Technisch overzicht en functieoverzicht van Azure Active Directory B2C
Dit artikel hoort bij Wat is Azure Active Directory B2C? en biedt een meer uitgebreide inleiding van de service. Hier worden de primaire resources besproken waarmee u in de service werkt, de functies ervan. Ontdek hoe u met deze functies een volledig aangepaste identiteitservaring voor uw klanten in uw toepassingen kunt bieden.
Azure AD B2C-tenant
In Azure Active Directory B2C (Azure AD B2C) vertegenwoordigt een tenant uw organisatie en bestaat deze uit een directory, ook wel adreslijst genoemd. Elke Azure AD B2C-tenant is uniek en staat volledig los van andere Azure AD B2C-tenants. Een Azure AD B2C-tenant is anders dan een Microsoft Entra-tenant, die u mogelijk al hebt.
Dit zijn de primaire resources waarmee u werkt in een Azure AD B2C-tenant:
- Directory: in Azure AD B2C worden de referenties, profielgegevens en toepassingsregistraties van uw gebruikers opgeslagen.
- Toepassingsregistraties: registreer uw web-, mobiele en systeemeigen toepassingen met Azure AD B2C om identiteitsbeheer in te schakelen. U kunt ook ALLE API's registreren die u wilt beveiligen met Azure AD B2C.
-
Gebruikersstromen en aangepaste beleidsregels : maak identiteitservaringen voor uw toepassingen met ingebouwde gebruikersstromen en volledig configureerbare aangepaste beleidsregels:
- Met gebruikersstromen kunt u snel algemene identiteitstaken inschakelen, zoals registreren, aanmelden en profiel bewerken.
- Met aangepast beleid kunt u complexe identiteitswerkstromen bouwen die uniek zijn voor uw organisatie, klanten, werknemers, partners en burgers.
-
Aanmeldingsopties: Azure AD B2C biedt verschillende registratie- en aanmeldingsopties voor gebruikers van uw toepassingen:
- Aanmelding via gebruikersnaam, e-mailadres en telefoon: configureer uw lokale Azure AD B2C-accounts om registratie en aanmelding met een gebruikersnaam, e-mailadres, telefoonnummer of een combinatie van methoden toe te staan.
- Sociale id-providers : feder met sociale providers zoals Facebook, LinkedIn of Twitter.
- Externe id-providers : feder met standaardidentiteitsprotocollen zoals OAuth 2.0, OpenID Connect en meer.
- Sleutels: u kunt versleutelingssleutels toevoegen en beheren voor het ondertekenen en valideren van tokens, clientgeheimen, certificaten en wachtwoorden.
Een Azure AD B2C-tenant is de eerste resource die u moet maken om aan de slag te gaan met Azure AD B2C. Leer hoe u het volgende doet:
Accounts in Azure AD B2C
In Azure AD B2C wordt onderscheid gemaakt tussen verschillende typen gebruikersaccounts. Microsoft Entra-id delen Microsoft Entra B2B en Azure Active Directory B2C deze accounttypen.
- Werkaccount: gebruikers met werkaccounts kunnen resources in een tenant beheren, en met de rol van beheerder kunnen ze tenants ook beheren. Gebruikers met werkaccounts kunnen nieuwe consumentenaccounts maken, wachtwoorden opnieuw instellen, accountsblokkeren/deblokkeren, en machtigingen instellen of een account toewijzen aan een beveiligingsgroep.
- Gastaccount: externe gebruikers die u als gast uitnodigt voor uw tenant. Een typisch scenario voor het uitnodigen van een gastgebruiker voor uw Azure AD B2C-tenant is voor het delen van beheerderstaken.
- Consumentenaccount: accounts die worden beheerd door Azure AD B2C-gebruikersstromen en aangepaste beleidsregels.
Afbeelding: Gebruikersmap binnen een Azure AD B2C-tenant in de Azure Portal.
Consumentenaccounts
Met een consumentenaccount kunnen gebruikers zich aanmelden bij de toepassingen die u hebt beveiligd met Azure AD B2C. Gebruikers met consumentenaccounts hebben echter geen toegang tot Azure-resources, zoals de Azure-portal.
