Samouczek: konfigurowanie bez klucza za pomocą usługi Azure Active Directory B2C

  • Artykuł

Dowiedz się, jak skonfigurować usługę Azure Active Directory B2C (Azure AD B2C) przy użyciu rozwiązania bez hasła bez klucza sift. Dzięki Azure AD B2C jako dostawcy tożsamości integruj bez klucza z aplikacjami klienta w celu zapewnienia uwierzytelniania bez hasła. Bez klucza Zero-Knowledge biometryczne (ZKB) to uwierzytelnianie wieloskładnikowe bez hasła, które pomaga wyeliminować oszustwa, wyłudzanie informacji i ponowne użycie poświadczeń, zwiększając środowisko klienta i ochronę prywatności.

Przejdź do keyless.io, aby dowiedzieć się więcej o:

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

Opis scenariusza

Integracja bez klucza obejmuje następujące składniki:

  • Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika. Znany również jako dostawca tożsamości.
  • Aplikacje internetowe i mobilne — aplikacje mobilne lub internetowe do ochrony za pomocą kluczy i Azure AD B2C
  • Aplikacja mobilna Keyless Authenticator — sift dla uwierzytelniania w aplikacjach z obsługą usługi Azure AD B2C

Poniższy diagram architektury ilustruje implementację.

Obraz przedstawia diagram architektury bez klucza

  1. Użytkownik przybywa na stronę logowania. Użytkownik wybiera opcję logowania/rejestracji i wprowadza nazwę użytkownika.
  2. Aplikacja wysyła atrybuty użytkownika do Azure AD B2C na potrzeby weryfikacji tożsamości.
  3. Azure AD B2C wysyła atrybuty użytkownika do bez klucza na potrzeby uwierzytelniania.
  4. Bez klucza wysyła powiadomienie wypychane do zarejestrowanego urządzenia przenośnego użytkowników na potrzeby uwierzytelniania, skan biometryczny twarzy.
  5. Użytkownik odpowiada na powiadomienie wypychane i otrzymuje lub odmawia dostępu.

Dodawanie dostawcy tożsamości, konfigurowanie dostawcy tożsamości i tworzenie zasad przepływu użytkownika

Skorzystaj z poniższych sekcji, aby dodać dostawcę tożsamości, skonfigurować dostawcę tożsamości i utworzyć zasady przepływu użytkownika.

Dodawanie nowego dostawcy tożsamości

Aby dodać nowego dostawcę tożsamości:

  1. Zaloguj się do Azure Portal jako administrator globalny dzierżawy usługi Azure AD B2C.
  2. Wybierz pozycję Katalogi i subskrypcje.
  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog Azure AD katalogu B2C.
  4. Wybierz pozycję Przełącz.
  5. W lewym górnym rogu Azure Portal wybierz pozycję Wszystkie usługi.
  6. Wyszukaj i wybierz pozycję Azure AD B2C.
  7. Przejdź do pozycji Pulpit nawigacyjny>Dostawcy tożsamościusługi Azure Active Directory B2C>.
  8. Wybierz pozycję Dostawcy tożsamości.
  9. Wybierz pozycję Dodaj.

Konfigurowanie dostawcy tożsamości

Aby skonfigurować dostawcę tożsamości:

  1. Wybierz pozycję >Typ dostawcy tożsamościOpenID Connect (wersja zapoznawcza).
  2. W polu Nazwa wybierz pozycję Bez klucza.
  3. W polu Adres URL metadanych wstaw hostowany identyfikator URI aplikacji uwierzytelniania bez klucza, a następnie ścieżkę, taką jak https://keyless.auth/.well-known/openid-configuration.
  4. W polu Klucz tajny klienta wybierz wpis tajny skojarzony z wystąpieniem uwierzytelniania bez klucza. Wpis tajny jest używany później w konfiguracji kontenera bez klucza.
  5. W polu Identyfikator klienta wybierz identyfikator klienta. Identyfikator klienta jest używany później w konfiguracji kontenera bez klucza.
  6. W polu Zakres wybierz pozycję openid.
  7. W polu Typ odpowiedzi wybierz pozycję id_token.
  8. W obszarze Tryb odpowiedzi wybierz pozycję form_post.
  9. Wybierz przycisk OK.
  10. Wybierz pozycję Mapuj oświadczenia tego dostawcy tożsamości.
  11. W polu UserID (Identyfikator użytkownika) wybierz pozycję Z subskrypcji.
  12. W polu Nazwa wyświetlana wybierz pozycję Z subskrypcji.
  13. W obszarze Tryb odpowiedzi wybierz pozycję Z subskrypcji.
  14. Wybierz pozycję Zapisz.

Tworzenie zasad przepływu użytkownika

Bez klucza pojawia się jako nowy dostawca tożsamości OpenID Connect (OIDC) z dostawcami tożsamości B2C.

  1. Otwórz dzierżawę usługi Azure AD B2C.
  2. W obszarze Zasady wybierz pozycję Przepływy użytkownika.
  3. Wybierz pozycję Nowy przepływ użytkownika.
  4. Wybierz pozycję Zarejestruj się i zaloguj się.
  5. Wybierz wersję.
  6. Wybierz przycisk Utwórz.
  7. Wprowadź nazwę zasad.
  8. W sekcji Dostawcy tożsamości wybierz utworzonego dostawcę tożsamości bez klucza.
  9. Wprowadź nazwę.
  10. Wybierz utworzony dostawcę tożsamości.
  11. Dodaj adres e-mail. Platforma Azure nie przekierowuje logowania do usługi Keyless; zostanie wyświetlony ekran z opcją użytkownika.
  12. Pozostaw pole Uwierzytelnianie wieloskładnikowe .
  13. Wybierz pozycję Wymuszaj zasady dostępu warunkowego.
  14. W obszarze Atrybuty użytkownika i oświadczenia tokenu w opcji Zbieraj atrybut wybierz pozycję Email Adres.
  15. Dodaj atrybuty użytkownika Microsoft Entra identyfikator zbierane przy użyciu oświadczeń Azure AD B2C powraca do aplikacji klienckiej.
  16. Wybierz przycisk Utwórz.
  17. Wybierz nowy przepływ Użytkownika.
  18. Na panelu po lewej stronie wybierz pozycję Oświadczenia aplikacji.
  19. W obszarze opcji zaznacz pole wyboru e-mail .
  20. Wybierz pozycję Zapisz.

Testowanie przepływu użytkownika

  1. Otwórz dzierżawę usługi Azure AD B2C.
  2. W obszarze Zasady wybierz pozycję Struktura środowiska tożsamości.
  3. Wybierz utworzoną wartość SignUpSignIn.
  4. Wybierz pozycję Uruchom przepływ użytkownika.
  5. W polu Aplikacja wybierz zarejestrowaną aplikację (przykład to JWT).
  6. W polu Adres URL odpowiedzi wybierz adres URL przekierowania.
  7. Wybierz pozycję Uruchom przepływ użytkownika.
  8. Ukończ przepływ rejestracji i utwórz konto.
  9. Po utworzeniu atrybutu użytkownika klucz bez klucza jest wywoływany podczas przepływu.

Jeśli przepływ jest niekompletny, potwierdź, że użytkownik jest lub nie został zapisany w katalogu.

Następne kroki