Udostępnij za pośrednictwem


Zalecenia i najlepsze rozwiązania dotyczące usługi Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Poniższe najlepsze rozwiązania i zalecenia obejmują niektóre podstawowe aspekty integracji usługi Azure Active Directory (Azure AD) B2C z istniejącymi lub nowymi środowiskami aplikacji.

Podstawy

Najlepsze rozwiązanie Opis
Tworzenie konta dostępu awaryjnego To konto dostępu awaryjnego pomaga uzyskać dostęp do dzierżawy usługi Azure AD B2C w sytuacjach, gdy jedyny administrator jest niedostępny, a poświadczenia są potrzebne. Dowiedz się, jak utworzyć konto dostępu awaryjnego
Wybieranie przepływów użytkowników dla większości scenariuszy Struktura środowiska obsługi tożsamości usługi Azure AD B2C to podstawowa siła usługi. Zasady w pełni opisują doświadczenia tożsamości, takie jak tworzenie konta, logowanie się lub edytowanie profilu. Aby ułatwić konfigurowanie najbardziej typowych zadań związanych z tożsamościami, portal usługi Azure AD B2C zawiera wstępnie zdefiniowane, konfigurowalne zasady nazywane przepływami użytkowników. Dzięki przepływom użytkowników możesz tworzyć doskonałe środowiska użytkownika w ciągu kilku minut, przy użyciu zaledwie kilku kliknięć. Dowiedz się, kiedy używać przepływów użytkownika czy zasad niestandardowych.
Rejestracje aplikacji Każda aplikacja (internetowa, natywna) i zabezpieczony interfejs API muszą być zarejestrowane w usłudze Azure AD B2C. Jeśli aplikacja ma zarówno internetową, jak i natywną wersję systemów iOS i Android, możesz zarejestrować je jako jedną aplikację w usłudze Azure AD B2C przy użyciu tego samego identyfikatora klienta. Dowiedz się, jak rejestrować aplikacje OIDC, SAML, internetowe i natywne. Dowiedz się więcej o typach aplikacji, które mogą być używane w usłudze Azure AD B2C.
Przechodzenie do rozliczeń aktywnych użytkowników miesięcznie Usługa Azure AD B2C została przeniesiona z miesięcznych aktywnych uwierzytelniania do rozliczeń miesięcznych aktywnych użytkowników (MAU). Większość klientów znajdzie ten model ekonomiczny. Dowiedz się więcej o miesięcznych rozliczeniach aktywnych użytkowników.
Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń Istnieją ciągłe i ewoluujące zagrożenia i ataki. Podobnie jak wszystkie zasoby należące do użytkownika, wdrożenie usługi Azure AD B2C powinno uwzględniać najlepsze praktyki w zakresie zabezpieczeń, w tym wskazówki dotyczące implementacji WAF (ochrona przed zagrożeniami, takimi jak DDOS i boty) oraz inne najlepsze praktyki w zakresie obrony w głębi. Szczegółowe wytyczne znajdują się w Architekturze Zabezpieczeń B2C.

Planowanie i projektowanie

Zdefiniuj architekturę aplikacji i usługi, spis bieżących systemów i zaplanuj migrację do usługi Azure AD B2C.

Najlepsze rozwiązanie Opis
Tworzenie architektury kompleksowego rozwiązania Uwzględnij wszystkie zależności aplikacji podczas planowania integracji usługi Azure AD B2C. Rozważ wszystkie usługi i produkty, które znajdują się obecnie w Twoim środowisku lub które mogą wymagać dodania do rozwiązania (na przykład usługi Azure Functions, systemów zarządzania relacjami z klientami (CRM), bramy usługi Azure API Management i usług magazynowania. Uwzględnij zabezpieczenia i skalowalność wszystkich usług.
Dokumentuj doświadczenia użytkowników Opisz wszystkie ścieżki użytkownika, jakie klienci mogą doświadczyć w twojej aplikacji. Uwzględnij każdy ekran i wszystkie rozgałęzienia procesu, które mogą napotkać podczas interakcji z elementami tożsamości i profilu w Twojej aplikacji. Uwzględnij użyteczność, dostępność i lokalizację w planowaniu.
Wybieranie odpowiedniego protokołu uwierzytelniania Aby zapoznać się z podziałem różnych scenariuszy aplikacji i zalecanych przepływów uwierzytelniania, zobacz Scenariusze i obsługiwane przepływy uwierzytelniania.
Przeprowadzenie pilotażu kompleksowego doświadczenia użytkownika w ramach weryfikacji koncepcji (POC) Zacznij od naszych przykładów kodu firmy Microsoft i przykładów społeczności.
Tworzenie planu migracji Planowanie może sprawić, że migracja będzie bardziej płynna. Dowiedz się więcej o migracji użytkowników.
Użyteczność a bezpieczeństwo Rozwiązanie musi mieć właściwą równowagę między użytecznością aplikacji a akceptowalnym poziomem ryzyka w organizacji.
Przenoszenie zależności lokalnych do chmury Aby zapewnić odporność rozwiązania, rozważ przeniesienie istniejących zależności aplikacji do chmury.
Migrowanie istniejących aplikacji do b2clogin.com Wycofanie login.microsoftonline.com zostanie wprowadzone dla wszystkich dzierżaw usługi Azure AD B2C 04 grudnia 2020 r. Dowiedz się więcej.
Korzystanie z usługi Identity Protection i dostępu warunkowego Te funkcje zapewniają znacznie większą kontrolę nad ryzykownymi uwierzytelnieniami i zasadami dostępu. Usługa Azure AD B2C Premium P2 jest wymagana. Dowiedz się więcej.
Rozmiar dzierżawy Należy planować z uwzględnieniem rozmiaru dzierżawy usługi Azure AD B2C. Dzierżawa usługi Azure AD B2C pozwala domyślnie na pomieszczenie 1,25 miliona obiektów (takich jak konta użytkowników i aplikacje). Ten limit można zwiększyć do 5,25 miliona obiektów, dodając domenę własną do dzierżawy i weryfikując ją. Jeśli potrzebujesz większego rozmiaru dzierżawy, musisz skontaktować się z pomocą techniczną.