Een consumentenaccount kan worden gekoppeld aan deze identiteitstypen:
- Lokale identiteit, waarbij de gebruikersnaam en het wachtwoord lokaal worden opgeslagen in de Azure AD B2C-directory. We verwijzen vaak naar deze identiteiten als 'lokale accounts'.
- Sociale of ondernemingsidentiteiten , waarbij de identiteit van de gebruiker wordt beheerd door een federatieve id-provider. Bijvoorbeeld Facebook, Google, Microsoft, ADFS of Salesforce.
Een gebruiker met een consumentenaccount kan zich aanmelden met meerdere identiteiten. Bijvoorbeeld gebruikersnaam, e-mailadres, werknemer-id, overheids-id en andere. Eén account kan meerdere identiteiten hebben, zowel lokaal als sociaal.
Afbeelding: Eén consumentenaccount met meerdere identiteiten in Azure AD B2C
Zie Overzicht van gebruikersaccounts in Azure Active Directory B2C voor meer informatie.
Aanmeldingsopties voor lokaal account
Azure AD B2C biedt verschillende manieren waarop u een gebruiker kunt verifiëren. Gebruikers kunnen zich aanmelden bij een lokaal account met behulp van gebruikersnaam en wachtwoord, telefonische verificatie (ook wel verificatie zonder wachtwoord genoemd). Registratie via e-mail is standaard ingeschakeld in de instellingen van de id-provider van uw lokale account.
Meer informatie over aanmeldingsopties of het instellen van de id-provider van het lokale account.
Kenmerken van gebruikersprofiel
Azure AD B2C kunt u algemene kenmerken van consumentenaccountprofielen beheren. Bijvoorbeeld weergavenaam, achternaam, voornaam, plaats en andere.
U kunt ook het Microsoft Entra schema uitbreiden om aanvullende informatie over uw gebruikers op te slaan. Bijvoorbeeld hun land/regio van verblijf, voorkeurstaal en voorkeuren, zoals of ze zich willen abonneren op een nieuwsbrief of meervoudige verificatie willen inschakelen. Zie voor meer informatie:
Aanmelden met externe id-providers
U kunt Azure AD B2C zo configureren dat gebruikers zich kunnen aanmelden bij uw toepassing met referenties van id-providers voor sociale netwerken en ondernemingen. Azure AD B2C kan federeren met id-providers die ondersteuning bieden voor OAuth 1.0-, OAuth 2.0-, OpenID Connect- en SAML-protocollen. Bijvoorbeeld Facebook, Microsoft-account, Google, Twitter en AD-FS.
Met externe id-providers kunt u uw consumenten de mogelijkheid bieden zich aan te melden met hun bestaande sociale of zakelijke accounts, zonder dat u een nieuw account hoeft te maken voor uw toepassing.
Op de registratie- of aanmeldingspagina wordt door Azure AD B2C een lijst weergegeven met externe id-providers waaruit de gebruiker kan kiezen om zich aan te melden. Zodra ze een van de externe id-providers hebben geselecteerd, worden ze omgeleid naar de website van de geselecteerde provider om het aanmeldingsproces te voltooien. Nadat de gebruiker zich heeft aangemeld, keert deze terug naar Azure AD B2C voor verificatie van het account in uw toepassing.
Identiteitservaringen: gebruikersstromen of aangepaste beleidsregels
In Azure AD B2C kunt u de bedrijfslogica definiëren die gebruikers volgen om toegang te krijgen tot uw toepassing. U kunt bijvoorbeeld de volgorde bepalen van de stappen die gebruikers volgen wanneer ze zich aanmelden, zich registreren, een profiel bewerken of een wachtwoord opnieuw instellen. Nadat de reeks is voltooid, verkrijgt de gebruiker een token en krijgt hij/zij toegang tot uw toepassing.
In Azure AD B2C zijn er twee manieren om gebruikerservaringen voor identiteit te bieden:
Gebruikersstromen zijn vooraf gedefinieerde, ingebouwde, configureerbare beleidsregels die we aanbieden, zodat u binnen een paar minuten ervaringen kunt maken voor registratie, aanmelden en profielbewerking.
Via aangepaste beleidsregels kunt u uw eigen gebruikersbelevingen samenstellen voor scenario's met complexe identiteitservaringen.
