Udostępnij za pośrednictwem


Omówienie techniczne i funkcji usługi Azure Active Directory B2C

Przewodnik po artykule About Azure Active Directory B2C (Informacje o usłudze Azure Active Directory B2C) zawiera bardziej szczegółowe wprowadzenie do usługi. Omówione tutaj są podstawowe zasoby, z których pracujesz w usłudze, jej funkcje. Dowiedz się, jak te funkcje umożliwiają zapewnienie w pełni niestandardowego środowiska tożsamości dla klientów w aplikacjach.

dzierżawa usługi Azure AD B2C

W usłudze Azure Active Directory B2C (Azure AD B2C) dzierżawa reprezentuje Twoją organizację i jest katalogiem użytkowników. Każda dzierżawa usługi Azure AD B2C jest unikatowa i oddzielona od innych dzierżaw usługi Azure AD B2C. Dzierżawa usługi Azure AD B2C różni się od dzierżawy Microsoft Entra, którą już masz.

Podstawowe zasoby, z których pracujesz w dzierżawie usługi Azure AD B2C, to:

  • Katalogkatalog to miejsce, w którym Azure AD B2C przechowuje poświadczenia użytkowników, dane profilu i rejestracje aplikacji.
  • Rejestracje aplikacji — zarejestruj aplikacje internetowe, mobilne i natywne za pomocą usługi Azure AD B2C, aby umożliwić zarządzanie tożsamościami. Możesz również zarejestrować dowolne interfejsy API, które chcesz chronić za pomocą usługi Azure AD B2C.
  • Przepływy użytkownika i zasady niestandardowe — tworzenie środowisk tożsamości dla aplikacji z wbudowanymi przepływami użytkowników i w pełni konfigurowalnymi zasadami niestandardowymi:
    • Przepływy użytkowników ułatwiają szybkie włączanie typowych zadań tożsamości, takich jak rejestrowanie, logowanie i edytowanie profilu.
    • Zasady niestandardowe umożliwiają tworzenie złożonych przepływów pracy tożsamości unikatowych dla organizacji, klientów, pracowników, partnerów i obywateli.
  • Opcje logowania — Azure AD B2C oferuje różne opcje rejestracji i logowania dla użytkowników aplikacji:
    • Nazwa użytkownika, adres e-mail i logowanie za pomocą telefonu — skonfiguruj konta lokalne usługi Azure AD B2C, aby zezwolić na rejestrację i logowanie się przy użyciu nazwy użytkownika, adresu e-mail, numeru telefonu lub kombinacji metod.
    • Dostawcy tożsamości społecznościowych — Federate z dostawcami społecznościowymi, takimi jak Facebook, LinkedIn lub Twitter.
    • Zewnętrzni dostawcy tożsamości — Federuj ze standardowymi protokołami tożsamości, takimi jak OAuth 2.0, OpenID Connect i nie tylko.
  • Klucze — dodawanie kluczy szyfrowania i zarządzanie nimi na potrzeby podpisywania i weryfikowania tokenów, wpisów tajnych klienta, certyfikatów i haseł.

Dzierżawa usługi Azure AD B2C to pierwszy zasób, który należy utworzyć, aby rozpocząć pracę z usługą Azure AD B2C. Instrukcje:

Konta w usłudze Azure AD B2C

Azure AD B2C definiuje kilka typów kont użytkowników. Microsoft Entra identyfikator, Microsoft Entra B2B i Azure Active Directory B2C współużytkuje te typy kont.

  • Konto służbowe — użytkownicy z kontami służbowymi mogą zarządzać zasobami w dzierżawie, a także z rolą administratora, mogą również zarządzać dzierżawami. Użytkownicy z kontami służbowymi mogą tworzyć nowe konta konsumentów, resetować hasła, blokować/odblokowywać konta oraz ustawiać uprawnienia lub przypisywać konto do grupy zabezpieczeń.
  • Konto gościa — użytkownicy zewnętrzni zapraszani do dzierżawy jako goście. Typowym scenariuszem zapraszania użytkownika-gościa do dzierżawy usługi Azure AD B2C jest dzielenie się obowiązkami administracyjnymi.
  • Konto konsumenta — konta zarządzane przez przepływy użytkowników usługi Azure AD B2C i zasady niestandardowe.

