Azure Active Directory B2C-implementatieplannen
Azure Active Directory B2C (Azure AD B2C) is een oplossing voor identiteits- en toegangsbeheer die de integratie met uw infrastructuur kan vereenvoudigen. Gebruik de volgende richtlijnen om inzicht te verkrijgen in vereisten en naleving in een Azure AD B2C-implementatie.
Een Azure AD B2C-implementatie plannen
Eisen
- De primaire reden beoordelen om systemen uit te schakelen
- Plan voor een nieuwe toepassing het ontwerp van het CIAM-systeem (Customer Identity Access Management)
- Zie, planning en ontwerp
- Klantlocaties identificeren en een tenant maken in het bijbehorende datacenter
- Zie zelfstudie : Een Azure Active Directory B2C-tenant maken
- Bevestig uw toepassingstypen en ondersteunde technologieën:
- Migreren van een id-provider (IdP):
- Naadloze migratie
- Ga naar
user-migration
- Protocollen selecteren
- Als u Kerberos, Microsoft Windows NT LAN Manager (NTLM) en Web Services Federation (WS-Fed) gebruikt, raadpleegt u de video, toepassings- en identiteitsmigratie naar Azure AD B2C
Na de migratie kunnen uw toepassingen moderne identiteitsprotocollen ondersteunen, zoals Open Authorization (OAuth) 2.0 en OpenID Connect (OIDC).
Belanghebbenden
Succes van technologieproject is afhankelijk van het beheren van verwachtingen, resultaten en verantwoordelijkheden.
- De toepassingsarchitect, technisch programmamanager en eigenaar identificeren
- Een distributielijst (DL) maken om te communiceren met het Microsoft-account of technische teams
- Vragen stellen, antwoorden krijgen en meldingen ontvangen
- Een partner of resource buiten uw organisatie identificeren ter ondersteuning van u
Meer informatie: De juiste belanghebbenden opnemen
Communicatie
Communiceer proactief en regelmatig met uw gebruikers over in behandeling zijnde en huidige wijzigingen. Informeer hen over hoe de ervaring verandert, wanneer deze verandert en geef een contactpersoon voor ondersteuning.
Tijdlijnen
Hulp bij het instellen van realistische verwachtingen en het maken van onvoorziene plannen om te voldoen aan de belangrijkste mijlpalen:
- Testdatum
- Startdatum
- Datums die van invloed zijn op levering
- Afhankelijkheden
Een Azure AD B2C-implementatie implementeren
- Toepassingen en gebruikersidentiteiten implementeren - Clienttoepassing implementeren en gebruikersidentiteiten migreren
- Onboarding en producten van clienttoepassingen: onboarding van de clienttoepassing onboarden en de oplossing testen
- Beveiliging : de beveiliging van de identiteitsoplossing verbeteren
- Naleving - Voldoen aan wettelijke vereisten
- Gebruikerservaring : een gebruiksvriendelijke service inschakelen
Verificatie en autorisatie implementeren
- Voordat uw toepassingen met Azure AD B2C communiceren, registreert u deze in een tenant die u beheert
- Zie zelfstudie : Een Azure Active Directory B2C-tenant maken
- Gebruik voor autorisatie de voorbeeldgebruikerstrajecten Identity Experience Framework (IEF)
- Beheer op basis van beleid gebruiken voor cloudeigen omgevingen
- Ga naar meer
openpolicyagent.orginformatie over Open Policy Agent (OPA)
- Ga naar meer
Meer informatie over het Microsoft Identity PDF-bestand, het verkrijgen van expertise met Azure AD B2C, een cursus voor ontwikkelaars.
Controlelijst voor persona's, machtigingen, delegatie en aanroepen
- De persona's identificeren die toegang hebben tot uw toepassing
- Definiëren hoe u systeemmachtigingen en -rechten vandaag en in de toekomst beheert
- Controleer of u een machtigingsarchief hebt en of er machtigingen zijn om toe te voegen aan de map
- Definiëren hoe u gedelegeerd beheer beheert
- Bijvoorbeeld het klantenbeheer van uw klanten
- Controleer of uw toepassing een API Manager (APIM) aanroept
- Mogelijk is het nodig om vanuit de IdP aan te roepen voordat de toepassing een token wordt uitgegeven
Toepassingen en gebruikersidentiteiten implementeren
Azure AD B2C-projecten beginnen met een of meer clienttoepassingen.