In de volgende schermopname ziet u de gebruikersinterface voor gebruikersstroominstellingen, versus configuratiebestanden voor aangepaste beleidsregels.
Lees het artikel Overzicht van gebruikersstromen en aangepaste beleidsregels . Het biedt een overzicht van gebruikersstromen en aangepaste beleidsregels en helpt u te bepalen welke methode het beste werkt voor uw bedrijfsbehoeften.
Gebruikersinterface
In Azure AD B2C kunt u de identiteitservaringen van uw gebruikers zo maken dat de weergegeven pagina's naadloos aansluiten bij het uiterlijk van uw merk. U krijgt bijna volledige controle over de HTML- en CSS-inhoud die aan gebruikers wordt gepresenteerd wanneer ze de identiteitstrajecten van uw toepassing doorlopen. Deze flexibiliteit zorgt ervoor dat u consistentie voor uw merk en visuele consistentie kunt garanderen tussen uw toepassing en Azure AD B2C.
Notitie
Het aanpassen van de pagina's die door derden worden weergegeven bij het gebruik van sociale accounts, is beperkt tot de opties van die id-provider en vallen buiten de controle van Azure AD B2C.
Zie voor meer informatie over het aanpassen van de gebruikersinterface:
- De gebruikersinterface aanpassen
- De gebruikersinterface aanpassen met HTML-sjablonen
- JavaScript inschakelen en een pagina-indelingsversie selecteren
Aangepast domein
U kunt uw Azure AD B2C-domein aanpassen in de omleidings-URI's voor uw toepassing. Met een aangepast domein kunt u een naadloze ervaring creëren, zodat de weergegeven pagina's naadloos worden gecombineerd met de domeinnaam van uw toepassing. Vanuit het perspectief van de gebruiker blijven ze in uw domein tijdens het aanmeldingsproces in plaats van om te leiden naar het Azure AD B2C-standaarddomein .b2clogin.com.
Zie Aangepaste domeinen inschakelen voor meer informatie.
Lokalisatie
Taalaanpassing in Azure AD B2C maakt het mogelijk om verschillende talen aan te bieden, zodat u klanten in hun eigen taal kunt bereiken. Microsoft biedt de vertalingen voor 36 talen, maar u kunt ook uw eigen vertalingen gebruiken voor elke taal.
Meer informatie over lokalisatie vindt u in Language customization in Azure Active Directory B2C (Taalaanpassing in Azure Active Directory B2C).
E-mailverificatie
Azure AD B2C zorgt voor geldige e-mailadressen door te vereisen dat klanten deze verifiëren tijdens de registratie en stromen voor wachtwoordherstel. Het voorkomt ook dat kwaadwillende actoren geautomatiseerde processen gebruiken om frauduleuze accounts in uw toepassingen te genereren.
U kunt de e-mail aanpassen aan gebruikers die zich registreren voor het gebruik van uw toepassingen. Met behulp van de externe e-mailprovider kunt u uw eigen e-mailsjabloon en Van: adres en onderwerp gebruiken, evenals lokalisatie en aangepaste instellingen voor een eenmalig wachtwoord (OTP) ondersteunen. Zie voor meer informatie:
Uw eigen bedrijfslogica toevoegen en RESTful API's aanroepen
U kunt integreren met een RESTful-API in zowel gebruikersstromen als aangepaste beleidsregels. Het verschil is dat u in gebruikersstromen op opgegeven plaatsen aanroepen doet, terwijl u in aangepaste beleidsregels uw eigen bedrijfslogica toevoegt aan het traject. Met deze functie kunt u gegevens ophalen en gebruiken uit externe identiteitsbronnen. Azure AD B2C kan gegevens uitwisselen met een RESTful-service om:
- Aangepaste, gebruikersvriendelijke foutberichten weergeven.
- Gebruikersinvoer valideren om te voorkomen dat onjuist opgemaakte gegevens worden opgeslagen in uw adreslijst van gebruikers. U kunt bijvoorbeeld de gegevens wijzigen die door gebruikers worden ingevoerd, zodat de voornaam een hoofdletter krijgt als deze met allemaal kleine letters wordt ingevoerd.
- Gegevens van gebruikers verrijken door verder integratie met uw zakelijke LOB-toepassing.