Implementacja

W fazie implementacji należy wziąć pod uwagę następujące zalecenia.

Najlepsze rozwiązanie Opis
Edytowanie zasad niestandardowych za pomocą rozszerzenia usługi Azure AD B2C dla programu Visual Studio Code Pobierz program Visual Studio Code i to rozszerzenie utworzone przez społeczność z witryny Visual Studio Code Marketplace. Chociaż nie jest to oficjalny produkt firmy Microsoft, rozszerzenie usługi Azure AD B2C dla programu Visual Studio Code zawiera kilka funkcji, które ułatwiają pracę z zasadami niestandardowymi.
Dowiedz się, jak rozwiązywać problemy z usługą Azure AD B2C Dowiedz się, jak rozwiązywać problemy z zasadami niestandardowymi podczas programowania. Dowiedz się, jak wygląda normalny przepływ uwierzytelniania i korzystaj z narzędzi do odnajdywania anomalii i błędów. Na przykład użyj usługi Application Insights , aby przejrzeć dzienniki wyjściowe podróży użytkowników.
Skorzystaj z naszej biblioteki sprawdzonych wzorców polityk niestandardowych Znajdź przykłady dla rozszerzonych podróży użytkowników do zarządzania tożsamościami klientów i dostępem do usługi Azure AD B2C (CIAM).

Testowanie

Testowanie i automatyzowanie implementacji usługi Azure AD B2C.

Najlepsze rozwiązanie Opis
Konto dla ruchu globalnego Użyj źródeł ruchu z innego adresu globalnego, aby przetestować wymagania dotyczące wydajności i lokalizacji. Upewnij się, że wszystkie elementy HTML, CSS i zależności mogą spełniać wymagania dotyczące wydajności.
Testowanie funkcjonalne i testowanie interfejsu użytkownika Przetestuj przepływy użytkownika od początku do końca. Dodaj testy syntetyczne co kilka minut przy użyciu selenium, vs Web Test itp.
Testowanie piórem Przed rozpoczęciem pracy z rozwiązaniem wykonaj ćwiczenia testowania penetracyjnego, aby sprawdzić, czy wszystkie składniki są bezpieczne, w tym zależności innych firm. Sprawdź, czy interfejsy API zostały zabezpieczone przy użyciu tokenów dostępu i użyto odpowiedniego protokołu uwierzytelniania dla scenariusza aplikacji. Dowiedz się więcej na temat testowania penetracyjnego i ujednoliconych reguł testowania penetracyjnego w chmurze firmy Microsoft.
Testowanie A/B Wypróbuj swoje nowe funkcje na małej, losowej grupie użytkowników przed wprowadzeniem do całej populacji. Język JavaScript włączony w usłudze Azure AD B2C umożliwia integrację z narzędziami do testowania A/B, takimi jak Optimizely, Clarity i inne.
Testowanie obciążeniowe Usługa Azure AD B2C może być skalowana, ale aplikacja może być skalowana tylko wtedy, gdy wszystkie jej zależności mogą być skalowane. Zalecamy testowanie obciążenia polityki w trybie produkcyjnym, czyli ustawienie atrybutu DeploymentMode w elemencie <TrustFrameworkPolicy> w niestandardowym pliku polityki na Production. Ustawienie to zapewnia, że wydajność podczas testu odpowiada poziomowi produkcji. Przeprowadź test obciążeniowy dla swoich interfejsów API i sieci CDN. Dowiedz się więcej o odporności za pomocą najlepszych rozwiązań dla deweloperów.
Ograniczanie prędkości Usługa Azure AD B2C ogranicza ruch, jeśli zbyt wiele żądań jest wysyłanych z tego samego źródła w krótkim czasie. Używaj kilku źródeł ruchu podczas testowania obciążenia i elegancko obsługuj kod błędu AADB2C90229 w aplikacjach.
Automation Użyj potoków ciągłej integracji i dostarczania (CI/CD), aby zautomatyzować testowanie i wdrożenia, na przykład Azure DevOps.

Operacji

Zarządzanie środowiskiem usługi Azure AD B2C.