Zrzut ekranu przedstawiający stronę zarządzania użytkownikami usługi Azure AD B2C w Azure Portal.
Rysunek: Katalog użytkowników w dzierżawie usługi Azure AD B2C w Azure Portal.

Konta konsumentów

Za pomocą konta użytkownika użytkownicy mogą logować się do aplikacji zabezpieczonych przy użyciu usługi Azure AD B2C. Użytkownicy z kontami konsumentów nie mogą jednak uzyskiwać dostępu do zasobów platformy Azure, na przykład Azure Portal.

Konto konsumenta może być skojarzone z następującymi typami tożsamości:

  • Tożsamość lokalna z nazwą użytkownika i hasłem przechowywanym lokalnie w katalogu Azure AD B2C. Te tożsamości są często nazywane "kontami lokalnymi".
  • Tożsamości społecznościowe lub przedsiębiorstwa , w których tożsamość użytkownika jest zarządzana przez dostawcę tożsamości federacyjnej. Na przykład Facebook, Google, Microsoft, ADFS lub Salesforce.

Użytkownik z kontem użytkownika może zalogować się przy użyciu wielu tożsamości. Na przykład nazwa użytkownika, adres e-mail, identyfikator pracownika, identyfikator instytucji rządowych i inne. Jedno konto może mieć wiele tożsamości, zarówno lokalnych, jak i społecznościowych.

Tożsamości konta użytkownika.
Rysunek: pojedyncze konto użytkownika z wieloma tożsamościami w usłudze Azure AD B2C

Aby uzyskać więcej informacji, zobacz Omówienie kont użytkowników w usłudze Azure Active Directory B2C.

Opcje logowania konta lokalnego

Azure AD B2C zapewnia różne sposoby uwierzytelniania użytkownika. Użytkownicy mogą logować się do konta lokalnego przy użyciu nazwy użytkownika i hasła, weryfikacji telefonu (nazywanej również uwierzytelnianiem bez hasła). Email rejestracja jest domyślnie włączona w ustawieniach lokalnego dostawcy tożsamości konta.

Dowiedz się więcej o opcjach logowania lub sposobie konfigurowania lokalnego dostawcy tożsamości konta.

Atrybuty profilu użytkownika

Azure AD B2C umożliwia zarządzanie typowymi atrybutami profilów kont konsumentów. Na przykład nazwa wyświetlana, nazwisko, imię, miasto i inne.

Można również rozszerzyć schemat Microsoft Entra, aby przechowywać dodatkowe informacje o użytkownikach. Na przykład ich kraj/region rezydencji, preferowany język i preferencje, takie jak to, czy chcą subskrybować biuletyn, czy włączyć uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji, zobacz:

Logowanie za pomocą zewnętrznych dostawców tożsamości

Możesz skonfigurować Azure AD B2C, aby umożliwić użytkownikom logowanie się do aplikacji przy użyciu poświadczeń od dostawców tożsamości społecznościowych i przedsiębiorstwa. Azure AD B2C może federować z dostawcami tożsamości, którzy obsługują protokoły OAuth 1.0, OAuth 2.0, OpenID Connect i SAML. Na przykład Facebook, konto Microsoft, Google, Twitter i AD-FS.

Diagram przedstawiający logo firmy dla przykładu zewnętrznych dostawców tożsamości.

Zewnętrzni dostawcy tożsamości mogą oferować użytkownikom możliwość logowania się przy użyciu istniejących kont społecznościowych lub przedsiębiorstwa bez konieczności tworzenia nowego konta tylko dla aplikacji.

Na stronie rejestracji lub logowania Azure AD B2C przedstawia listę zewnętrznych dostawców tożsamości, które użytkownik może wybrać do logowania. Po wybraniu jednego z zewnętrznych dostawców tożsamości nastąpi przekierowanie do witryny internetowej wybranego dostawcy w celu ukończenia procesu logowania. Po pomyślnym zalogowaniu się użytkownika zostanie on zwrócony do Azure AD B2C w celu uwierzytelnienia konta w aplikacji.

