Zalecenia i najlepsze rozwiązania dotyczące usługi Azure Active Directory B2C
Poniższe najlepsze rozwiązania i zalecenia obejmują niektóre podstawowe aspekty integracji usługi Azure Active Directory (Azure AD) B2C z istniejącymi lub nowymi środowiskami aplikacji.
Informacje podstawowe
| Najlepsze rozwiązanie | opis |
|---|---|
| Wybieranie przepływów użytkowników dla większości scenariuszy | Struktura środowiska obsługi tożsamości usługi Azure AD B2C to podstawowa siła usługi. Zasady w pełni opisują środowiska tożsamości, takie jak rejestracja, logowanie lub edytowanie profilu. Aby ułatwić konfigurowanie najbardziej typowych zadań związanych z tożsamościami, portal usługi Azure AD B2C zawiera wstępnie zdefiniowane, konfigurowalne zasady nazywane przepływami użytkowników. Dzięki przepływom użytkowników możesz tworzyć doskonałe środowiska użytkownika w ciągu kilku minut. Dowiedz się, kiedy używać przepływów użytkownika a zasad niestandardowych. |
| Rejestracje aplikacji | Każda aplikacja (internetowa, natywna) i zabezpieczony interfejs API muszą być zarejestrowane w usłudze Azure AD B2C. Jeśli aplikacja ma zarówno internetową, jak i natywną wersję systemów iOS i Android, możesz zarejestrować je jako jedną aplikację w usłudze Azure AD B2C przy użyciu tego samego identyfikatora klienta. Dowiedz się, jak rejestrować aplikacje OIDC, SAML, internetowe i natywne. Dowiedz się więcej o typach aplikacji, które mogą być używane w usłudze Azure AD B2C. |
| Przechodzenie do rozliczeń aktywnych użytkowników miesięcznie | Usługa Azure AD B2C została przeniesiona z miesięcznych aktywnych uwierzytelniania do rozliczeń miesięcznych aktywnych użytkowników (MAU). Większość klientów znajdzie ten model ekonomiczny. Dowiedz się więcej o miesięcznych rozliczeniach aktywnych użytkowników. |
Planowanie i projektowanie
Zdefiniuj architekturę aplikacji i usługi, spis bieżących systemów i zaplanuj migrację do usługi Azure AD B2C.
| Najlepsze rozwiązanie | opis |
|---|---|
| Tworzenie architektury kompleksowego rozwiązania | Uwzględnij wszystkie zależności aplikacji podczas planowania integracji usługi Azure AD B2C. Rozważ wszystkie usługi i produkty, które znajdują się obecnie w Twoim środowisku lub które mogą wymagać dodania do rozwiązania (na przykład usługi Azure Functions, systemów zarządzania relacjami z klientami (CRM), bramy usługi Azure API Management i usług magazynowania. Uwzględnij zabezpieczenia i skalowalność wszystkich usług. |
| Dokumentowanie środowisk użytkowników | Szczegółowe informacje o wszystkich podróżach użytkowników, które klienci mogą doświadczyć w aplikacji. Uwzględnij każdy ekran i wszystkie przepływy rozgałęziania, które mogą napotkać podczas interakcji z aspektami tożsamości i profilu aplikacji. Uwzględnij użyteczność, dostępność i lokalizację w planowaniu. |
| Wybieranie odpowiedniego protokołu uwierzytelniania | Aby zapoznać się z podziałem różnych scenariuszy aplikacji i zalecanych przepływów uwierzytelniania, zobacz Scenariusze i obsługiwane przepływy uwierzytelniania. |
| Pilotaż środowiska użytkownika kompleksowego weryfikacji koncepcji (POC) | Zacznij od naszych przykładów kodu firmy Microsoft i przykładów społeczności. |
| Tworzenie planu migracji | Planowanie może sprawić, że migracja będzie bardziej płynna. Dowiedz się więcej o migracji użytkowników. |
| Użyteczność a bezpieczeństwo | Rozwiązanie musi mieć właściwą równowagę między użytecznością aplikacji a akceptowalnym poziomem ryzyka w organizacji. |
| Przenoszenie zależności lokalnych do chmury | Aby zapewnić odporność rozwiązania, rozważ przeniesienie istniejących zależności aplikacji do chmury. |
| Migrowanie istniejących aplikacji do b2clogin.com | Wycofanie login.microsoftonline.com zostanie wprowadzone dla wszystkich dzierżaw usługi Azure AD B2C 04 grudnia 2020 r. Dowiedz się więcej. |
| Korzystanie z usługi Identity Protection i dostępu warunkowego | Te możliwości umożliwiają znacznie większą kontrolę nad ryzykownych uwierzytelnień i zasad dostępu. Usługa Azure AD B2C Premium P2 jest wymagana. Dowiedz się więcej. |
| Rozmiar dzierżawy | Należy zaplanować użycie rozmiaru dzierżawy usługi Azure AD B2C. Domyślnie dzierżawa usługi Azure AD B2C może pomieścić 1,25 miliona obiektów (kont użytkowników i aplikacji). Ten limit można zwiększyć do 5,25 miliona obiektów, dodając domenę niestandardową do dzierżawy i sprawdzając go. Jeśli potrzebujesz większego rozmiaru dzierżawy, musisz skontaktować się z pomocą techniczną. |
| Korzystanie z usługi Identity Protection i dostępu warunkowego | Te możliwości umożliwiają większą kontrolę nad ryzykownych uwierzytelniania i zasadami dostępu. Usługa Azure AD B2C Premium P2 jest wymagana. Dowiedz się więcej. |
Implementacja
W fazie implementacji należy wziąć pod uwagę następujące zalecenia.