- Met behulp van RESTful-aanroepen kunt u bijvoorbeeld pushmeldingen verzenden, bedrijfsdatabases bijwerken, een proces voor gebruikersmigratie uitvoeren, machtigingen beheren en databases controleren.
Loyaliteitsprogramma's zijn een ander scenario dat kan worden gerealiseerd door de ondersteuning van Azure AD B2C voor het aanroepen van REST-API's. Uw RESTful-service kan bijvoorbeeld het e-mailadres van een gebruiker ontvangen, een query uitvoeren op de klantendatabase en vervolgens het loyaliteitsnummer van de gebruiker retourneren aan Azure AD B2C.
De retourgegevens kunnen worden opgeslagen in het directoryaccount van de gebruiker in Azure AD B2C. De gegevens kunnen vervolgens verder worden geëvalueerd in de volgende stappen in het beleid of worden opgenomen in het toegangstoken.
U kunt een REST API-aanroep toevoegen bij elke stap in een gebruikerstraject dat is gedefinieerd door een aangepast beleid. U kunt bijvoorbeeld een REST-API aanroepen:
- Tijdens het aanmelden, net voordat Azure AD B2C de referenties valideert
- Direct na het aanmelden
- Voordat Azure AD B2C een nieuw account in de directory maakt
- Nadat Azure AD B2C een nieuw account in de directory maakt
- Voordat Azure AD B2C een toegangstoken uitgeeft
Zie Uitwisselingen van REST API-claims integreren in uw aangepaste Azure AD B2C-beleid voor meer informatie.
Protocollen en tokens
Voor toepassing ondersteunt Azure AD B2C de OAuth 2.0, OpenID Connect en SAML-protocollen voor gebruikersbelevingen. De gebruikerservaring wordt via de toepassing gestart door verificatieaanvragen te verzenden naar Azure AD B2C. Het resultaat van een aanvraag bij Azure AD B2C is een beveiligingstoken, zoals een id-token of toegangstoken of SAML-token. Met dit beveiligingstoken wordt de identiteit van de gebruiker gedefinieerd binnen de toepassing.
Voor externe identiteiten ondersteunt Azure AD B2C federatie met elke id-provider op basis van OAuth 1.0, OAuth 2.0-, OpenID Connect en SAML.
In het volgende diagram ziet u hoe Azure AD B2C kan communiceren met behulp van verschillende protocollen binnen dezelfde verificatiestroom:
- De relying party-toepassing start een autorisatieaanvraag voor Azure AD B2C met behulp van OpenID Connect.
- Wanneer een gebruiker van de toepassing zich wil aanmelden met een externe id-provider die het SAML-protocol gebruikt, roept Azure AD B2C het SAML-protocol aan om te communiceren met die id-provider.
- Nadat de gebruiker de aanmelding met de externe id-provider heeft voltooid, retourneert Azure AD B2C het token naar de Relying Party-toepassing met behulp van OpenID Connect.
Integratie van toepassingen
Wanneer een gebruiker zich wil aanmelden bij uw toepassing, initieert de toepassing een autorisatieaanvraag voor een eindpunt van een gebruikersstroom of aangepast beleid. De gebruikersstroom of het aangepaste beleid definieert en bepaalt de gebruikerservaring. Wanneer ze een gebruikersstroom voltooien, bijvoorbeeld de registratie- of aanmeldingsstroom, Azure AD B2C een token genereert en de gebruiker vervolgens omleidt naar uw toepassing. Dit token is specifiek voor Azure AD B2C en moet niet worden verward met het token dat is uitgegeven door externe id-providers bij het gebruik van sociale accounts. Zie Een toegangstoken van een id-provider doorgeven aan uw toepassing in Azure Active Directory B2C voor meer informatie over het gebruik van tokens van derden.
Meerdere toepassingen kunnen dezelfde gebruikersstroom of hetzelfde aangepaste beleid gebruiken. Meerdere toepassingen kunnen dezelfde gebruikersstroom of hetzelfde aangepaste beleid gebruiken.
Als u zich bijvoorbeeld wilt aanmelden bij een toepassing, gebruikt de toepassing de gebruikersstroom registreren of aanmelden. Nadat de gebruiker zich heeft aangemeld, wil deze misschien zijn profiel bewerken, zodat de toepassing een andere autorisatieaanvraag initieert, deze keer met behulp van de gebruikersstroom profiel bewerken.