Najlepsze rozwiązanie Opis
Tworzenie wielu środowisk Aby ułatwić operacje i wdrażanie systemu, utwórz oddzielne środowiska na potrzeby rozwoju, testowania, przedprodukcyjne i produkcyjne. Utwórz dzierżawy usługi Azure AD B2C dla każdej z nich.
Użyj kontroli wersji dla zasad niestandardowych Rozważ użycie usług GitHub, Azure Repos lub innego systemu kontroli wersji opartej na chmurze dla niestandardowych zasad usługi Azure AD B2C.
Użyj interfejsu Microsoft Graph API do automatyzacji zarządzania dzierżawcami B2C Interfejsy API programu Microsoft Graph:
Zarządzanie platformą Identity Experience Framework (zasady niestandardowe)
Klucze
Przepływy użytkownika
Integracja z usługą Azure DevOps Potok ciągłej integracji/ciągłego wdrażania ułatwia przenoszenie kodu między różnymi środowiskami i zapewnia gotowość produkcyjną zawsze.
Wdrażanie zasad niestandardowych Usługa Azure AD B2C opiera się na buforowaniu w celu zapewnienia wydajności użytkownikom końcowym. W przypadku wdrażania zasad niestandardowych przy użyciu dowolnej metody należy oczekiwać opóźnienia do 30 minut , aby użytkownicy mogli zobaczyć zmiany. W wyniku tego zachowania należy wziąć pod uwagę następujące rozwiązania podczas wdrażania zasad niestandardowych:
— Jeśli wdrażasz w środowisku deweloperskim, ustaw atrybut DeploymentMode w elemencie <TrustFrameworkPolicy> w pliku niestandardowej polityki na Production.
— Wdróż zaktualizowane pliki zasad w środowisku produkcyjnym, gdy ruch w aplikacji jest niski.
— Podczas wdrażania w środowisku produkcyjnym w celu zaktualizowania istniejących plików zasad przekaż zaktualizowane pliki o nowych nazwach, które działają jako nowe wersje zasad. Następnie zaktualizuj odwołania aplikacji do nowych nazw/wersji. Stare pliki zasad można usunąć później lub zachować je jako ostatnią znaną dobrą konfigurację dla łatwego przywrócenia.
— Jeśli musisz wdrożyć w środowisku produkcyjnym, aby zaktualizować istniejące pliki polityk bez wersjonowania, wprowadź nowe polityki kompatybilne wstecznie ze starymi politykami, postępując zgodnie z prostymi regułami. Jeśli musisz zmienić profil techniczny, oświadczenie lub SubJourney, należy utworzyć jego nową wersję, opublikować zasady i odczekać 30 minut, aż pamięć podręczna usługi Azure AD B2C zaktualizuje nową wersję. Następnie w kolejnej aktualizacji wprowadź zmiany w celu użycia nowej wersji i wykonaj kolejną aktualizację zasad. Poczekaj kolejne 30 minut, a następnie w razie potrzeby możesz usunąć starą wersję elementów. Upewnij się, że cała logika biznesowa znajduje się wewnątrz subJourneys.
— Można ustawić DeploymentMode na Development w środowisku produkcyjnym, aby pominąć buforowanie. Nie zalecamy jednak tej praktyki. W przypadku zbierania dzienników usługi Azure AD B2C za pomocą usługi Application Insights zbierane są wszystkie oświadczenia wysyłane do dostawców tożsamości i od nich, co jest ryzykiem bezpieczeństwa i wydajności.
Wdrażanie aktualizacji rejestracji aplikacji Podczas modyfikowania rejestracji aplikacji w dzierżawie usługi Azure AD B2C, takiej jak aktualizowanie identyfikatora URI przekierowania aplikacji, należy oczekiwać opóźnienia do 2 godzin (7200 sekund) na wprowadzenie zmian w środowisku produkcyjnym. Zalecamy zmodyfikowanie rejestracji aplikacji w środowisku produkcyjnym, gdy ruch w aplikacji jest niski.
Integracja z usługą Azure Monitor Zdarzenia dziennika inspekcji są zachowywane tylko przez siedem dni. Zintegruj się z usługą Azure Monitor , aby zachować dzienniki długoterminowego użycia lub zintegrować je z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM), aby uzyskać wgląd w środowisko.
Konfigurowanie aktywnych alertów i monitorowania Śledzenie zachowania użytkownika w usłudze Azure AD B2C przy użyciu usługi Application Insights.

Aktualizacje pomocy technicznej i stanu

Bądź na bieżąco ze stanem usługi i znajdź opcje pomocy technicznej.

Najlepsze rozwiązanie Opis
Aktualizacje usługi Bądź na bieżąco z aktualizacjami i ogłoszeniami produktów usługi Azure AD B2C.
Pomoc techniczna firmy Microsoft Zgłoś wniosek o pomoc techniczną dla problemów technicznych usługi Azure AD B2C. Pomoc dotycząca rozliczeń i subskrypcji jest świadczona bezpłatnie.
Stan Azure Wyświetl bieżący stan kondycji wszystkich usług platformy Azure.