw Azure AD B2C-tenant | 01234567-89ab-cdef-0123-456789abcdef |
|
| {Settings:ProxyIdentityExperienceFrameworkAppId} | App-id van de ProxyIdentityExperienceFramework-app die is geconfigureerd in uw Azure AD B2C-tenant | 01234567-89ab-cdef-0123-456789abcdef |
| {Settings:FacebookClientId} | App-id van de Facebook-app die u hebt geconfigureerd voor federatie met B2C | 000000000000000 |
| {Settings:FacebookClientSecretKeyContainer} | Naam van de beleidssleutel waarin u het app-geheim van Facebook hebt opgeslagen | B2C_1A_FacebookAppSecret |
| {Settings:ContentDefinitionBaseUri} | Eindpunt waar u de UI-bestanden hebt geïmplementeerd | https://<my-storage-account>.blob.core.windows.net/<my-storage-container> |
| {Settings:DfpApiBaseUrl} | Het basispad voor uw DFP API-exemplaar, gevonden in de DFP-portal | https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/ |
| {Settings:DfpApiAuthScope} | Het client_credentials bereik voor de DFP API-service | https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default |
| {Settings:DfpTenantId} | De id van de Microsoft Entra tenant (niet B2C) waar DFP is gelicentieerd en geïnstalleerd |
01234567-89ab-cdef-0123-456789abcdef of consoto.onmicrosoft.com |
| {Settings:DfpAppClientIdKeyContainer} | Naam van de beleidssleutel waarin u de DFP-client-id opslaat | B2C_1A_DFPClientId |
| {Settings:DfpAppClientSecretKeyContainer} | Naam van de beleidssleutel waarin u het DFP-clientgeheim opslaat | B2C_1A_DFPClientSecret |
| {Settings:DfpEnvironment} | De id van de DFP-omgeving. | Omgevings-id is een globale unieke id van de DFP-omgeving waarnaar u de gegevens verzendt. Het aangepaste beleid moet het API-eindpunt aanroepen, inclusief de querytekenreeksparameter x-ms-dfpenvid=your-env-id> |
*U kunt Application Insights instellen in een Microsoft Entra tenant of abonnement. Deze waarde is optioneel, maar wordt aanbevolen om te helpen bij foutopsporing.
Notitie
Voeg toestemmingsmeldingen toe aan de pagina voor het verzamelen van kenmerken. Neem een melding op dat gebruikerstelemetrie- en identiteitsgegevens zijn vastgelegd voor accountbeveiliging.
Het Azure AD B2C-beleid configureren
- Ga naar het Azure AD B2C-beleid in de map Beleid.
- Volg de instructies in het starterspakket voor aangepast beleid om het starterspakket LocalAccounts te downloaden.
- Configureer het beleid voor de Azure AD B2C-tenant.
Notitie
Werk de opgegeven beleidsregels bij zodat deze betrekking hebben op uw tenant.
De gebruikersstroom testen
- Open de Azure AD B2C-tenant en selecteer Identity Experience Framework onder Beleid.
- Selecteer uw eerder gemaakte SignUpSignIn.
- Selecteer Gebruikersstroom uitvoeren.
- Toepassing: de geregistreerde app (bijvoorbeeld JWT).
- Antwoord-URL: omleidings-URL.
- Selecteer Gebruikersstroom uitvoeren.
- Voltooi de registratiestroom en maak een account.
Tip
Microsoft DFP wordt aangeroepen tijdens de stroom. Als de stroom onvolledig is, controleert u of de gebruiker niet is opgeslagen in de map.
Notitie
Als u microsoft DFP-regelengine gebruikt, werkt u regels bij in de Microsoft DFP-portal.