| Najlepsze rozwiązanie | opis |
|---|---|
| Edytowanie zasad niestandardowych za pomocą rozszerzenia usługi Azure AD B2C dla programu Visual Studio Code | Pobierz program Visual Studio Code i to rozszerzenie utworzone przez społeczność z witryny Visual Studio Code Marketplace. Chociaż nie jest to oficjalny produkt firmy Microsoft, rozszerzenie usługi Azure AD B2C dla programu Visual Studio Code zawiera kilka funkcji, które ułatwiają pracę z zasadami niestandardowymi. |
| Dowiedz się, jak rozwiązywać problemy z usługą Azure AD B2C | Dowiedz się, jak rozwiązywać problemy z zasadami niestandardowymi podczas programowania. Dowiedz się, jak wygląda normalny przepływ uwierzytelniania i korzystaj z narzędzi do odnajdywania anomalii i błędów. Na przykład użyj Szczegółowe informacje aplikacji, aby przejrzeć dzienniki wyjściowe podróży użytkowników. |
| Skorzystaj z naszej biblioteki sprawdzonych wzorców zasad niestandardowych | Znajdź przykłady dla rozszerzonych podróży użytkowników do zarządzania tożsamościami klientów i dostępem do usługi Azure AD B2C (CIAM). |
Testowanie
Testowanie i automatyzowanie implementacji usługi Azure AD B2C.
| Najlepsze rozwiązanie | opis |
|---|---|
| Konto dla ruchu globalnego | Użyj źródeł ruchu z innego adresu globalnego, aby przetestować wymagania dotyczące wydajności i lokalizacji. Upewnij się, że wszystkie elementy HTML, CSS i zależności mogą spełniać wymagania dotyczące wydajności. |
| Testowanie funkcjonalne i testowanie interfejsu użytkownika | Przetestuj przepływy użytkownika na końcu. Dodaj testy syntetyczne co kilka minut przy użyciu selenium, vs Web Test itp. |
| Testowanie piórem | Przed rozpoczęciem pracy z rozwiązaniem wykonaj ćwiczenia testowania penetracyjnego, aby sprawdzić, czy wszystkie składniki są bezpieczne, w tym zależności innych firm. Sprawdź, czy interfejsy API zostały zabezpieczone przy użyciu tokenów dostępu i użyto odpowiedniego protokołu uwierzytelniania dla scenariusza aplikacji. Dowiedz się więcej na temat testowania penetracyjnego i ujednoliconych reguł testowania penetracyjnego w chmurze firmy Microsoft. |
| Testowanie A/B | Przelatuj nowe funkcje przy użyciu małego, losowego zestawu użytkowników przed wdrożeniem do całej populacji. Język JavaScript włączony w usłudze Azure AD B2C umożliwia integrację z narzędziami do testowania A/B, takimi jak Optimizely, Clarity i inne. |
| Testowanie obciążeniowe | Usługa Azure AD B2C może być skalowana, ale aplikacja może być skalowana tylko wtedy, gdy wszystkie jej zależności mogą być skalowane. Przetestuj obciążenia interfejsy API i sieć CDN. Dowiedz się więcej o odporności za pomocą najlepszych rozwiązań dla deweloperów. |
| Ograniczanie przepływności | Usługa Azure AD B2C ogranicza ruch, jeśli zbyt wiele żądań jest wysyłanych z tego samego źródła w krótkim czasie. Używaj kilku źródeł ruchu podczas testowania obciążenia i bezpiecznie obsłuż AADB2C90229 kod błędu w aplikacjach. |
| Automatyzacja | Użyj potoków ciągłej integracji i dostarczania (CI/CD), aby zautomatyzować testowanie i wdrożenia, na przykład Azure DevOps. |
Operacje
Zarządzanie środowiskiem usługi Azure AD B2C.
