Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.
Poniższe najlepsze rozwiązania i zalecenia obejmują niektóre podstawowe aspekty integracji usługi Azure Active Directory (Azure AD) B2C z istniejącymi lub nowymi środowiskami aplikacji.
Podstawy
Najlepsze rozwiązanie | Opis |
---|---|
Tworzenie konta dostępu awaryjnego | To konto dostępu awaryjnego pomaga uzyskać dostęp do dzierżawy usługi Azure AD B2C w sytuacjach, gdy jedyny administrator jest niedostępny, a poświadczenia są potrzebne. Dowiedz się, jak utworzyć konto dostępu awaryjnego |
Wybieranie przepływów użytkowników dla większości scenariuszy | Struktura środowiska obsługi tożsamości usługi Azure AD B2C to podstawowa siła usługi. Zasady w pełni opisują doświadczenia tożsamości, takie jak tworzenie konta, logowanie się lub edytowanie profilu. Aby ułatwić konfigurowanie najbardziej typowych zadań związanych z tożsamościami, portal usługi Azure AD B2C zawiera wstępnie zdefiniowane, konfigurowalne zasady nazywane przepływami użytkowników. Dzięki przepływom użytkowników możesz tworzyć doskonałe środowiska użytkownika w ciągu kilku minut, przy użyciu zaledwie kilku kliknięć. Dowiedz się, kiedy używać przepływów użytkownika czy zasad niestandardowych. |
Rejestracje aplikacji | Każda aplikacja (internetowa, natywna) i zabezpieczony interfejs API muszą być zarejestrowane w usłudze Azure AD B2C. Jeśli aplikacja ma zarówno internetową, jak i natywną wersję systemów iOS i Android, możesz zarejestrować je jako jedną aplikację w usłudze Azure AD B2C przy użyciu tego samego identyfikatora klienta. Dowiedz się, jak rejestrować aplikacje OIDC, SAML, internetowe i natywne. Dowiedz się więcej o typach aplikacji, które mogą być używane w usłudze Azure AD B2C. |
Przechodzenie do rozliczeń aktywnych użytkowników miesięcznie | Usługa Azure AD B2C została przeniesiona z miesięcznych aktywnych uwierzytelniania do rozliczeń miesięcznych aktywnych użytkowników (MAU). Większość klientów znajdzie ten model ekonomiczny. Dowiedz się więcej o miesięcznych rozliczeniach aktywnych użytkowników. |
Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń | Istnieją ciągłe i ewoluujące zagrożenia i ataki. Podobnie jak wszystkie zasoby należące do użytkownika, wdrożenie usługi Azure AD B2C powinno uwzględniać najlepsze praktyki w zakresie zabezpieczeń, w tym wskazówki dotyczące implementacji WAF (ochrona przed zagrożeniami, takimi jak DDOS i boty) oraz inne najlepsze praktyki w zakresie obrony w głębi. Szczegółowe wytyczne znajdują się w Architekturze Zabezpieczeń B2C. |
Planowanie i projektowanie
Zdefiniuj architekturę aplikacji i usługi, spis bieżących systemów i zaplanuj migrację do usługi Azure AD B2C.