Diagram przedstawiający przykład logowania mobilnego z kontem społecznościowym (Facebook).

Aby dowiedzieć się, jak dodać dostawców tożsamości w usłudze Azure AD B2C, zobacz Dodawanie dostawców tożsamości do aplikacji w usłudze Azure Active Directory B2C.

Środowiska obsługi tożsamości: przepływy użytkowników lub zasady niestandardowe

W Azure AD B2C można zdefiniować logikę biznesową, którą użytkownicy obserwują, aby uzyskać dostęp do aplikacji. Można na przykład określić sekwencję kroków, które użytkownicy będą wykonywać podczas logowania, tworzenia konta, edytowania profilu lub resetowania hasła. Po zakończeniu sekwencji użytkownik uzyskuje token i uzyskuje dostęp do aplikacji.

W Azure AD B2C istnieją dwa sposoby zapewniania środowiska użytkownika tożsamości:

  • Przepływy użytkowników są wstępnie zdefiniowanymi, wbudowanymi, konfigurowalnymi zasadami, które udostępniamy, dzięki czemu możesz tworzyć środowiska rejestracji, logowania i edytowania zasad w ciągu kilku minut.

  • Zasady niestandardowe umożliwiają tworzenie własnych podróży użytkownika na potrzeby złożonych scenariuszy obsługi tożsamości.

Poniższy zrzut ekranu przedstawia interfejs użytkownika ustawień przepływu użytkownika w porównaniu z niestandardowymi plikami konfiguracji zasad.

Zrzut ekranu przedstawiający interfejs użytkownika ustawień przepływu użytkownika i plik konfiguracji zasad niestandardowych.

Przeczytaj artykuł Omówienie przepływów użytkownika i zasad niestandardowych . Zawiera omówienie przepływów użytkownika i zasad niestandardowych oraz ułatwia określenie, która metoda będzie najlepsza dla potrzeb biznesowych.

Interfejs użytkownika

W Azure AD B2C można tworzyć środowiska tożsamości użytkowników, aby strony wyświetlane bezproblemowo łączyły się z wyglądem i działaniem marki. Możesz uzyskać niemal pełną kontrolę nad zawartością HTML i CSS prezentowaną użytkownikom podczas przechodzenia przez procesy związane z tożsamościami aplikacji. Dzięki tej elastyczności można zachować spójność marki i wizualizacji między aplikacją a Azure AD B2C.

Uwaga

Dostosowywanie stron renderowanych przez osoby trzecie w przypadku korzystania z kont społecznościowych jest ograniczone do opcji udostępnianych przez tego dostawcę tożsamości i wykracza poza kontrolę Azure AD B2C.

Aby uzyskać informacje na temat dostosowywania interfejsu użytkownika, zobacz:

Domena niestandardowa

Domenę Azure AD B2C można dostosować w identyfikatorach URI przekierowania dla aplikacji. Domena niestandardowa umożliwia tworzenie bezproblemowego środowiska, dzięki czemu wyświetlane strony bezproblemowo łączą się z nazwą domeny aplikacji. Z perspektywy użytkownika pozostają w domenie podczas procesu logowania, a nie przekierowywanie do domeny domyślnej Azure AD B2C .b2clogin.com.

Aby uzyskać więcej informacji, zobacz Włączanie domen niestandardowych.

Lokalizacja

Dostosowywanie języka w usłudze Azure AD B2C umożliwia dostosowanie różnych języków do potrzeb klientów. Firma Microsoft udostępnia tłumaczenia dla 36 języków, ale możesz również udostępniać własne tłumaczenia dla dowolnego języka.

Zrzut ekranu przedstawiający trzy strony logowania z tekstem interfejsu użytkownika w różnych językach.

Zobacz, jak działa lokalizacja w obszarze Dostosowywanie języka w usłudze Azure Active Directory B2C.

