Włączanie uwierzytelniania wieloskładnikowego w usłudze Azure Active Directory B2C

Przed rozpoczęciem użyj selektora Wybierz typ zasad , aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkownika lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są inne dla każdej metody.

Usługa Azure Active Directory B2C (Azure AD B2C) integruje się bezpośrednio z usługą Azure AD Multi-Factor Authentication, aby dodać drugą warstwę zabezpieczeń do środowisk rejestracji i logowania w aplikacjach. Uwierzytelnianie wieloskładnikowe można włączyć bez konieczności pisania pojedynczego wiersza kodu. Jeśli utworzono już przepływy rejestracji i logowania użytkowników, nadal możesz włączyć uwierzytelnianie wieloskładnikowe.

Ta funkcja ułatwia aplikacjom obsługę scenariuszy, takich jak:

  • Nie wymagasz uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do jednej aplikacji, ale wymagasz dostępu do innej aplikacji. Na przykład klient może zalogować się do aplikacji ubezpieczenia automatycznego przy użyciu konta społecznego lub lokalnego, ale musi sprawdzić numer telefonu przed uzyskaniem dostępu do aplikacji ubezpieczenia domu zarejestrowanego w tym samym katalogu.
  • Nie wymagasz uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji, ale wymagasz dostępu do poufnych części w niej. Na przykład klient może zalogować się do aplikacji bankowej przy użyciu konta społecznościowego lub lokalnego i sprawdzić saldo konta, ale musi zweryfikować numer telefonu przed podjęciem próby przelewu bankowego.

Wymagania wstępne

Metody weryfikacji

W przypadku dostępu warunkowego użytkownicy mogą lub nie mogą być kwestionowani w przypadku uwierzytelniania wieloskładnikowego w oparciu o decyzje konfiguracyjne, które można podjąć jako administrator. Metody uwierzytelniania wieloskładnikowego to:

  • Email — podczas logowania do użytkownika jest wysyłana weryfikacja wiadomości e-mail zawierającej hasło jednorazowe (OTP). Użytkownik udostępnia kod OTP, który został wysłany w wiadomości e-mail.
  • Wiadomość SMS lub połączenie telefoniczne — podczas pierwszej rejestracji lub logowania użytkownik jest proszony o podanie i zweryfikowanie numeru telefonu. Podczas kolejnych logowania użytkownik jest monitowany o wybranie opcji Wyślij kod lub Zadzwoń do mnie za pomocą uwierzytelniania wieloskładnikowego. W zależności od wyboru użytkownika jest wysyłana wiadomość SMS lub do zweryfikowanego numeru telefonu jest wysyłana rozmowa telefoniczna w celu zidentyfikowania użytkownika. Użytkownik udostępnia kod OTP wysyłany za pośrednictwem wiadomości SMS lub zatwierdza połączenie telefoniczne.
  • Tylko połączenie telefoniczne — działa w taki sam sposób, jak w przypadku opcji SMS lub połączenia telefonicznego, ale jest wykonywane tylko połączenie telefoniczne.
  • Tylko wiadomość SMS — działa tak samo jak w przypadku opcji SMS lub połączenia telefonicznego, ale jest wysyłana tylko wiadomość SMS.
  • Aplikacja Authenticator — TOTP — użytkownik musi zainstalować aplikację wystawcy uwierzytelniania, która obsługuje weryfikację jednorazowego hasła (TOTP), taką jak aplikacja Microsoft Authenticator, na urządzeniu, którego jest właścicielem. Podczas pierwszej rejestracji lub logowania użytkownik skanuje kod QR lub wprowadza kod ręcznie przy użyciu aplikacji authenticator. Podczas kolejnych logowania użytkownik wpisuje kod TOTP wyświetlany w aplikacji authenticator. Zobacz, jak skonfigurować aplikację Microsoft Authenticator.