Najlepsze rozwiązanie | Opis |
---|---|
Tworzenie architektury kompleksowego rozwiązania | Uwzględnij wszystkie zależności aplikacji podczas planowania integracji usługi Azure AD B2C. Rozważ wszystkie usługi i produkty, które znajdują się obecnie w Twoim środowisku lub które mogą wymagać dodania do rozwiązania (na przykład usługi Azure Functions, systemów zarządzania relacjami z klientami (CRM), bramy usługi Azure API Management i usług magazynowania. Uwzględnij zabezpieczenia i skalowalność wszystkich usług. |
Dokumentuj doświadczenia użytkowników | Opisz wszystkie ścieżki użytkownika, jakie klienci mogą doświadczyć w twojej aplikacji. Uwzględnij każdy ekran i wszystkie rozgałęzienia procesu, które mogą napotkać podczas interakcji z elementami tożsamości i profilu w Twojej aplikacji. Uwzględnij użyteczność, dostępność i lokalizację w planowaniu. |
Wybieranie odpowiedniego protokołu uwierzytelniania | Aby zapoznać się z podziałem różnych scenariuszy aplikacji i zalecanych przepływów uwierzytelniania, zobacz Scenariusze i obsługiwane przepływy uwierzytelniania. |
Przeprowadzenie pilotażu kompleksowego doświadczenia użytkownika w ramach weryfikacji koncepcji (POC) | Zacznij od naszych przykładów kodu firmy Microsoft i przykładów społeczności. |
Tworzenie planu migracji | Planowanie może sprawić, że migracja będzie bardziej płynna. Dowiedz się więcej o migracji użytkowników. |
Użyteczność a bezpieczeństwo | Rozwiązanie musi mieć właściwą równowagę między użytecznością aplikacji a akceptowalnym poziomem ryzyka w organizacji. |
Przenoszenie zależności lokalnych do chmury | Aby zapewnić odporność rozwiązania, rozważ przeniesienie istniejących zależności aplikacji do chmury. |
Migrowanie istniejących aplikacji do b2clogin.com | Wycofanie login.microsoftonline.com zostanie wprowadzone dla wszystkich dzierżaw usługi Azure AD B2C 04 grudnia 2020 r. Dowiedz się więcej. |
Korzystanie z usługi Identity Protection i dostępu warunkowego | Te funkcje zapewniają znacznie większą kontrolę nad ryzykownymi uwierzytelnieniami i zasadami dostępu. Usługa Azure AD B2C Premium P2 jest wymagana. Dowiedz się więcej. |
Rozmiar dzierżawy | Należy planować z uwzględnieniem rozmiaru dzierżawy usługi Azure AD B2C. Dzierżawa usługi Azure AD B2C pozwala domyślnie na pomieszczenie 1,25 miliona obiektów (takich jak konta użytkowników i aplikacje). Ten limit można zwiększyć do 5,25 miliona obiektów, dodając domenę własną do dzierżawy i weryfikując ją. Jeśli potrzebujesz większego rozmiaru dzierżawy, musisz skontaktować się z pomocą techniczną. |
Implementacja
W fazie implementacji należy wziąć pod uwagę następujące zalecenia.
Najlepsze rozwiązanie | Opis |
---|---|
Edytowanie zasad niestandardowych za pomocą rozszerzenia usługi Azure AD B2C dla programu Visual Studio Code | Pobierz program Visual Studio Code i to rozszerzenie utworzone przez społeczność z witryny Visual Studio Code Marketplace. Chociaż nie jest to oficjalny produkt firmy Microsoft, rozszerzenie usługi Azure AD B2C dla programu Visual Studio Code zawiera kilka funkcji, które ułatwiają pracę z zasadami niestandardowymi. |
Dowiedz się, jak rozwiązywać problemy z usługą Azure AD B2C | Dowiedz się, jak rozwiązywać problemy z zasadami niestandardowymi podczas programowania. Dowiedz się, jak wygląda normalny przepływ uwierzytelniania i korzystaj z narzędzi do odnajdywania anomalii i błędów. Na przykład użyj usługi Application Insights , aby przejrzeć dzienniki wyjściowe podróży użytkowników. |
Skorzystaj z naszej biblioteki sprawdzonych wzorców polityk niestandardowych | Znajdź przykłady dla rozszerzonych podróży użytkowników do zarządzania tożsamościami klientów i dostępem do usługi Azure AD B2C (CIAM). |
Testowanie
Testowanie i automatyzowanie implementacji usługi Azure AD B2C.
