Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
As práticas recomendadas e recomendações a seguir abrangem alguns dos principais aspectos da integração do Azure AD (Azure Active Directory) B2C em ambientes de aplicativo existentes ou novos.
Fundamentos
| Prática recomendada | Descrição |
|---|---|
| Criar conta de acesso de emergência | Essa conta de acesso de emergência ajuda você a obter acesso ao seu locatário do Azure AD B2C em circunstâncias, como quando o único administrador está inacessível e a credencial é necessária. Saiba como criar uma conta de acesso de emergência |
| Escolher fluxos de usuário para a maioria dos cenários | O Identity Experience Framework do Azure AD B2C é a força principal do serviço. As políticas descrevem totalmente as experiências de identidade, como inscrição, entrada ou edição de perfil. Para ajudá-lo a configurar as tarefas de identidade mais comuns, o portal do Azure AD B2C inclui políticas predefinidas e configuráveis chamadas fluxos de usuário. Com os fluxos do usuário, você pode criar ótimas experiências de usuário em minutos, com apenas alguns cliques. Saiba quando usar fluxos de usuário versus políticas personalizadas. |
| Registros de aplicativo | Todos os aplicativos (Web, nativos) e API que estão sendo protegidos devem ser registrados no Azure AD B2C. Se um aplicativo tiver uma versão web e nativa do iOS e do Android, você poderá registrá-los como um aplicativo no Azure AD B2C com a mesma ID do cliente. Saiba como registrar aplicativos OIDC, SAML, Web e nativos. Saiba mais sobre os tipos de aplicativo que podem ser usados no Azure AD B2C. |
| Migrar para cobrança mensal de usuários ativos | O Azure AD B2C passou de autenticações ativas mensais para cobrança de MAU (usuários ativos mensais). A maioria dos clientes achará esse modelo econômico. Saiba mais sobre a cobrança mensal de usuários ativos. |
| Siga as práticas recomendadas de segurança | Há ameaças e ataques contínuos e em evolução e, como todos os recursos de propriedade, sua implantação do Azure AD B2C deve seguir as práticas recomendadas de segurança, incluindo diretrizes sobre como implementar WAFs (defesa contra ameaças como DDOS e Bots) e outras defesas com as melhores diretrizes detalhadas da Arquitetura de Segurança B2C. |
Planejamento e design
Defina sua arquitetura de aplicativo e serviço, inventário de sistemas atuais e planeje sua migração para o Azure AD B2C.
| Prática recomendada | Descrição |
|---|---|
| Arquitetar uma solução de ponta a ponta | Inclua todas as dependências de seus aplicativos ao planejar uma integração do Azure AD B2C. Considere todos os serviços e produtos que estão atualmente em seu ambiente ou que talvez precisem ser adicionados à solução (por exemplo, Azure Functions, sistemas de CRM (gerenciamento de relacionamento com o cliente), gateway de Gerenciamento de API do Azure e serviços de armazenamento). Leve em conta a segurança e a escalabilidade de todos os serviços. |
| Documentar as experiências dos usuários | Detalhe todos os percursos do usuário que seus clientes podem experimentar em seu aplicativo. Inclua cada tela e quaisquer fluxos de ramificação que possam encontrar ao interagir com os aspectos de identidade e perfil do seu aplicativo. Inclua usabilidade, acessibilidade e localização em seu planejamento. |
| Escolha o protocolo de autenticação correto | Para obter um detalhamento dos diferentes cenários de aplicativo e seus fluxos de autenticação recomendados, consulte Cenários e fluxos de autenticação com suporte. |
| Fazer o piloto de uma experiência de usuário de ponta a ponta de POC (prova de conceito) | Comece com nossos exemplos de código da Microsoft e exemplos de comunidade. |
| Criar um plano de migração | Planejar com antecedência pode tornar a migração mais tranquila. Saiba mais sobre a migração do usuário. |
| Usabilidade versus segurança | Sua solução deve encontrar o equilíbrio certo entre a usabilidade do aplicativo e o nível aceitável de risco da sua organização. |
| Mover dependências locais para a nuvem | Para ajudar a garantir uma solução resiliente, considere mover as dependências de aplicativo existentes para a nuvem. |
| Migrar aplicativos existentes para b2clogin.com | O preterimento de login.microsoftonline.com entrará em vigor para todos os locatários do Azure AD B2C em 4 de dezembro de 2020. Saiba mais. |
| Usar a Proteção de Identidade e o Acesso Condicional | Use esses recursos para um controle significativamente maior sobre autenticações de risco e políticas de acesso. O Azure AD B2C Premium P2 é necessário. Saiba mais. |
| Tamanho do locatário | É necessário planejar levando em consideração o tamanho do locatário do Azure AD B2C. Por padrão, o locatário do Azure AD B2C pode acomodar 1,25 milhão de objetos (contas de usuário e aplicativos). Você pode aumentar esse limite para 5,25 milhões de objetos adicionando um domínio personalizado ao seu locatário e verificando-o. Se precisar de um locatário maior, entre em contato com o Suporte. |
Implementação
Durante a fase de implementação, considere as recomendações a seguir.
| Prática recomendada | Descrição |
|---|---|
| Editar políticas personalizadas com a extensão do Azure AD B2C para Visual Studio Code | Baixe o Visual Studio Code e essa extensão criada pela comunidade no Visual Studio Code Marketplace. Embora não seja um produto oficial da Microsoft, a extensão do Azure AD B2C para Visual Studio Code inclui vários recursos que ajudam a facilitar o trabalho com políticas personalizadas. |
| Saiba como solucionar problemas do Azure AD B2C | Saiba como solucionar problemas de políticas personalizadas durante o desenvolvimento. Saiba como é um fluxo de autenticação normal e use ferramentas para descobrir anomalias e erros. Por exemplo, use o Application Insights para analisar os logs de saída de percursos do usuário. |
| Aproveite nossa biblioteca de padrões de política personalizados comprovados | Encontre exemplos para percursos avançados de usuário do CIAM (gerenciamento de acesso e identidade do cliente) do Azure AD B2C. |
Teste
Teste e automatize sua implementação do Azure AD B2C.
| Prática recomendada | Descrição |
|---|---|
| Considerar o tráfego global | Use fontes de tráfego de endereços globais diferentes para testar os requisitos de desempenho e localização. Verifique se todos os HTMLs, CSS e dependências podem atender às suas necessidades de desempenho. |
| Teste funcional e de interface do usuário | Teste os fluxos de usuário de ponta a ponta. Adicione testes sintéticos a cada poucos minutos usando Selenium, VS Web Test etc. |
| Testes de penetração | Antes de entrar em atividade com sua solução, execute exercícios de teste de penetração para verificar se todos os componentes são seguros, incluindo dependências de terceiros. Verifique se você garantiu suas APIs com tokens de acesso e usou o protocolo de autenticação correto para seu cenário de aplicativo. Saiba mais sobre os Testes de penetração e as Regras de participação para testes de penetração unificados do Microsoft Cloud. |
| Testes A/B | Disponibilize versões piloto de seus novos recursos para um pequeno conjunto aleatório de usuários antes de distribuir para toda a população. Com o JavaScript habilitado no Azure AD B2C, você pode se integrar a ferramentas de teste A/B, como Optimizely, Clarity e outros. |
| Teste de carga | O Azure AD B2C pode ser dimensionado, mas seu aplicativo só poderá ser dimensionado se todas as suas dependências puderem ser dimensionadas. Recomendamos que você teste a carga de sua política no modo de produção, que é definir o atributo DeploymentMode no elemento <TrustFrameworkPolicy> do arquivo de política personalizado como Production. Essa configuração garante que o desempenho durante o teste corresponda ao desempenho do nível de produção. Teste a carga de suas APIs e CDN. Saiba mais sobre resiliência por meio das práticas recomendadas do desenvolvedor. |
| Limitação de Velocidade | O Azure AD B2C limita o tráfego se muitas solicitações forem enviadas da mesma origem em um curto período de tempo. Use várias fontes de tráfego durante o teste de carga e trate o código de erro AADB2C90229 de forma elegante em seus aplicativos. |
| Automação | Use pipelines de CI/CD (integração contínua e entrega contínua) para automatizar testes e implantações, por exemplo, Azure DevOps. |
Operações
Gerencie seu ambiente do Azure AD B2C.
| Prática recomendada | Descrição |
|---|---|
| Criar vários ambientes | Para facilitar a implantação e operações, crie ambientes separados para desenvolvimento, teste, pré-produção e produção. Crie locatários do Azure AD B2C para cada um. |
| Usar o controle de versão para suas políticas personalizadas | Considere usar o GitHub, o Azure Repos ou outro sistema de controle de versão baseado em nuvem para suas políticas personalizadas do Azure AD B2C. |
| Usar a API do Microsoft Graph para automatizar o gerenciamento de seus locatários B2C | APIs do Microsoft Graph: Gerenciar o Identity Experience Framework (políticas personalizadas) Chaves Fluxos de Usuário |
| Integrar com o Azure DevOps | Um pipeline de CI/CD facilita a movimentação de código entre diferentes ambientes e garante que esteja sempre pronto para produção. |
| Implantar política personalizada | O Azure AD B2C depende do cache para fornecer desempenho aos usuários finais. Ao implantar uma política personalizada usando qualquer método, espere um atraso de até 30 minutos para que os usuários vejam as alterações. Como resultado desse comportamento, considere as seguintes práticas ao implantar suas políticas personalizadas: - Se você estiver implantando em um ambiente de desenvolvimento, defina o atributo DeploymentMode no elemento <TrustFrameworkPolicy> do arquivo de política personalizado como Production. – Implante seus arquivos de política atualizados em um ambiente de produção quando o tráfego em seu aplicativo estiver baixo. - Ao implantar em um ambiente de produção para atualizar os arquivos de política existentes, carregue os arquivos atualizados com novos nomes, os quais atuam como novas versões das políticas. Em seguida, atualize as referências do aplicativo para os novos nomes/versões. Você pode remover os arquivos de política antigos posteriormente ou mantê-los como sua última boa configuração conhecida para facilitar a reversão. - Se você precisar implantar em um ambiente de produção para atualizar arquivos de política existentes sem controle de versão, certifique-se de que a nova política seja compatível retroativamente com a política antiga, seguindo algumas regras simples. Se você precisar alterar um perfil técnico, declaração ou SubJourney, crie uma nova versão dele, publique a política e aguarde 30 minutos para que os caches do Azure AD B2C peguem a nova versão. Em seguida, em uma atualização subsequente, faça alterações para usar a nova versão e executar outra atualização de política. Aguarde mais 30 minutos e você poderá excluir a versão antiga dos elementos, se necessário. Verifique se toda a lógica de negócios está dentro do SubJourneys. - Você pode definir o DeploymentMode para Development em um ambiente de produção para ignorar o comportamento de cache. No entanto, não recomendamos essa prática. Se você Coletar logs do Azure AD B2C com o Application Insights, todas as declarações enviadas de e para provedores de identidade serão coletadas, o que é um risco de segurança e desempenho. |
| Implantar atualizações de registro de aplicativo | Ao modificar o registro do aplicativo no locatário do Azure AD B2C, como atualizar o URI de redirecionamento do aplicativo, espere um atraso de até 2 horas (3600s) para que as alterações entrem em vigor no ambiente de produção. Recomendamos que você modifique o registro do aplicativo em seu ambiente de produção quando o tráfego em seu aplicativo estiver baixo. |
| Integrar com o Azure Monitor | Os eventos de log de auditoria são mantidos apenas por sete dias. Integre-se ao Azure Monitor para reter os logs para uso de longo prazo ou integrar-se a ferramentas de SIEM (gerenciamento de eventos e informações de segurança) de terceiros para obter insights sobre seu ambiente. |
| Configurar alertas e monitoramento ativos | Acompanhe o comportamento do usuário no Azure AD B2C usando o Application Insights. |
Atualizações de status e suporte
Mantenha-se atualizado com o estado do serviço e encontre opções de suporte.
| Prática recomendada | Descrição |
|---|---|
| Atualizações de serviço | Mantenha-se atualizado com as atualizações e anúncios de produtos do Azure AD B2C. |
| Suporte da Microsoft | Envie um pedido de suporte para questões técnicas do Azure AD B2C. O suporte para gerenciamento de assinaturas e cobranças é fornecido sem custo adicional. |
| Status do Azure | Exiba o status de integridade atual de todos os serviços do Azure. |