Meervoudige verificatie (MFA)
Azure AD B2C Multi-Factor Authentication (MFA) helpt de toegang tot gegevens en toepassingen te beveiligen en tegelijkertijd de eenvoud voor uw gebruikers te behouden. Het biedt extra beveiliging door een tweede vorm van verificatie te vereisen en biedt sterke verificatie door een reeks gebruiksvriendelijke verificatiemethoden aan te bieden.
Afhankelijk van de configuratiebeslissingen die u als beheerder neemt, moeten uw gebruikers al dan niet reageren op een verzoek van de functie voor meervoudige verificatie.
Zie Meervoudige verificatie inschakelen in Azure Active Directory B2C voor meer informatie.
Voorwaardelijke toegang
Microsoft Entra ID Protection functies voor risicodetectie, waaronder riskante gebruikers en riskante aanmeldingen, worden automatisch gedetecteerd en weergegeven in uw Azure AD B2C-tenant. U kunt beleid voor voorwaardelijke toegang maken dat gebruikmaakt van deze risicodetecties om herstelacties te bepalen en organisatiebeleid af te dwingen.
Azure AD B2C evalueert elke aanmeldingsgebeurtenis en zorgt ervoor dat aan alle beleidsvereisten wordt voldaan voordat de gebruiker toegang wordt verleend. Riskante gebruikers of aanmeldingen kunnen worden geblokkeerd of worden geconfronteerd met een specifiek herstel, zoals meervoudige verificatie (MFA). Zie Identiteitsbescherming en voorwaardelijke toegang voor meer informatie.
Wachtwoordcomplexiteit
Tijdens registratie of het opnieuw instellen van het wachtwoord, moeten uw gebruikers een wachtwoord opgeven dat voldoet aan de complexiteitsregels. Azure AD B2C dwingt standaard een sterk wachtwoordbeleid af. Azure AD B2C biedt ook configuratieopties voor het opgeven van de complexiteitsvereisten van de wachtwoorden die uw klanten gebruiken wanneer ze lokale accounts gebruiken.
Zie Complexiteitsvereisten voor wachtwoorden configureren in Azure AD B2C voor meer informatie.
Wachtwoord geforceerd opnieuw instellen
Als Azure AD B2C-tenantbeheerder kunt u het wachtwoord van een gebruiker opnieuw instellen als de gebruiker het wachtwoord vergeet. Of u wilt afdwingen dat ze het wachtwoord regelmatig opnieuw instellen. Zie Een stroom voor geforceerd wachtwoordherstel instellen voor meer informatie.
Slimme accountvergrendeling
Om te voorkomen dat via brute-force aanvallen wachtwoorden worden geraden, maakt Azure AD B2C gebruik van een geavanceerde strategie om accounts te vergrendelen op basis van het IP-adres van de aanvraag, de ingevoerde wachtwoorden en verschillende andere factoren. De duur van de vergrendeling wordt automatisch verlengd op basis van het risico en het aantal pogingen.
Zie Referentieaanvallen in Azure AD B2C beperken voor meer informatie over het beheren van instellingen voor wachtwoordbeveiliging.
Resources en klantidentiteiten beveiligen
Azure AD B2C voldoet aan de vereisten voor beveiliging, privacy en andere verplichtingen die worden beschreven in het Vertrouwenscentrum van Microsoft Azure.
Sessies worden gemodelleerd als versleutelde gegevens, waarbij de ontsleutelingssleutel alleen bekend is bij de beveiligingstokenservice van Azure AD B2C. Er wordt een sterk versleutelingsalgoritme, AES-192, gebruikt. Alle communicatiepaden worden beveiligd met TLS voor vertrouwelijkheid en integriteit. Onze beveiligingstokenservice maakt gebruik van een EV-certificaat (Extended Validation) voor TLS. Over het algemeen beperkt de beveiligingstokenservice de risico's van cross-site scriptingaanvallen (XSS) door niet-vertrouwde invoer niet weer te geven.