Najlepsze rozwiązanie | Opis |
---|---|
Konto dla ruchu globalnego | Użyj źródeł ruchu z innego adresu globalnego, aby przetestować wymagania dotyczące wydajności i lokalizacji. Upewnij się, że wszystkie elementy HTML, CSS i zależności mogą spełniać wymagania dotyczące wydajności. |
Testowanie funkcjonalne i testowanie interfejsu użytkownika | Przetestuj przepływy użytkownika od początku do końca. Dodaj testy syntetyczne co kilka minut przy użyciu selenium, vs Web Test itp. |
Testowanie piórem | Przed rozpoczęciem pracy z rozwiązaniem wykonaj ćwiczenia testowania penetracyjnego, aby sprawdzić, czy wszystkie składniki są bezpieczne, w tym zależności innych firm. Sprawdź, czy interfejsy API zostały zabezpieczone przy użyciu tokenów dostępu i użyto odpowiedniego protokołu uwierzytelniania dla scenariusza aplikacji. Dowiedz się więcej na temat testowania penetracyjnego i ujednoliconych reguł testowania penetracyjnego w chmurze firmy Microsoft. |
Testowanie A/B | Wypróbuj swoje nowe funkcje na małej, losowej grupie użytkowników przed wprowadzeniem do całej populacji. Język JavaScript włączony w usłudze Azure AD B2C umożliwia integrację z narzędziami do testowania A/B, takimi jak Optimizely, Clarity i inne. |
Testowanie obciążeniowe | Usługa Azure AD B2C może być skalowana, ale aplikacja może być skalowana tylko wtedy, gdy wszystkie jej zależności mogą być skalowane. Zalecamy testowanie obciążenia polityki w trybie produkcyjnym, czyli ustawienie atrybutu DeploymentMode w elemencie <TrustFrameworkPolicy> w niestandardowym pliku polityki na Production . Ustawienie to zapewnia, że wydajność podczas testu odpowiada poziomowi produkcji. Przeprowadź test obciążeniowy dla swoich interfejsów API i sieci CDN. Dowiedz się więcej o odporności za pomocą najlepszych rozwiązań dla deweloperów. |
Ograniczanie prędkości | Usługa Azure AD B2C ogranicza ruch, jeśli zbyt wiele żądań jest wysyłanych z tego samego źródła w krótkim czasie. Używaj kilku źródeł ruchu podczas testowania obciążenia i elegancko obsługuj kod błędu AADB2C90229 w aplikacjach. |
Automation | Użyj potoków ciągłej integracji i dostarczania (CI/CD), aby zautomatyzować testowanie i wdrożenia, na przykład Azure DevOps. |
Operacji
Zarządzanie środowiskiem usługi Azure AD B2C.
Najlepsze rozwiązanie | Opis |
---|---|
Tworzenie wielu środowisk | Aby ułatwić operacje i wdrażanie systemu, utwórz oddzielne środowiska na potrzeby rozwoju, testowania, przedprodukcyjne i produkcyjne. Utwórz dzierżawy usługi Azure AD B2C dla każdej z nich. |
Użyj kontroli wersji dla zasad niestandardowych | Rozważ użycie usług GitHub, Azure Repos lub innego systemu kontroli wersji opartej na chmurze dla niestandardowych zasad usługi Azure AD B2C. |
Użyj interfejsu Microsoft Graph API do automatyzacji zarządzania dzierżawcami B2C | Interfejsy API programu Microsoft Graph: Zarządzanie platformą Identity Experience Framework (zasady niestandardowe) Klucze Przepływy użytkownika |
Integracja z usługą Azure DevOps | Potok ciągłej integracji/ciągłego wdrażania ułatwia przenoszenie kodu między różnymi środowiskami i zapewnia gotowość produkcyjną zawsze. |