- De nieuwe App-registraties-ervaring voor Azure Active Directory B2C
- Raadpleeg azure Active Directory B2C-codevoorbeelden voor implementatie
- Uw gebruikerstraject instellen op basis van aangepaste gebruikersstromen
Controlelijst voor toepassingsimplementatie
- Toepassingen die zijn opgenomen in de CIAM-implementatie
- Toepassingen die in gebruik zijn
- Bijvoorbeeld webtoepassingen, API's, web-apps met één pagina (SPA's) of systeemeigen mobiele toepassingen
- Verificatie in gebruik:
- Bijvoorbeeld formulieren die zijn gefedereerd met Security Assertion Markup Language (SAML) of federatief met OIDC
- Als OIDC, bevestigt u het antwoordtype: code of id_token
- Bepalen waar front-end- en back-endtoepassingen worden gehost: on-premises, cloud of hybride cloud
- Bevestig de platforms of talen die in gebruik zijn:
- Bijvoorbeeld ASP.NET, Java en Node.js
- Zie quickstart : Aanmelden instellen voor een ASP.NET-toepassing met behulp van Azure AD B2C
- Controleren waar gebruikerskenmerken worden opgeslagen
- Bijvoorbeeld Lightweight Directory Access Protocol (LDAP) of databases
Controlelijst voor implementatie van gebruikersidentiteiten
- Het aantal gebruikers dat toegang heeft tot toepassingen bevestigen
- Bepaal de idP-typen die nodig zijn:
- Bijvoorbeeld Facebook, lokaal account en Active Directory Federation Services (AD FS)
- Zie Active Directory Federation Services
- Een overzicht maken van het claimschema dat is vereist vanuit uw toepassing, Azure AD B2C en IDP's, indien van toepassing
- Zie, ClaimsSchema
- Bepalen welke gegevens moeten worden verzameld tijdens het aanmelden en registreren
Onboarding en producten van clienttoepassingen
Gebruik de volgende controlelijst voor het onboarden van een toepassing
| Gebied | Beschrijving |
|---|---|
| Toepassingsdoelgroep | Selecteer een van de eindklanten, zakelijke klanten of een digitale service. Bepaal een behoefte aan aanmelding van werknemers. |
| Bedrijfswaarde van toepassing | Inzicht in de bedrijfsbehoefte of het doel om de beste Azure AD B2C-oplossing en integratie met andere clienttoepassingen te bepalen. |
| Uw identiteitsgroepen | Clusteridentiteiten in groepen met vereisten, zoals business-to-consumer (B2C), business-to-business (B2B) business-to-employee (B2E) en business-to-machine (B2M) voor aanmeldings- en serviceaccounts voor IoT-apparaten. |
| IdP (IdP) | Zie een id-provider selecteren. Voor een mobiele C2C-app (customer-to-customer) gebruikt u bijvoorbeeld een eenvoudig aanmeldingsproces. B2C met digitale services heeft nalevingsvereisten. Overweeg om u aan te melden via e-mail. |
| Wettelijke beperkingen | Bepaal of externe profielen of privacybeleid nodig zijn. |
| Aanmeldings- en registratiestroom | Bevestig e-mailverificatie of e-mailverificatie tijdens de registratie. Zie Hoe het werkt voor uitcheckprocessen : Meervoudige verificatie van Microsoft Entra. Bekijk de video azure AD B2C-gebruikersmigratie met behulp van Microsoft Graph API. |
| Toepassings- en verificatieprotocol | Implementeer clienttoepassingen zoals webtoepassing, toepassing met één pagina (BEVEILIGD-WACHTWOORDVERIFICATIE) of systeemeigen toepassingen. Verificatieprotocollen voor clienttoepassing en Azure AD B2C: OAuth, OIDC en SAML. Bekijk de video Web-API's beveiligen met Microsoft Entra ID. |
| Gebruikersmigratie | Controleer of u gebruikers migreert naar Azure AD B2C: Just-In-Time-migratie (JIT) en bulksgewijs importeren/exporteren. Bekijk de video over migratiestrategieën voor Azure AD B2C-gebruikers. |
Gebruik de volgende controlelijst voor levering.
| Gebied | Beschrijving |
|---|---|
| Protocolgegevens | Verzamel het basispad, het beleid en de metagegevens-URL van beide varianten. Geef kenmerken op, zoals voorbeeld-aanmelding, clienttoepassings-id, geheimen en omleidingen. |
| Toepassingsvoorbeelden | Zie codevoorbeelden van Azure Active Directory B2C. |
| Penetratietests | Informeer uw operations-team over pentests en test vervolgens gebruikersstromen, waaronder de OAuth-implementatie. Zie de regels voor penetratietests en penetratietests. |
| Eenheidstests | Eenheidstest en tokens genereren. Zie de referenties voor het wachtwoord van microsoft-identiteitsplatform en OAuth 2.0-resource-eigenaar. Als u de limiet voor Azure AD B2C-token bereikt, raadpleegt u Azure AD B2C: Ondersteuningsaanvragen voor bestanden. Gebruik tokens opnieuw om het onderzoek naar uw infrastructuur te verminderen. Stel een stroom voor wachtwoordreferenties voor de resource-eigenaar in Azure Active Directory B2C in. Gebruik geen ROPC-stroom om gebruikers in uw apps te verifiëren. |
| Belastingstests | Meer informatie over azure AD B2C-servicelimieten en -beperkingen. Bereken de verwachte verificaties en aanmeldingen van gebruikers per maand. Evalueer hoge belastingsverkeersduur en zakelijke redenen: vakantie, migratie en gebeurtenis. Bepaal de verwachte piekpercentages voor registratie, verkeer en geografische distributie, bijvoorbeeld per seconde. |
Veiligheid
Gebruik de volgende controlelijst om de beveiliging van toepassingen te verbeteren.
- Verificatiemethode, zoals meervoudige verificatie:
- Meervoudige verificatie wordt aanbevolen voor gebruikers die transacties met hoge waarde of andere risicogebeurtenissen activeren. Bijvoorbeeld bank- en financiële processen en uitcheckprocessen.
- Zie: Welke verificatie- en verificatiemethoden zijn beschikbaar in Microsoft Entra ID?
- Het gebruik van antibotmechanismen bevestigen
- Het risico beoordelen van pogingen om een frauduleus account of aanmelding te maken
- Bevestig de benodigde voorwaardelijke houdingen als onderdeel van aanmelding of registratie
Voorwaardelijke toegang en Microsoft Entra ID-beveiliging
- De moderne beveiligingsperimeter gaat nu verder dan het netwerk van een organisatie. De perimeter bevat gebruikers- en apparaat-id's.
- De beveiliging van Azure AD B2C verbeteren met Microsoft Entra ID Protection
Naleving
Om te voldoen aan wettelijke vereisten en de beveiliging van back-endsystemen te verbeteren, kunt u virtuele netwerken (VNets), IP-beperkingen, Web Application Firewall enzovoort gebruiken. Houd rekening met de volgende vereisten:
- Uw nalevingsvereisten voor regelgeving
- Bijvoorbeeld: Payment Card Industry Data Security Standard (PCI DSS)
- Ga naar pcisecuritystandards.org voor meer informatie over de PCI Security Standards Council
- Gegevensopslag in een afzonderlijk databasearchief
- Bepalen of deze informatie niet kan worden weggeschreven naar de map
Gebruikerservaring
Gebruik de volgende controlelijst om gebruikerservaringvereisten te definiëren.
- Integraties identificeren om CIAM-mogelijkheden uit te breiden en naadloze eindgebruikerservaringen te bouwen
- Schermopnamen en gebruikersverhalen gebruiken om de eindgebruikerservaring van de toepassing weer te geven
- Bijvoorbeeld schermafbeeldingen van aanmelding, registratie, registratie/aanmelding (SUSI), profielbewerking en wachtwoordherstel
- Zoek naar hints die worden doorgegeven met behulp van queryreeksparameters in uw CIAM-oplossing
- Voor een hoge aanpassing van de gebruikerservaring kunt u overwegen een front-endontwikkelaar te gebruiken
- In Azure AD B2C kunt u HTML en CSS aanpassen
- Implementeer een ingesloten ervaring met behulp van iframe-ondersteuning:
- Zie, ingesloten registratie- of aanmeldingservaring
- Gebruik voor een toepassing met één pagina een tweede aanmeldings-HTML-pagina die in het
<iframe>element wordt geladen
Controle en logboekregistratie bewaken
Gebruik de volgende controlelijst voor controle, controle en logboekregistratie.
- Monitoring
- Azure AD B2C bewaken met Azure Monitor
- Bekijk de videobewaking en rapportage van Azure AD B2C met behulp van Azure Monitor
- Controle en logboekregistratie
Weg
- Een Microsoft Graph-toepassing registreren
- Azure AD B2C beheren met Microsoft Graph
- Aangepast beleid implementeren met Azure Pipelines
- Aangepast Azure AD B2C-beleid beheren met Azure PowerShell
Volgende stappen
Aanbevelingen en best practices voor Azure Active Directory B2C