Toegang tot gebruikersgegevens
Azure AD B2C-tenants delen veel kenmerken met enterprise Microsoft Entra tenants die worden gebruikt voor werknemers en partners. Voorbeelden van gemeenschappelijke aspecten zijn mechanismen voor het weergeven van beheerdersrollen, het toewijzen van rollen en het controleren van activiteiten.
U kunt rollen toewijzen om te bepalen wie bepaalde beheeracties kan uitvoeren in Azure AD B2C, waaronder:
- Alle aspecten van gebruikersstromen maken en beheren
- Het kenmerkschema dat beschikbaar is voor alle gebruikersstromen, maken en beheren
- Id-providers voor gebruik in directe federatie configureren
- Beleidsregels voor het vertrouwensframework in het Identity Experience Framework (aangepaste beleidsregels) maken en beheren
- Geheimen voor federatie en versleuteling in het Identity Experience Framework (aangepaste beleidsregels) beheren
Zie Beheerdersrolmachtigingen in Microsoft Entra-id voor meer informatie over Microsoft Entra rollen, waaronder Azure AD ondersteuning van B2C-beheerrollen.
Controle en logboeken
Azure AD B2C stelt auditlogboeken beschikbaar met activiteitsgegevens voor resources, uitgegeven tokens en beheerderstoegang. U kunt de auditlogboeken gebruiken om inzicht te hebben in platformactiviteiten en problemen te diagnosticeren. Kort nadat de activiteit heeft plaatsgevonden die de gebeurtenis heeft gegenereerd, zijn er vermeldingen beschikbaar in auditlogboeken.
In een auditlogboek dat beschikbaar is voor uw Azure AD B2C-tenant of voor een bepaalde gebruiker kunt u gegevens vinden zoals:
- Activiteiten met betrekking tot de autorisatie van een gebruiker om toegang te krijgen tot B2C-resources (bijvoorbeeld een beheerder die een lijst met B2C-beleidsregels raadpleegt)
- Activiteiten met betrekking tot adreslijstkenmerken die worden opgehaald op het moment dat een beheerder zich aanmeldt via de Azure-portal
- CRUD-bewerkingen (maken, lezen, bijwerken en verwijderen) op B2C-toepassingen
- CRUD-bewerkingen op sleutels die zijn opgeslagen in een B2C-sleutelcontainer
- CRUD-bewerkingen op B2C-resources (zoals beleidsregels en id-providers)
- Validatie van gebruikersreferenties en uitgifte van tokens
Zie Toegang tot Azure AD B2C-auditlogboeken voor meer informatie over auditlogboeken.
Gebruiksanalyse
met Azure AD B2C kunt u ontdekken wanneer personen zich registreren of aanmelden bij uw app, waar de gebruikers zich bevinden en welke browsers en besturingssystemen ze gebruiken.
Door Azure-toepassing Insights te integreren in Azure AD aangepast B2C-beleid, kunt u inzicht krijgen in hoe mensen zich registreren, aanmelden, hun wachtwoord opnieuw instellen of hun profiel bewerken. Aan de hand van dergelijke kennis kunt u gegevensgestuurde beslissingen nemen voor toekomstige ontwikkelcycli.
Zie Gebruikersgedrag bijhouden in Azure Active Directory B2C met behulp van Application Insights voor meer informatie.
Regiobeschikbaarheid en gegevenslocatie
Azure AD B2C-service is over het algemeen wereldwijd beschikbaar met de optie voor gegevenslocatie in regio's zoals opgegeven in Producten beschikbaar per regio. De gegevenslocatie wordt bepaald door het land of de regio die u selecteert wanneer u uw tenant maakt.
Meer informatie over azure Active Directory B2C service Region availability & data residency and Service Level Agreement (SLA) voor Azure Active Directory B2C.
Automatisering met Behulp van Microsoft Graph API
Gebruik MS Graph API om uw Azure AD B2C-directory te beheren. U kunt ook de Azure AD B2C-directory zelf maken. U kunt gebruikers, id-providers, gebruikersstromen, aangepaste beleidsregels en nog veel meer beheren.
Meer informatie over het beheren van Azure AD B2C met Microsoft Graph.
Azure AD B2C-servicelimieten en -beperkingen
Meer informatie over Azure AD B2C-servicelimieten en -beperkingen
Volgende stappen
Nu u meer inzicht hebt in de functies en technische aspecten van Azure Active Directory B2C: