Overzicht van gebruikersstromen en aangepast beleid

In Azure AD B2C kunt u de bedrijfslogica definiëren die gebruikers volgen om toegang te krijgen tot uw toepassing. U kunt bijvoorbeeld bepalen welke stappen gebruikers volgen wanneer ze zich aanmelden, registreren, een profiel bewerken of een wachtwoord opnieuw instellen. Nadat de reeks is voltooid, verkrijgt de gebruiker een token en krijgt hij toegang tot uw toepassing.

In Azure AD B2C zijn er twee manieren om identiteitsgebruikerservaringen te bieden:

  • Gebruikersstromen zijn vooraf gedefinieerde, ingebouwde, configureerbare beleidsregels die we aanbieden, zodat u binnen een paar minuten ervaringen kunt maken voor registratie, aanmelden en profielbewerking.

  • Via aangepaste beleidsregels kunt u uw eigen gebruikersbelevingen samenstellen voor scenario's met complexe identiteitservaringen.

In de volgende schermopname ziet u de gebruikersinterface voor gebruikersstroominstellingen, versus aangepaste beleidsconfiguratiebestanden.

Screenshot shows the user flow settings UI, versus custom policy configuration files.

In dit artikel vindt u een kort overzicht van gebruikersstromen en aangepast beleid en kunt u bepalen welke methode het beste werkt voor uw bedrijfsbehoeften.

Gebruikersstromen

Als u de meest voorkomende identiteitstaken wilt instellen, bevat de Azure Portal verschillende vooraf gedefinieerde en configureerbare beleidsregels met de naam gebruikersstromen.

U kunt instellingen voor gebruikersstromen zoals deze configureren om het gedrag van identiteitservaringen in uw toepassingen te beheren:

  • Accounttypen die worden gebruikt voor aanmelding, zoals accounts voor sociale netwerken zoals een Facebook-account of lokale accounts die gebruikmaken van een e-mail adres en wachtwoord voor aanmelding
  • Kenmerken die moeten worden verzameld voor de consument, zoals voornaam, postcode of het land of de regio van vestiging
  • Azure AD MFA (Multi-Factor Authentication)
  • Aanpassing van de gebruikersinterface
  • Een set claims in een token die door de toepassing wordt ontvangen nadat de gebruiker de gebruikersstroom heeft voltooid
  • Sessiebeheer
  • ... en meer

De meeste veelvoorkomende identiteitsscenario's voor apps kunnen effectief worden gedefinieerd en geïmplementeerd met gebruikersstromen. U wordt aangeraden de ingebouwde gebruikersstromen te gebruiken, tenzij u complexe scenario's voor gebruikerstrajecten hebt waarvoor de volledige flexibiliteit van aangepast beleid is vereist.

Aangepast beleid

Aangepaste beleidsregels zijn configuratiebestanden die het gedrag van de gebruikerservaring van uw Azure AD B2C-tenant definiëren. Hoewel gebruikersstromen vooraf zijn gedefinieerd in de Azure AD B2C-portal voor de meest voorkomende identiteitstaken, kunnen aangepaste beleidsregels volledig worden bewerkt door een identiteitsontwikkelaar om veel verschillende taken uit te voeren.

Een aangepast beleid is volledig configureerbaar en beleidsgestuurd. Het organiseert vertrouwen tussen entiteiten in standaardprotocollen. OpenID Verbinding maken, OAuth, SAML en enkele niet-standaard, bijvoorbeeld op REST API gebaseerde systeem-naar-systeemclaimuitwisselingen. Het framework maakt gebruiksvriendelijke, witgelabelde ervaringen.

Het aangepaste beleid biedt u de mogelijkheid om gebruikerstrajecten samen te stellen met een combinatie van stappen. Bijvoorbeeld:

  • Federatie met andere id-providers
  • Problemen met meervoudige verificatie (MFA) van derden
  • Verzamelen van gebruikersinvoer
  • Integratie met externe systemen via communicatie met behulp van een REST-API

Elke gebruikersbeleving wordt gedefinieerd door een beleid. U kunt zo veel of zo weinig beleidsregels bouwen als u nodig hebt om de beste gebruikerservaring voor uw organisatie in te schakelen.

Diagram showing an example of a complex user journey enabled by IEF

Een aangepast beleid bestaat uit een of meer XML-bestanden die in een hiërarchische keten naar elkaar verwijzen. De XML-elementen definiëren het claimschema, claimtransformaties, inhoudsdefinities, claimproviders, technische profielen, orkestratiestappen voor gebruikerstrajecten en andere aspecten van de identiteitservaring.

De krachtige flexibiliteit van aangepast beleidsregels komt van pas wanneer u complexe identiteitsscenario's moet maken. Ontwikkelaars die aangepaste beleidsregels configureren, moeten de vertrouwde relaties zeer zorgvuldig definiëren en rekening houden met zaken zoals eindpunten van metagegevens, exacte definities voor claimuitwisseling, en het configureren van geheimen, sleutels en certificaten die nodig zijn voor elke id-provider.

Meer informatie over aangepaste beleidsregels vindt u in Aangepaste beleidsregels in Azure Active Directory B2C.

Gebruikersstromen en aangepast beleid vergelijken

De volgende tabel bevat een gedetailleerde vergelijking van de scenario's die u kunt inschakelen met Azure AD B2C-gebruikersstromen en aangepaste beleidsregels.

Context Gebruikersstromen Aangepast beleid
Doelgebruikers Alle toepassingsontwikkelaars met of zonder identiteitsexpertise. Identiteitsprofessionals, systeemintegrators, consultants en interne identiteitsteams. Ze zijn vertrouwd met OpenID Verbinding maken stromen en begrijpen id-providers en op claims gebaseerde verificatie.
Configuratiemethode Azure Portal met een gebruiksvriendelijke gebruikersinterface (UI). Xml-bestanden rechtstreeks bewerken en vervolgens uploaden naar de Azure Portal.
Aanpassing van de gebruikersinterface Volledige aanpassing van de gebruikersinterface , waaronder HTML, CSS en JavaScript.

Ondersteuning voor meerdere talen met aangepaste tekenreeksen.
Hetzelfde als gebruikersstromen
Kenmerkaanpassing Standaard- en aangepaste kenmerken. Hetzelfde als gebruikersstromen
Token- en sessiebeheer Het gedrag van tokens en sessies aanpassen. Hetzelfde als gebruikersstromen
Id-providers Vooraf gedefinieerde lokale of sociale provider, zoals federatie met Azure Active Directory tenants. Op standaarden gebaseerde OIDC, OAUTH en SAML. Verificatie is ook mogelijk met behulp van integratie met REST API's.
Identiteitstaken Registreren of aanmelden met lokale of veel sociale accounts.

Selfservice voor wachtwoordherstel.

Profiel bewerken.

Multi-Factor Authentication.

Toegangstokenstromen.
Voltooi dezelfde taken als gebruikersstromen met behulp van aangepaste id-providers of gebruik aangepaste bereiken.

Een gebruikersaccount inrichten in een ander systeem op het moment van registratie.

Stuur een welkomstbericht via uw eigen e-mailserviceprovider.

Gebruik een gebruikersarchief buiten Azure AD B2C.

Valideer door de gebruiker verstrekte informatie met een vertrouwd systeem met behulp van een API.

Integratie van toepassingen

U kunt veel gebruikersstromen of aangepaste beleidsregels van verschillende typen in uw tenant maken en deze indien nodig gebruiken in uw toepassingen. Zowel gebruikersstromen als aangepaste beleidsregels kunnen opnieuw worden gebruikt in toepassingen. Met deze flexibiliteit kunt u identiteitservaringen definiëren en wijzigen met minimale of geen wijzigingen in uw code.

Wanneer een gebruiker zich wil aanmelden bij uw toepassing, initieert de toepassing een autorisatieaanvraag naar een door een gebruiker opgegeven eindpunt of aangepast eindpunt. De gebruikersstroom of het aangepaste beleid definieert en bepaalt de gebruikerservaring. Wanneer ze een gebruikersstroom voltooien, genereert Azure AD B2C een token en wordt de gebruiker vervolgens teruggeleid naar uw toepassing.

Mobile app with arrows showing flow between Azure AD B2C sign-in page

Meerdere toepassingen kunnen dezelfde gebruikersstroom of hetzelfde aangepaste beleid gebruiken. Meerdere toepassingen kunnen dezelfde gebruikersstroom of hetzelfde aangepaste beleid gebruiken.

Als u zich bijvoorbeeld wilt aanmelden bij een toepassing, gebruikt de toepassing de gebruikersstroom registreren of aanmelden. Nadat de gebruiker zich heeft aangemeld, kan het zijn dat ze hun profiel willen bewerken. Als u het profiel wilt bewerken, initieert de toepassing deze keer een andere autorisatieaanvraag met behulp van de gebruikersstroom voor profielbewerking .

Uw toepassing activeert een gebruikersstroom met behulp van een standaard HTTP-verificatieaanvraag die de gebruikersstroom of aangepaste beleidsnaam bevat. Er wordt een aangepast token ontvangen als antwoord.

Volgende stappen