Recomendações e melhores práticas para o Azure Active Directory B2C
As práticas recomendadas e recomendações a seguir abrangem alguns dos principais aspetos da integração do Azure Ative Directory (Azure AD) B2C em ambientes de aplicativos novos ou existentes.
Fundamentos
| Melhor prática | Description |
|---|---|
| Escolher fluxos de usuário para a maioria dos cenários | A Estrutura de Experiência de Identidade do Azure AD B2C é a principal força do serviço. As políticas descrevem completamente as experiências de identidade, como inscrição, entrada ou edição de perfil. Para ajudá-lo a configurar as tarefas de identidade mais comuns, o portal do Azure AD B2C inclui políticas predefinidas e configuráveis chamadas fluxos de usuário. Com fluxos de usuários, você pode criar ótimas experiências de usuário em minutos, com apenas alguns cliques. Saiba quando usar fluxos de usuário versus políticas personalizadas. |
| Registos de aplicações | Todos os aplicativos (Web, nativos) e APIs que estão sendo protegidos devem ser registrados no Azure AD B2C. Se um aplicativo tiver uma versão Web e nativa do iOS e Android, você poderá registrá-los como um aplicativo no Azure AD B2C com a mesma ID de cliente. Saiba como registrar OIDC, SAML, Web e aplicativos nativos. Saiba mais sobre os tipos de aplicativo que podem ser usados no Azure AD B2C. |
| Mudar para a faturação mensal de utilizadores ativos | O Azure AD B2C passou de autenticações ativas mensais para faturamento de usuários ativos mensais (MAU). A maioria dos clientes achará este modelo rentável. Saiba mais sobre a faturação mensal de utilizadores ativos. |
Planeamento e projeto
Defina sua arquitetura de aplicativo e serviço, inventarie os sistemas atuais e planeje sua migração para o Azure AD B2C.
| Melhor prática | Description |
|---|---|
| Arquitete uma solução completa | Inclua todas as dependências de seus aplicativos ao planejar uma integração do Azure AD B2C. Considere todos os serviços e produtos que estão atualmente em seu ambiente ou que talvez precisem ser adicionados à solução (por exemplo, Azure Functions, sistemas de CRM (Customer Relationship Management), gateway de Gerenciamento de API do Azure e serviços de armazenamento). Leve em conta a segurança e escalabilidade para todos os serviços. |
| Documente as experiências dos seus utilizadores | Detalhar todas as jornadas de usuário que seus clientes podem experimentar em seu aplicativo. Inclua todas as telas e quaisquer fluxos de ramificação que eles possam encontrar ao interagir com os aspetos de identidade e perfil do seu aplicativo. Inclua usabilidade, acessibilidade e localização em seu planejamento. |
| Escolha o protocolo de autenticação correto | Para obter um detalhamento dos diferentes cenários de aplicativos e seus fluxos de autenticação recomendados, consulte Cenários e fluxos de autenticação suportados. |
| Pilote uma experiência de usuário de ponta a ponta (POC) de prova de conceito (POC) | Comece com nossos exemplos de código da Microsoft e exemplos de comunidade. |
| Criar um plano de migração | Planear com antecedência pode facilitar a migração. Saiba mais sobre a migração de usuários. |
| Usabilidade vs. segurança | Sua solução deve encontrar o equilíbrio certo entre a usabilidade do aplicativo e o nível aceitável de risco da sua organização. |
| Mover dependências locais para a nuvem | Para ajudar a garantir uma solução resiliente, considere mover as dependências de aplicativos existentes para a nuvem. |
| Migrar aplicativos existentes para o b2clogin.com | A substituição do login.microsoftonline.com entrará em vigor para todos os locatários do Azure AD B2C em 04 de dezembro de 2020. Saiba mais. |
| Usar proteção de identidade e acesso condicional | Use esses recursos para obter um controle significativamente maior sobre autenticações arriscadas e políticas de acesso. O Azure AD B2C Premium P2 é necessário. Saiba mais. |
| Tamanho do inquilino | Você precisa planejar com o tamanho do locatário do Azure AD B2C em mente. Por padrão, o locatário do Azure AD B2C pode acomodar 1,25 milhão de objetos (contas de usuário e aplicativos). Você pode aumentar esse limite para 5,25 milhões de objetos adicionando um domínio personalizado ao seu locatário e verificando-o. Se precisar de um inquilino maior, entre em contato com o Suporte. |
| Usar proteção de identidade e acesso condicional | Use esses recursos para maior controle sobre autenticações arriscadas e políticas de acesso. O Azure AD B2C Premium P2 é necessário. Saiba mais. |
Implementação
Durante a fase de implementação, considere as seguintes recomendações.
| Melhor prática | Description |
|---|---|
| Editar políticas personalizadas com a extensão do Azure AD B2C para Visual Studio Code | Baixe o Visual Studio Code e esta extensão criada pela comunidade do Visual Studio Code Marketplace. Embora não seja um produto oficial da Microsoft, a extensão do Azure AD B2C para Visual Studio Code inclui vários recursos que ajudam a facilitar o trabalho com políticas personalizadas. |
| Saiba como solucionar problemas do Azure AD B2C | Saiba como solucionar problemas de políticas personalizadas durante o desenvolvimento. Saiba como é um fluxo de autenticação normal e use ferramentas para descobrir anomalias e erros. Por exemplo, use o Application Insights para revisar os logs de saída das jornadas do usuário. |
| Aproveite nossa biblioteca de padrões de políticas personalizados comprovados | Encontre exemplos para jornadas de usuário aprimoradas do gerenciamento de acesso e identidade do cliente (CIAM) do Azure AD B2C. |
Testar
Teste e automatize sua implementação do Azure AD B2C.
| Melhor prática | Description |
|---|---|
| Conta para o tráfego global | Use fontes de tráfego de endereços globais diferentes para testar os requisitos de desempenho e localização. Certifique-se de que todos os HTMLs, CSS e dependências possam atender às suas necessidades de desempenho. |
| Testes funcionais e de interface do usuário | Teste os fluxos de usuário de ponta a ponta. Adicione testes sintéticos a cada poucos minutos usando Selenium, VS Web Test, etc. |
| Teste de caneta | Antes de entrar em operação com sua solução, execute exercícios de teste de penetração para verificar se todos os componentes estão seguros, incluindo quaisquer dependências de terceiros. Verifique se você protegeu suas APIs com tokens de acesso e usou o protocolo de autenticação correto para o cenário do aplicativo. Saiba mais sobre os testes de penetração e as regras de envolvimento do Microsoft Cloud Unified Penetration Testing. |
| Testes A/B | Envie seus novos recursos com um pequeno conjunto aleatório de usuários antes de lançar para toda a sua população. Com o JavaScript ativado no Azure AD B2C, pode integrar com ferramentas de teste A/B como Optimizely, Clarity e outras. |
| Teste de carga | O Azure AD B2C pode ser dimensionado, mas seu aplicativo só pode ser dimensionado se todas as suas dependências puderem ser dimensionadas. Teste de carga suas APIs e CDN. Saiba mais sobre resiliência através das práticas recomendadas para desenvolvedores. |
| Limitação | O Azure AD B2C limita o tráfego se muitas solicitações forem enviadas da mesma fonte em um curto período de tempo. Use várias fontes de tráfego durante o teste de carga e manipule o AADB2C90229 código de erro normalmente em seus aplicativos. |
| Automatização | Use pipelines de integração e entrega contínua (CI/CD) para automatizar testes e implantações, por exemplo, Azure DevOps. |
Operações
Gerencie seu ambiente do Azure AD B2C.
| Melhor prática | Description |
|---|---|
| Crie vários ambientes | Para facilitar as operações e a implantação da implantação, crie ambientes separados para desenvolvimento, teste, pré-produção e produção. Crie locatários do Azure AD B2C para cada um. |
| Usar o controle de versão para suas políticas personalizadas | Considere usar o GitHub, o Azure Repos ou outro sistema de controle de versão baseado em nuvem para suas políticas personalizadas do Azure AD B2C. |
| Use a API do Microsoft Graph para automatizar o gerenciamento de seus locatários B2C | APIs do Microsoft Graph: Gerenciar o Identity Experience Framework (políticas personalizadas) Chaves Fluxos do Utilizador |
| Integração com o Azure DevOps | Um pipeline de CI/CD facilita a movimentação de código entre diferentes ambientes e garante sempre a prontidão da produção. |
| Implantar política personalizada | O Azure AD B2C depende do cache para fornecer desempenho aos usuários finais. Ao implantar uma política personalizada usando qualquer método, espere um atraso de até 30 minutos para que os usuários vejam as alterações. Como resultado desse comportamento, considere as seguintes práticas ao implantar suas políticas personalizadas: - Se você estiver implantando em um ambiente de desenvolvimento, defina o DeploymentMode atributo como Development no elemento do arquivo de <TrustFrameworkPolicy> política personalizado. - Implante seus arquivos de política atualizados em um ambiente de produção quando o tráfego em seu aplicativo estiver baixo. - Quando você implanta em um ambiente de produção para atualizar arquivos de política existentes, carregue os arquivos atualizados com o(s) novo(s) nome(s) e, em seguida, atualize a referência do aplicativo para o(s) novo(s) nome(s). Em seguida, você pode remover os arquivos de política antigos posteriormente. - Você pode definir o para em um ambiente de produção para Development ignorar o DeploymentMode comportamento de cache. No entanto, não recomendamos essa prática. Se você coletar logs do Azure AD B2C com o Application Insights, todas as declarações enviadas de e para provedores de identidade serão coletadas, o que é um risco de segurança e desempenho. |
| Implantar atualizações de registro de aplicativo | Quando você modifica o registro do aplicativo em seu locatário do Azure AD B2C, como atualizar o URI de redirecionamento do aplicativo, espere um atraso de até 2 horas (3600s) para que as alterações entrem em vigor no ambiente de produção. Recomendamos que você modifique o registro do aplicativo em seu ambiente de produção quando o tráfego em seu aplicativo estiver baixo. |
| Integração com o Azure Monitor | Os eventos de log de auditoria são retidos apenas por sete dias. Integre com o Azure Monitor para reter os logs para uso de longo prazo ou integre-se a ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente. |
| Configurar alertas e monitoramento ativos | Acompanhe o comportamento do usuário no Azure AD B2C usando o Application Insights. |
Suporte e atualizações de status
Mantenha-se atualizado com o estado do serviço e encontre opções de suporte.
| Melhor prática | Description |
|---|---|
| Atualizações de serviço | Mantenha-se atualizado com as atualizações e anúncios de produtos do Azure AD B2C. |
| Suporte da Microsoft | Registre uma solicitação de suporte para problemas técnicos do Azure AD B2C. O suporte de gestão da faturação e subscrição é fornecido sem custos. |
| Estado do Azure | Exiba o status de integridade atual de todos os serviços do Azure. |