Weryfikacja za pomocą wiadomości e-mail

Azure AD B2C zapewnia prawidłowe adresy e-mail, wymagając od klientów zweryfikowania ich podczas rejestracji i przepływów resetowania hasła. Uniemożliwia również złośliwym podmiotom używanie zautomatyzowanych procesów do generowania fałszywych kont w aplikacjach.

Zrzuty ekranu przedstawiające proces weryfikacji wiadomości e-mail.

Możesz dostosować wiadomość e-mail do użytkowników, którzy zarejestrują się w celu korzystania z aplikacji. Korzystając z dostawcy poczty e-mail innej firmy, możesz użyć własnego szablonu poczty e-mail oraz adresu i tematu, a także obsługiwać lokalizację i niestandardowe ustawienia hasła jednorazowego (OTP). Aby uzyskać więcej informacji, zobacz:

Dodawanie własnej logiki biznesowej i wywoływanie interfejsów API RESTful

Możesz zintegrować się z interfejsem API RESTful zarówno w przepływach użytkownika, jak i w zasadach niestandardowych. Różnica polega na tym, że w przepływach użytkownika wykonujesz wywołania w określonych miejscach, podczas gdy w zasadach niestandardowych dodasz własną logikę biznesową do podróży. Ta funkcja umożliwia pobieranie i używanie danych z zewnętrznych źródeł tożsamości. Azure AD B2C może wymieniać dane za pomocą usługi RESTful w celu:

  • Wyświetlanie niestandardowych komunikatów o błędach przyjaznych dla użytkownika.
  • Zweryfikuj dane wejściowe użytkownika, aby zapobiec utrwalaniu źle sformułowanych danych w katalogu użytkownika. Można na przykład zmodyfikować dane wprowadzone przez użytkownika, takie jak wielką literą ich imię, jeśli zostały wprowadzone we wszystkich małych literach.
  • Wzbogacanie danych użytkownika przez dalszą integrację z firmową aplikacją biznesową.
  • Za pomocą wywołań RESTful można wysyłać powiadomienia wypychane, aktualizować firmowe bazy danych, uruchamiać proces migracji użytkowników, zarządzać uprawnieniami, przeprowadzać inspekcję baz danych i nie tylko.

Programy lojalnościowe są kolejnym scenariuszem obsługiwanym przez obsługę usługi Azure AD B2C na potrzeby wywoływania interfejsów API REST. Na przykład usługa RESTful może otrzymać adres e-mail użytkownika, wysłać zapytanie do bazy danych klienta, a następnie zwrócić numer lojalności użytkownika do Azure AD B2C.

Dane zwrotne mogą być przechowywane na koncie katalogu użytkownika w usłudze Azure AD B2C. Następnie dane można dokładniej ocenić w kolejnych krokach zasad lub uwzględnić je w tokenie dostępu.

Diagram przedstawiający integrację biznesową w aplikacji mobilnej.

Wywołanie interfejsu API REST można dodać w dowolnym kroku w ramach podróży użytkownika zdefiniowanej przez zasady niestandardowe. Możesz na przykład wywołać interfejs API REST:

  • Podczas logowania, tuż przed Azure AD B2C weryfikuje poświadczenia
  • Natychmiast po zalogowaniu
  • Przed Azure AD B2C tworzy nowe konto w katalogu
  • Po Azure AD B2C tworzy nowe konto w katalogu
  • Przed Azure AD B2C wystawia token dostępu

Aby uzyskać więcej informacji, zobacz Integrowanie wymiany oświadczeń interfejsu API REST w zasadach niestandardowych usługi Azure AD B2C.

Protokoły i tokeny

  • W przypadku aplikacji Azure AD B2C obsługuje protokoły OAuth 2.0, OpenID Connect i SAML na potrzeby podróży użytkowników. Aplikacja rozpoczyna podróż użytkownika, wysyłając żądania uwierzytelniania do Azure AD B2C. Wynikiem żądania Azure AD B2C jest token zabezpieczający, taki jak token identyfikatora, token dostępu lub token SAML. Ten token zabezpieczający definiuje tożsamość użytkownika w aplikacji.

  • W przypadku tożsamości zewnętrznych usługa Azure AD B2C obsługuje federację z dowolnymi dostawcami tożsamości OAuth 1.0, OAuth 2.0, OpenID Connect i SAML.

Na poniższym diagramie pokazano, jak Azure AD B2C może komunikować się przy użyciu różnych protokołów w ramach tego samego przepływu uwierzytelniania:

Diagram aplikacji klienckiej opartej na protokole OIDC z opartym na protokole SAML diagramem dostawcy tożsamości opartym na protokole OIDC federującym aplikację OIDC z opartym na protokole SAML dostawcą tożsamości.

  1. Aplikacja jednostki uzależnionej uruchamia żądanie autoryzacji w celu Azure AD B2C przy użyciu programu OpenID Connect.
  2. Gdy użytkownik aplikacji zdecyduje się zalogować przy użyciu zewnętrznego dostawcy tożsamości korzystającego z protokołu SAML, Azure AD B2C wywołuje protokół SAML do komunikowania się z tym dostawcą tożsamości.
  3. Po zakończeniu operacji logowania przez użytkownika z zewnętrznym dostawcą tożsamości Azure AD B2C następnie zwraca token do aplikacji jednostki uzależnionej przy użyciu programu OpenID Connect.

Integracja aplikacji

Gdy użytkownik chce zalogować się do aplikacji, aplikacja inicjuje żądanie autoryzacji do punktu końcowego dostarczonego przez użytkownika lub niestandardowe zasady. Przepływ użytkownika lub niestandardowe zasady definiują i kontrolują środowisko użytkownika. Po zakończeniu przepływu użytkownika, na przykład przepływu rejestracji lub logowania, Azure AD B2C generuje token, a następnie przekierowuje użytkownika z powrotem do aplikacji. Ten token jest specyficzny dla Azure AD B2C i nie należy go mylić z tokenem wystawionym przez dostawców tożsamości innych firm podczas korzystania z kont społecznościowych. Aby uzyskać informacje na temat używania tokenów innych firm, zobacz Przekazywanie tokenu dostępu dostawcy tożsamości do aplikacji w usłudze Azure Active Directory B2C.

Aplikacja mobilna ze strzałkami pokazującymi przepływ między stroną logowania Azure AD B2C.

Wiele aplikacji może używać tego samego przepływu użytkownika lub zasad niestandardowych. Jedna aplikacja może używać wielu przepływów użytkownika lub zasad niestandardowych.

Na przykład aby zalogować się do aplikacji, aplikacja korzysta z przepływu rejestracji lub logowania użytkownika. Po zalogowaniu się użytkownik może chcieć edytować swój profil, więc aplikacja inicjuje kolejne żądanie autoryzacji, tym razem przy użyciu przepływu edytowania profilu użytkownika.

Uwierzytelnianie wieloskładnikowe (MFA)

Azure AD B2C Multi-Factor Authentication (MFA) pomaga chronić dostęp do danych i aplikacji przy zachowaniu prostoty dla użytkowników. Zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania i zapewniając silne uwierzytelnianie, oferując szereg łatwych w użyciu metod uwierzytelniania.

Użytkownicy mogą lub nie mogą być kwestionowani w przypadku uwierzytelniania wieloskładnikowego w oparciu o decyzje dotyczące konfiguracji, które można podjąć jako administrator.

Aby uzyskać więcej informacji, zobacz Włączanie uwierzytelniania wieloskładnikowego w usłudze Azure Active Directory B2C.

Dostęp warunkowy

Ochrona tożsamości Microsoft Entra funkcje wykrywania ryzyka, w tym ryzykowne użytkownicy i ryzykowne logowania, są automatycznie wykrywane i wyświetlane w dzierżawie usługi Azure AD B2C. Możesz utworzyć zasady dostępu warunkowego, które używają tych wykrywania ryzyka w celu określenia akcji korygujących i wymuszania zasad organizacji.

Diagram przedstawiający przepływ dostępu warunkowego.