Wdrażanie zasad niestandardowych | Usługa Azure AD B2C opiera się na buforowaniu w celu zapewnienia wydajności użytkownikom końcowym. W przypadku wdrażania zasad niestandardowych przy użyciu dowolnej metody należy oczekiwać opóźnienia do 30 minut , aby użytkownicy mogli zobaczyć zmiany. W wyniku tego zachowania należy wziąć pod uwagę następujące rozwiązania podczas wdrażania zasad niestandardowych: — Jeśli wdrażasz w środowisku deweloperskim, ustaw atrybut DeploymentMode w elemencie <TrustFrameworkPolicy> w pliku niestandardowej polityki na Production . — Wdróż zaktualizowane pliki zasad w środowisku produkcyjnym, gdy ruch w aplikacji jest niski. — Podczas wdrażania w środowisku produkcyjnym w celu zaktualizowania istniejących plików zasad przekaż zaktualizowane pliki o nowych nazwach, które działają jako nowe wersje zasad. Następnie zaktualizuj odwołania aplikacji do nowych nazw/wersji. Stare pliki zasad można usunąć później lub zachować je jako ostatnią znaną dobrą konfigurację dla łatwego przywrócenia. — Jeśli musisz wdrożyć w środowisku produkcyjnym, aby zaktualizować istniejące pliki polityk bez wersjonowania, wprowadź nowe polityki kompatybilne wstecznie ze starymi politykami, postępując zgodnie z prostymi regułami. Jeśli musisz zmienić profil techniczny, oświadczenie lub SubJourney, należy utworzyć jego nową wersję, opublikować zasady i odczekać 30 minut, aż pamięć podręczna usługi Azure AD B2C zaktualizuje nową wersję. Następnie w kolejnej aktualizacji wprowadź zmiany w celu użycia nowej wersji i wykonaj kolejną aktualizację zasad. Poczekaj kolejne 30 minut, a następnie w razie potrzeby możesz usunąć starą wersję elementów. Upewnij się, że cała logika biznesowa znajduje się wewnątrz subJourneys. — Można ustawić DeploymentMode na Development w środowisku produkcyjnym, aby pominąć buforowanie. Nie zalecamy jednak tej praktyki. W przypadku zbierania dzienników usługi Azure AD B2C za pomocą usługi Application Insights zbierane są wszystkie oświadczenia wysyłane do dostawców tożsamości i od nich, co jest ryzykiem bezpieczeństwa i wydajności. |
Wdrażanie aktualizacji rejestracji aplikacji | Podczas modyfikowania rejestracji aplikacji w dzierżawie usługi Azure AD B2C, takiej jak aktualizowanie identyfikatora URI przekierowania aplikacji, należy oczekiwać opóźnienia do 2 godzin (7200 sekund) na wprowadzenie zmian w środowisku produkcyjnym. Zalecamy zmodyfikowanie rejestracji aplikacji w środowisku produkcyjnym, gdy ruch w aplikacji jest niski. |
Integracja z usługą Azure Monitor | Zdarzenia dziennika inspekcji są zachowywane tylko przez siedem dni. Zintegruj się z usługą Azure Monitor , aby zachować dzienniki długoterminowego użycia lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM), aby uzyskać wgląd w środowisko. |
Konfigurowanie aktywnych alertów i monitorowania | Śledzenie zachowania użytkownika w usłudze Azure AD B2C przy użyciu usługi Application Insights. |
Aktualizacje pomocy technicznej i stanu
Bądź na bieżąco ze stanem usługi i znajdź opcje pomocy technicznej.
Najlepsze rozwiązanie | Opis |
---|---|
Aktualizacje usługi | Bądź na bieżąco z aktualizacjami i ogłoszeniami produktów usługi Azure AD B2C. |
Pomoc techniczna firmy Microsoft | Zgłoś wniosek o pomoc techniczną dla problemów technicznych usługi Azure AD B2C. Pomoc dotycząca rozliczeń i subskrypcji jest świadczona bezpłatnie. |
Stan Azure | Wyświetl bieżący stan kondycji wszystkich usług platformy Azure. |