| Najlepsze rozwiązanie | opis |
|---|---|
| Tworzenie wielu środowisk | Aby ułatwić wdrażanie operacji i wdrażania, utwórz oddzielne środowiska na potrzeby programowania, testowania, przedprodukcyjnego i produkcyjnego. Utwórz dzierżawy usługi Azure AD B2C dla każdej z nich. |
| Używanie kontroli wersji dla zasad niestandardowych | Rozważ użycie usług GitHub, Azure Repos lub innego systemu kontroli wersji opartej na chmurze dla niestandardowych zasad usługi Azure AD B2C. |
| Używanie interfejsu API programu Microsoft Graph do automatyzowania zarządzania dzierżawami B2C | Interfejsy API programu Microsoft Graph: Zarządzanie platformą Identity Experience Framework (zasady niestandardowe) Klucze User Flows (Przepływy użytkowników) |
| Integracja z usługą Azure DevOps | Potok ciągłej integracji/ciągłego wdrażania ułatwia przenoszenie kodu między różnymi środowiskami i zapewnia gotowość produkcyjną zawsze. |
| Wdrażanie zasad niestandardowych | Usługa Azure AD B2C opiera się na buforowaniu w celu zapewnienia wydajności użytkownikom końcowym. W przypadku wdrażania zasad niestandardowych przy użyciu dowolnej metody należy oczekiwać opóźnienia do 30 minut , aby użytkownicy mogli zobaczyć zmiany. W wyniku tego zachowania należy wziąć pod uwagę następujące rozwiązania podczas wdrażania zasad niestandardowych: — Jeśli wdrażasz w środowisku projektowym, ustaw DeploymentMode atrybut na Development wartość w elemecie niestandardowego <TrustFrameworkPolicy> pliku zasad. — Wdróż zaktualizowane pliki zasad w środowisku produkcyjnym, gdy ruch w aplikacji jest niski. — Podczas wdrażania w środowisku produkcyjnym w celu zaktualizowania istniejących plików zasad przekaż zaktualizowane pliki o nowych nazwach, a następnie zaktualizuj odwołanie aplikacji do nowych nazw. Następnie można usunąć stare pliki zasad. — Można ustawić DeploymentMode wartość na Development wartość w środowisku produkcyjnym, aby pominąć zachowanie buforowania. Nie zalecamy jednak tej praktyki. W przypadku zbierania dzienników usługi Azure AD B2C za pomocą Szczegółowe informacje aplikacji wszystkie oświadczenia wysyłane do dostawców tożsamości i od nich są zbierane, co stanowi zagrożenie bezpieczeństwa i wydajności. |
| Wdrażanie aktualizacji rejestracji aplikacji | Podczas modyfikowania rejestracji aplikacji w dzierżawie usługi Azure AD B2C, takiej jak aktualizowanie identyfikatora URI przekierowania aplikacji, spodziewaj się opóźnienia do 2 godzin (3600), aby zmiany zaczęły obowiązywać w środowisku produkcyjnym. Zalecamy zmodyfikowanie rejestracji aplikacji w środowisku produkcyjnym, gdy ruch w aplikacji jest niski. |
| Integracja z usługą Azure Monitor | Zdarzenia dziennika inspekcji są zachowywane tylko przez siedem dni. Zintegruj się z usługą Azure Monitor , aby zachować dzienniki długoterminowego użycia lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM), aby uzyskać wgląd w środowisko. |
| Konfigurowanie aktywnych alertów i monitorowania | Śledzenie zachowania użytkownika w usłudze Azure AD B2C przy użyciu Szczegółowe informacje aplikacji. |
Aktualizacje pomocy technicznej i stanu
Bądź na bieżąco ze stanem usługi i znajdź opcje pomocy technicznej.
| Najlepsze rozwiązanie | opis |
|---|---|
| Aktualizacje usługi | Bądź na bieżąco z aktualizacjami i ogłoszeniami produktów usługi Azure AD B2C. |
| pomoc techniczna firmy Microsoft | Zgłoś wniosek o pomoc techniczną dla problemów technicznych usługi Azure AD B2C. Pomoc dotycząca rozliczeń i subskrypcji jest świadczona bezpłatnie. |
| Stan platformy Azure | Wyświetl bieżący stan kondycji wszystkich usług platformy Azure. |