Azure AD B2C ocenia każde zdarzenie logowania i gwarantuje, że wszystkie wymagania dotyczące zasad zostaną spełnione przed udzieleniem dostępu do użytkownika. Ryzykowni użytkownicy lub logowania mogą być blokowani lub kwestionowani za pomocą określonego korygowania, takiego jak uwierzytelnianie wieloskładnikowe (MFA). Aby uzyskać więcej informacji, zobacz Identity Protection and Conditional Access (Ochrona tożsamości i dostęp warunkowy).

Złożoność hasła

Podczas rejestracji lub resetowania hasła użytkownicy muszą podać hasło spełniające reguły złożoności. Domyślnie Azure AD B2C wymusza silne zasady haseł. Azure AD B2C udostępnia również opcje konfiguracji umożliwiające określenie wymagań dotyczących złożoności haseł używanych przez klientów podczas korzystania z kont lokalnych.

Zrzut ekranu przedstawiający interfejs użytkownika dla środowiska złożoności hasła.

Aby uzyskać więcej informacji, zobacz Konfigurowanie wymagań dotyczących złożoności haseł w usłudze Azure AD B2C.

Wymuś resetowanie hasła

Jako administrator dzierżawy usługi Azure AD B2C możesz zresetować hasło użytkownika, jeśli użytkownik zapomni swoje hasło. Możesz też wymusić okresowe zresetowanie hasła. Aby uzyskać więcej informacji, zobacz Konfigurowanie wymuszonego przepływu resetowania hasła.

Wymuś przepływ resetowania hasła.

Blokada konta inteligentnego

Aby zapobiec próbom zgadywania haseł siłowych, Azure AD B2C używa wyrafinowanej strategii blokowania kont na podstawie adresu IP żądania, wprowadzone hasła i kilka innych czynników. Czas trwania blokady jest automatycznie zwiększany na podstawie ryzyka i liczby prób.

Blokada inteligentnakonta Zrzut ekranu przedstawiający interfejs użytkownika blokady konta ze strzałkami z wyróżnionym powiadomieniem o blokadzie.

Aby uzyskać więcej informacji na temat zarządzania ustawieniami ochrony haseł, zobacz Ograniczanie ataków poświadczeń w usłudze Azure AD B2C.

Ochrona zasobów i tożsamości klientów

Azure AD B2C jest zgodna z zabezpieczeniami, prywatnością i innymi zobowiązaniami opisanymi w Centrum zaufania platformy Microsoft Azure.

Sesje są modelowane jako zaszyfrowane dane z kluczem odszyfrowywania znanym tylko z usługi tokenu zabezpieczającego B2C Azure AD B2C. Używany jest silny algorytm szyfrowania AES-192. Wszystkie ścieżki komunikacyjne są chronione przy użyciu protokołu TLS w celu zachowania poufności i integralności. Nasza usługa tokenu zabezpieczającego używa certyfikatu rozszerzonej weryfikacji (EV) dla protokołu TLS. Ogólnie rzecz biorąc, usługa tokenu zabezpieczającego ogranicza ataki między witrynami (XSS), nie renderując niezaufanych danych wejściowych.

Diagram przedstawiający bezpieczne dane przesyłane i magazynowane.

Dostęp do danych użytkownika

dzierżawy usługi Azure AD B2C mają wiele cech charakterystycznych dla dzierżaw Microsoft Entra przedsiębiorstwa używanych dla pracowników i partnerów. Udostępnione aspekty obejmują mechanizmy wyświetlania ról administracyjnych, przypisywania ról i działań inspekcji.

Role można przypisywać do kontrolowania, kto może wykonywać określone akcje administracyjne w usłudze Azure AD B2C, w tym:

  • Tworzenie wszystkich aspektów przepływów użytkowników i zarządzanie nimi
  • Tworzenie schematu atrybutów dostępnego dla wszystkich przepływów użytkownika i zarządzanie nim
  • Konfigurowanie dostawców tożsamości do użycia w federacji bezpośredniej
  • Tworzenie zasad platformy zaufania i zarządzanie nimi w programie Identity Experience Framework (zasady niestandardowe)
  • Zarządzanie wpisami tajnymi na potrzeby federacji i szyfrowania w programie Identity Experience Framework (zasady niestandardowe)

Aby uzyskać więcej informacji na temat ról Microsoft Entra, w tym obsługi roli administracyjnej usługi Azure AD B2C, zobacz Uprawnienia roli administratora w identyfikatorze Microsoft Entra.