Ważne

Aplikacja Authenticator — protokół TOTP zapewnia większe bezpieczeństwo niż wiadomości SMS/telefon i poczta e-mail jest najmniej bezpieczna. Uwierzytelnianie wieloskładnikowe sms/phone powoduje naliczanie oddzielnych opłat od normalnego modelu cenowego Azure AD usługi B2C MAU.

Ustawianie uwierzytelniania wieloskładnikowego

  1. Zaloguj się do witryny Azure Portal.

  2. Upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.

  3. W ustawieniach portalu | Strona Katalogi i subskrypcje, znajdź katalog Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.

  4. W menu po lewej stronie wybierz pozycję Azure AD B2C. Możesz też wybrać pozycję Wszystkie usługi i wyszukać i wybrać Azure AD B2C.

  5. Wybierz pozycję Przepływy użytkownika.

  6. Wybierz przepływ użytkownika, dla którego chcesz włączyć uwierzytelnianie wieloskładnikowe. Na przykład B2C_1_signinsignup.

  7. Wybierz pozycję Właściwości.

  8. W sekcji Uwierzytelnianie wieloskładnikowe wybierz żądany typ metody. Następnie w obszarze Wymuszanie uwierzytelniania wieloskładnikowego wybierz opcję:

    • Wyłączone — uwierzytelnianie wieloskładnikowe nigdy nie jest wymuszane podczas logowania, a użytkownicy nie są monitowani o zarejestrowanie się w usłudze MFA podczas rejestracji lub logowania.

    • Zawsze włączone — uwierzytelnianie wieloskładnikowe jest zawsze wymagane, niezależnie od konfiguracji dostępu warunkowego. Podczas rejestracji użytkownicy są monitowani o zarejestrowanie się w usłudze MFA. Jeśli podczas logowania użytkownicy nie są jeszcze zarejestrowani w usłudze MFA, zostanie wyświetlony monit o zarejestrowanie.

    • Warunkowe — podczas rejestracji i logowania użytkownicy są monitowani o zarejestrowanie się w usłudze MFA (zarówno nowych użytkowników, jak i istniejących użytkowników, którzy nie są zarejestrowani w usłudze MFA). Podczas logowania uwierzytelnianie wieloskładnikowe jest wymuszane tylko wtedy, gdy wymagana jest aktywna ocena zasad dostępu warunkowego:

      • Jeśli wynikiem jest wyzwanie uwierzytelniania wieloskładnikowego bez ryzyka, uwierzytelnianie wieloskładnikowe jest wymuszane. Jeśli użytkownik nie został jeszcze zarejestrowany w usłudze MFA, zostanie wyświetlony monit o zarejestrowanie.
      • Jeśli wynik jest wyzwaniem uwierzytelniania wieloskładnikowego spowodowanym ryzykiem , a użytkownik nie jest zarejestrowany w usłudze MFA, logowanie zostanie zablokowane.

    Uwaga

    • Dzięki ogólnej dostępności dostępu warunkowego w usłudze Azure AD B2C użytkownicy są teraz monitowani o zarejestrowanie się w metodzie MFA podczas rejestracji. Wszystkie przepływy użytkownika rejestracji utworzone przed ogólną dostępnością nie będą automatycznie odzwierciedlać tego nowego zachowania, ale możesz uwzględnić zachowanie, tworząc nowe przepływy użytkowników.
    • Jeśli wybierzesz pozycję Warunkowe, musisz również dodać dostęp warunkowy do przepływów użytkowników i określić aplikacje, do których mają być stosowane zasady.
    • Uwierzytelnianie wieloskładnikowe (MFA) jest domyślnie wyłączone w przypadku przepływów użytkowników rejestracji. Możesz włączyć uwierzytelnianie wieloskładnikowe w przepływach użytkownika przy użyciu rejestracji telefonu, ale ponieważ numer telefonu jest używany jako podstawowy identyfikator, jednorazowy kod dostępu poczty e-mail jest jedyną opcją dostępną dla drugiego składnika uwierzytelniania.
  9. Wybierz pozycję Zapisz. Uwierzytelnianie wieloskładnikowe jest teraz włączone dla tego przepływu użytkownika.

Aby zweryfikować środowisko, możesz użyć polecenia Uruchom przepływ użytkownika . Potwierdź następujący scenariusz:

Konto klienta jest tworzone w dzierżawie przed wykonaniem kroku uwierzytelniania wieloskładnikowego. W trakcie tego kroku klient jest proszony o podanie numeru telefonu i zweryfikowanie go. Jeśli weryfikacja zakończy się pomyślnie, numer telefonu zostanie dołączony do konta do późniejszego użycia. Nawet jeśli klient anuluje lub zrezygnuje, klient może zostać poproszony o ponowne zweryfikowanie numeru telefonu podczas następnego logowania z włączonym uwierzytelnianiem wieloskładnikowym.

Aby włączyć uwierzytelnianie wieloskładnikowe, pobierz pakiet startowy zasad niestandardowych z usługi GitHub w następujący sposób:

  • Pobierz plik .zip lub sklonuj repozytorium z https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpackpliku , a następnie zaktualizuj pliki XML w pakiecie startowym SocialAndLocalAccountsWithMFA przy użyciu nazwy dzierżawy usługi Azure AD B2C. Opcja SocialAndLocalAccountsWithMFA włącza opcje logowania społecznościowego i lokalnego oraz opcje uwierzytelniania wieloskładnikowego, z wyjątkiem opcji Aplikacja Authenticator — TOTP.
  • Aby obsługiwać aplikację Authenticator — opcja TOTP MFA, pobierz pliki zasad niestandardowych z https://github.com/azure-ad-b2c/samples/tree/master/policies/totpusługi , a następnie zaktualizuj pliki XML przy użyciu nazwy dzierżawy usługi Azure AD B2C. Pamiętaj, aby uwzględnić TrustFrameworkExtensions.xmlpliki , TrustFrameworkLocalization.xmli TrustFrameworkBase.xml XML z pakietu startowego SocialAndLocalAccounts .
  • Zaktualizuj układ [strony] do wersji 2.1.14. Aby uzyskać więcej informacji, zobacz Wybieranie układu strony.

Rejestrowanie użytkownika w usłudze TOTP przy użyciu aplikacji authenticator (dla użytkowników końcowych)

Gdy aplikacja Azure AD B2C włącza uwierzytelnianie wieloskładnikowe przy użyciu opcji TOTP, użytkownicy końcowi muszą użyć aplikacji authenticator do generowania kodów TOTP. Użytkownicy mogą używać aplikacji Microsoft Authenticator lub dowolnej innej aplikacji wystawcy uwierzytelniania obsługującej weryfikację TOTP. Administrator systemu usługi Azure AD B2C musi poinformować użytkowników końcowych o skonfigurowaniu aplikacji Microsoft Authenticator, wykonując następujące czynności:

  1. Pobierz i zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym z systemem Android lub iOS.
  2. Otwórz aplikację, która wymaga użycia protokołu TOTP na potrzeby uwierzytelniania wieloskładnikowego, na przykład aplikacji internetowej firmy Contoso, a następnie zaloguj się lub zarejestruj się, wprowadzając wymagane informacje.
  3. Jeśli zostanie wyświetlony monit o zarejestrowanie konta przez skanowanie kodu QR przy użyciu aplikacji authenticator, otwórz aplikację Microsoft Authenticator na telefonie, a w prawym górnym rogu wybierz ikonę menu kropkowanego (dla systemu Android) lub + ikonę menu (dla systemu IOS).
  4. Wybierz pozycję + Dodaj konto.
  5. Wybierz pozycję Inne konto (Google, Facebook itp.), a następnie przeskanuj kod QR wyświetlany w aplikacji (na przykład aplikacja internetowa Firmy Contoso), aby zarejestrować konto. Jeśli nie możesz zeskanować kodu QR, możesz dodać konto ręcznie:
    1. W aplikacji Microsoft Authenticator na telefonie wybierz pozycję LUB WPROWADŹ KOD RĘCZNIE.
    2. W aplikacji (na przykład aplikacja internetowa Firmy Contoso) wybierz pozycję Nadal masz problemy?. Spowoduje to wyświetlenie wartości Nazwa konta i Wpis tajny.
    3. Wprowadź nazwę konta i wpis tajny w aplikacji Microsoft Authenticator, a następnie wybierz pozycję ZAKOŃCZ.
  6. W aplikacji (na przykład aplikacja internetowa Contoso) wybierz pozycję Kontynuuj.
  7. W obszarze Wprowadź kod wprowadź kod wyświetlany w aplikacji Microsoft Authenticator.
  8. Wybierz pozycję Weryfikuj.
  9. Podczas kolejnego logowania do aplikacji wpisz kod wyświetlany w aplikacji Microsoft Authenticator.

Dowiedz się więcej o tokenach oprogramowania OATH

Usuwanie rejestracji wystawcy uwierzytelnienia TOTP użytkownika (dla administratorów systemu)

W Azure AD B2C można usunąć rejestrację aplikacji uwierzytelniania TOTP użytkownika. Następnie użytkownik będzie musiał ponownie zarejestrować swoje konto w celu ponownego użycia uwierzytelniania TOTP. Aby usunąć rejestrację TOTP użytkownika, możesz użyć Azure Portal lub Microsoft interfejs Graph API.

Uwaga

  • Usunięcie rejestracji aplikacji uwierzytelniania TOTP użytkownika z usługi Azure AD B2C nie powoduje usunięcia konta użytkownika w aplikacji wystawcy uwierzytelnienia TOTP. Administrator systemu musi skierować użytkownika do ręcznego usunięcia konta z aplikacji wystawcy uwierzytelniania TOTP przed podjęciem próby ponownego zarejestrowania.
  • Jeśli użytkownik przypadkowo usunie swoje konto z aplikacji wystawcy uwierzytelniania TOTP, musi powiadomić administratora systemu lub właściciela aplikacji, który może usunąć rejestrację wystawcy uwierzytelnienia TOTP użytkownika z Azure AD B2C, aby użytkownik mógł ponownie zarejestrować.

Usuwanie rejestracji aplikacji uwierzytelniania TOTP przy użyciu Azure Portal

  1. Zaloguj się do witryny Azure Portal.
  2. Upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.
  3. W ustawieniach portalu | Strona Katalogi i subskrypcje, znajdź katalog Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.
  4. W menu po lewej stronie wybierz pozycję Użytkownicy.
  5. Wyszukaj i wybierz użytkownika, dla którego chcesz usunąć rejestrację aplikacji wystawcy uwierzytelniania TOTP.
  6. W menu po lewej stronie wybierz pozycję Metody uwierzytelniania.
  7. W obszarze Metody uwierzytelniania wielokrotnego użytku znajdź token OATH oprogramowania, a następnie wybierz menu wielokropka obok niego. Jeśli nie widzisz tego interfejsu, wybierz opcję "Przełącz do nowego środowiska metod uwierzytelniania użytkowników! Kliknij tutaj, aby użyć go teraz" , aby przełączyć się do nowego środowiska metod uwierzytelniania.
  8. Wybierz pozycję Usuń, a następnie wybierz pozycję Tak , aby potwierdzić.

Metody uwierzytelniania użytkowników

Usuwanie rejestracji aplikacji uwierzytelniania TOTP przy użyciu Microsoft interfejs Graph API

Dowiedz się, jak usunąć metodę uwierzytelniania tokenu OATH oprogramowania użytkownika przy użyciu Microsoft interfejs Graph API.

Następne kroki