Tutorial: Configurar Microsoft Dynamics 365 Fraud Protection com o Azure Active Directory B2C
As organizações podem utilizar Microsoft Dynamics 365 Fraud Protection (DFP) para avaliar o risco durante as tentativas de criar contas e inícios de sessão fraudulentos. Os clientes utilizam a avaliação dfP da Microsoft para bloquear ou desafiar tentativas suspeitas de criação de novas contas falsas ou para comprometer contas.
Neste tutorial, saiba como integrar o Microsoft DFP no Azure Active Directory B2C (Azure AD B2C). Existem orientações sobre como incorporar a criação de impressões digitais e a criação de contas de dispositivos DFP da Microsoft, bem como pontos finais da API de avaliação de início de sessão, num Azure AD política personalizada B2C.
Saiba mais: Descrição geral do Microsoft Dynamics 365 Fraud Protection
Pré-requisitos
Para começar, precisará de:
- Uma subscrição do Azure
- Se não tiver uma, pode obter uma conta gratuita do Azure
- Um inquilino Azure AD B2C associado à sua subscrição do Azure
- Uma subscrição MICROSOFT DFP
- Veja Preços de Dynamics 365
- Pode configurar uma versão de cliente de avaliação
Descrição do cenário
A integração do Microsoft DFP inclui os seguintes componentes:
- Azure AD inquilino B2C: autentica o utilizador e atua como cliente do Microsoft DFP. Aloja um script de impressão digital que recolhe dados de identificação e diagnóstico de utilizadores que executam uma política de destino. Bloqueia ou desafia tentativas de início de sessão ou inscrição com base no resultado de avaliação de regras devolvido pelo Microsoft DFP.
- Modelos de IU personalizados: personaliza o conteúdo HTML das páginas compostas por Azure AD B2C. Estas páginas incluem o fragmento JavaScript necessário para a impressão digital DFP da Microsoft.
- Serviço de impressão digital MICROSOFT DFP: script incorporado dinamicamente que regista a telemetria do dispositivo e os detalhes de utilizador auto-afirmados para criar uma impressão digital exclusivamente identificável para o utilizador.
- Pontos finais da API DFP da Microsoft: fornece o resultado da decisão e aceita um estado final que reflete a operação realizada pela aplicação cliente. Azure AD B2C comunica com os pontos finais DFP da Microsoft através de conectores de API REST. A autenticação de API ocorre com uma concessão de client_credentials ao inquilino Microsoft Entra no qual o Microsoft DFP está licenciado e instalado para obter um token de portador.
O diagrama de arquitetura seguinte mostra a implementação.
- O utilizador chega a uma página de início de sessão, seleciona a opção para criar uma nova conta e introduz informações. Azure AD B2C recolhe atributos de utilizador.
- Azure AD B2C chama a API DFP da Microsoft e transmite os atributos do utilizador.
- Depois de a API DFP da Microsoft consumir as informações e processá-la, devolve o resultado para Azure AD B2C.
- Azure AD B2C recebe informações da API DFP da Microsoft. Se ocorrer uma falha, é apresentada uma mensagem de erro. Com êxito, o utilizador é autenticado e escrito no diretório.
Configurar a solução
- Crie uma aplicação do Facebook configurada para permitir que a federação Azure AD B2C.
- Adicione o segredo do Facebook que criou como chave de política do Identity Experience Framework.
Configurar a sua aplicação no Microsoft DFP
Configure o seu inquilino Microsoft Entra para utilizar o Microsoft DFP.
Configurar o seu domínio personalizado
Num ambiente de produção, utilize um domínio personalizado para Azure AD B2C e para o serviço de impressão digital MICROSOFT DFP. O domínio para ambos os serviços está na mesma zona DNS de raiz para impedir que as definições de privacidade do browser bloqueiem cookies entre domínios. Esta configuração não é necessária num ambiente de não produção.
Veja a tabela seguinte para obter exemplos de ambiente, serviço e domínio.
| Ambiente | Serviço | Domínio |
|---|---|---|
| Desenvolvimento | Azure AD B2C | contoso-dev.b2clogin.com |
| Desenvolvimento | Impressão Digital microsoft DFP | fpt.dfp.microsoft-int.com |
| UAT | Azure AD B2C | contoso-uat.b2clogin.com |
| UAT | Impressão Digital microsoft DFP | fpt.dfp.microsoft.com |
| Produção | Azure AD B2C | login.contoso.com |
| Produção | Impressão Digital microsoft DFP | fpt.login.contoso.com |
Implementar os modelos de IU
- Implemente os modelos de IU de Azure AD B2C fornecidos num serviço de alojamento na Internet destinado ao público, como Armazenamento de Blobs do Azure.
- Substitua o valor
https://<YOUR-UI-BASE-URL>/pelo URL de raiz da localização de implementação.
Nota
Mais tarde, precisará do URL base para configurar Azure AD políticas B2C.
-
ui-templates/js/dfp.jsNo ficheiro, substitua pelo<YOUR-DFP-INSTANCE-ID>ID de instância do Microsoft DFP. - Certifique-se de que o CORS está ativado para o Azure AD nome
https://{your_tenant_name}.b2clogin.comde domínio B2C ouyour custom domain.
Saiba mais: Documentação de personalização da IU
configuração do Azure AD B2C
Adicionar chaves de política para o segredo e o ID da aplicação cliente MICROSOFT DFP
- No inquilino Microsoft Entra onde o Microsoft DFP está configurado, crie uma aplicação Microsoft Entra e conceda o consentimento do administrador.
- Crie um valor secreto para este registo de aplicação. Anote o ID de cliente da aplicação e o valor do segredo do cliente.
- Guarde o ID de cliente e os valores dos segredos do cliente como chaves de política no seu inquilino Azure AD B2C.
Nota
Mais tarde, precisará das chaves de política para configurar Azure AD políticas B2C.
Substituir os valores de configuração
Nas políticas personalizadas fornecidas, localize os seguintes marcadores de posição e substitua-os pelos valores correspondentes da sua instância.
| Marcador de posição | Substituir | Notas |
|---|---|---|
| {Definições:Produção} | Se pretende implementar as políticas no modo de produção |
true ou false |
| {Settings:Tenant} | Nome abreviado do inquilino |
your-tenant - de your-tenant.onmicrosoft.com |
| {Settings:DeploymentMode} | Modo de implementação do Application Insights a utilizar |
Production ou Development |
| {Settings:DeveloperMode} | Se pretende implementar as políticas no modo de programador do Application Insights |
true ou false |
| {Settings:AppInsightsInstrumentationKey} | Chave de instrumentação da sua instância do Application Insights* | 01234567-89ab-cdef-0123-456789abcdef |
| {Settings:IdentityExperienceFrameworkAppId} ID da aplicação IdentityExperienceFramework configurada no inquilino do Azure AD B2C | 01234567-89ab-cdef-0123-456789abcdef |
|
| {Settings:ProxyIdentityExperienceFrameworkAppId} | ID da aplicação ProxyIdentityExperienceFramework configurada no inquilino Azure AD B2C | 01234567-89ab-cdef-0123-456789abcdef |
| {Settings:FacebookClientId} | ID da aplicação do Facebook que configurou para federação com B2C | 000000000000000 |
| {Settings:FacebookClientSecretKeyContainer} | Nome da chave de política, na qual guardou o segredo da aplicação do Facebook | B2C_1A_FacebookAppSecret |
| {Settings:ContentDefinitionBaseUri} | Ponto final no local onde implementou os ficheiros de IU | https://<my-storage-account>.blob.core.windows.net/<my-storage-container> |
| {Settings:DfpApiBaseUrl} | O caminho base da instância da API DFP, encontrado no portal DFP | https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/ |
| {Settings:DfpApiAuthScope} | O âmbito de client_credentials para o serviço de API DFP | https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default |
| {Settings:DfpTenantId} | O ID do inquilino do Microsoft Entra (não B2C) em que o DFP está licenciado e instalado |
01234567-89ab-cdef-0123-456789abcdef ou consoto.onmicrosoft.com |
| {Settings:DfpAppClientIdKeyContainer} | Nome da chave de política na qual guarda o ID de cliente DFP | B2C_1A_DFPClientId |
| {Settings:DfpAppClientSecretKeyContainer} | Nome da chave de política na qual guarda o segredo do cliente DFP | B2C_1A_DFPClientSecret |
| {Settings:DfpEnvironment} | O ID do ambiente DFP. | O ID do Ambiente é um identificador exclusivo global do ambiente DFP para o qual envia os dados. A sua política personalizada deve chamar o ponto final da API, incluindo o parâmetro da cadeia de consulta x-ms-dfpenvid=your-env-id> |
*Pode configurar o Application Insights num inquilino ou subscrição Microsoft Entra. Este valor é opcional, mas recomendado para ajudar na depuração.
Nota
Adicione a notificação de consentimento à página da coleção de atributos. Inclua a notificação de que a telemetria do utilizador e as informações de identidade são registadas para proteção de conta.
Configurar a política Azure AD B2C
- Aceda à política Azure AD B2C na pasta Políticas.
- Siga as instruções no pacote de arranque de políticas personalizadas para transferir o pacote inicial LocalAccounts.
- Configure a política para o inquilino Azure AD B2C.
Nota
Atualize as políticas fornecidas para se relacionar com o seu inquilino.
Testar o fluxo de utilizador
- Abra o inquilino Azure AD B2C e, em Políticas, selecione Identity Experience Framework.
- Selecione a sua SignUpSignIn criada anteriormente.
- Selecione Executar fluxo de utilizador.
- Aplicação: a aplicação registada (por exemplo, JWT).
- URL de resposta: URL de redirecionamento.
- Selecione Executar fluxo de utilizador.
- Conclua o fluxo de inscrição e crie uma conta.
Dica
O Microsoft DFP é chamado durante o fluxo. Se o fluxo estiver incompleto, confirme que o utilizador não está guardado no diretório.
Nota
Se utilizar o motor de regras DFP da Microsoft, atualize as regras no portal DFP da Microsoft.