Inspekcja i dzienniki

Azure AD B2C emituje dzienniki inspekcji zawierające informacje o aktywności dotyczące zasobów, wystawionych tokenów i dostępu administratora. Dzienniki inspekcji umożliwiają zrozumienie aktywności platformy i diagnozowanie problemów. Wpisy dziennika inspekcji są dostępne wkrótce po wystąpieniu działania, które wygenerowało zdarzenie.

W dzienniku inspekcji dostępnym dla twojej dzierżawy usługi Azure AD B2C lub dla określonego użytkownika można znaleźć informacje, takie jak:

  • Działania dotyczące autoryzacji użytkownika w celu uzyskania dostępu do zasobów B2C (na przykład administratora, który uzyskuje dostęp do listy zasad B2C)
  • Działania związane z atrybutami katalogu pobierane, gdy administrator loguje się przy użyciu Azure Portal
  • Tworzenie, odczytywanie, aktualizowanie i usuwanie operacji (CRUD) w aplikacjach B2C
  • Operacje CRUD na kluczach przechowywanych w kontenerze kluczy B2C
  • Operacje CRUD na zasobach B2C (na przykład zasady i dostawcy tożsamości)
  • Walidacja poświadczeń użytkownika i wystawiania tokenów

Dziennik inspekcji poszczególnych użytkowników wyświetlany w Azure Portal.

Aby uzyskać więcej informacji na temat dzienników inspekcji, zobacz Accessing Azure AD B2C audit logs (Uzyskiwanie dostępu do dzienników inspekcji usługi Azure AD B2C).

Analiza użycia

Azure AD B2C pozwala wykrywać, kiedy użytkownicy tworzą konto lub logują się do aplikacji, gdzie znajdują się użytkownicy, oraz jakie przeglądarki i systemy operacyjne używają.

Integrując aplikacja systemu Azure Insights z zasadami niestandardowymi usługi Azure AD B2C, możesz uzyskać wgląd w sposób rejestracji, logowania, resetowania hasła lub edytowania profilu. Dzięki takiej wiedzy możesz podejmować decyzje oparte na danych dla nadchodzących cykli programistycznych.

Aby uzyskać więcej informacji, zobacz Śledzenie zachowania użytkowników w usłudze Azure Active Directory B2C przy użyciu usługi Application Insights.

Dostępność w poszczególnych regionach i miejsce przechowywania danych

Azure AD usługa B2C jest ogólnie dostępna na całym świecie z opcją przechowywania danych w regionach określonych w obszarze Dostępność produktów według regionów. Miejsce przechowywania danych zależy od kraju/regionu wybranego podczas tworzenia dzierżawy.

Dowiedz się więcej na temat rezydencji danych dotyczących dostępności & w regionie usługi Azure Active Directory B2C i umowy dotyczącej poziomu usług (SLA) dla usługi Azure Active Directory B2C.

Automatyzacja przy użyciu usługi Microsoft interfejs Graph API

Użyj interfejsu API programu MS Graph do zarządzania katalogiem Azure AD B2C. Można również utworzyć sam katalog Azure AD B2C. Możesz zarządzać użytkownikami, dostawcami tożsamości, przepływami użytkowników, zasadami niestandardowymi i wiele innych.

Dowiedz się więcej na temat zarządzania Azure AD B2C za pomocą programu Microsoft Graph.

Azure AD limity i ograniczenia usługi B2C

Dowiedz się więcej o limitach i ograniczeniach usługi B2C Azure AD

Następne kroki

Teraz, gdy masz bardziej szczegółowe informacje na temat funkcji i aspektów technicznych usługi Azure Active Directory B2C: