Partilhar via

Tutorial para configurar o Nevis com o Azure Active Directory B2C para autenticação sem palavra-passe

  • Artigo

Neste tutorial, saiba como ativar a autenticação sem palavra-passe no Azure Active Directory B2C (Azure AD B2C) com a aplicação Nevis Access para permitir a autenticação do cliente e cumprir os requisitos de transação da Diretiva 2 (PSD2) dos Serviços de Pagamento. O PSD2 é uma diretiva da União Europeia (UE), administrada pela Comissão Europeia (Direcção-Geral do Mercado Interno) para regular os serviços de pagamento e os prestadores de serviços de pagamento em toda a UE e o Espaço Económico Europeu (EEE).

Pré-requisitos

Para começar, precisará de:

Nota

Para integrar o Nevis no fluxo da política de inscrição, configure o ambiente Azure AD B2C para utilizar políticas personalizadas.
Veja Tutorial: Criar fluxos de utilizador e políticas personalizadas no Azure Active Directory B2C.

Descrição do cenário

Adicione a aplicação de marca Access à sua aplicação de back-end para autenticação sem palavra-passe. Os seguintes componentes constituem a solução:

  • Azure AD inquilino B2C com uma política de início de sessão e inscrição combinada para o back-end
  • Instância do Nevis e a API REST para melhorar Azure AD B2C
  • A sua aplicação de marca Access

O diagrama mostra a implementação.

Diagrama que mostra o fluxo de início de sessão de palavra-passe de alto nível com Azure AD B2C e Nevis.

  1. Um utilizador tenta iniciar sessão ou inscrever-se numa aplicação com Azure AD política B2C.
  2. Durante a inscrição, o Access é registado no dispositivo do utilizador com um código QR. É gerada uma chave privada no dispositivo do utilizador e é utilizada para assinar pedidos de utilizador.
  3. Azure AD B2C utiliza um perfil técnico RESTful para iniciar sessão com a solução Nevis.
  4. O pedido de início de sessão vai para o Access, como uma mensagem push, código QR ou uma ligação avançada.
  5. O utilizador aprova a tentativa de início de sessão com a respetiva biometria. Uma mensagem vai para Nevis, que verifica o início de sessão com a chave pública armazenada.
  6. Azure AD B2C envia um pedido ao Nevis para confirmar que o início de sessão está concluído.
  7. É concedido ou negado ao utilizador acesso à aplicação com uma mensagem de êxito ou falha Azure AD B2C.

Integrar o inquilino do Azure AD B2C

Pedir uma conta nevis

  1. Aceda a nevis.net para Nevis + Microsoft Azure AD B2C.
  2. Utilize o pedido de formulário de uma conta.
  3. Chegam dois e-mails:
  • Notificação da conta de gestão
  • Convite para aplicações móveis

Adicionar o inquilino do Azure AD B2C à sua conta nevis

  1. No e-mail de avaliação da conta de gestão, copie a chave de gestão.
  2. Num browser, abra https://console.nevis.cloud/.
  3. Utilize a chave de gestão para iniciar sessão na consola de gestão.
  4. Selecione Adicionar Instância.
  5. Selecione a instância criada.
  6. Na navegação lateral, selecione Integrações Personalizadas.
  7. Selecione Adicionar integração personalizada.
  8. Em Nome da Integração, introduza o Azure AD nome do inquilino B2C.
  9. Para URL/Domínio, introduza https://yourtenant.onmicrosoft.com.
  10. Selecione Seguinte
  11. Selecione Concluído.

Nota

Irá precisar do token de acesso nevis mais tarde.

Instalar o Nevis Access no telemóvel

  1. A partir do e-mail de convite da aplicação móvel Nevis, abra o convite da aplicação Test Flight .
  2. Instale a aplicação.

Integrar Azure AD B2C com Nevis

  1. Inicie sessão no portal do Azure.
  2. Mude para o inquilino Azure AD B2C. Nota: o Azure AD inquilino B2C normalmente está num inquilino separado.
  3. No menu, selecione Identity Experience Framework (IEF).
  4. Selecione Chaves de Política.
  5. Selecione Adicionar.
  6. Crie uma nova chave.
  7. Em Opções, selecione Manual.
  8. Em Nome, selecione AuthCloudAccessToken.
  9. Em Segredo, cole o Token de Acesso nevis armazenado.
  10. Para Utilização da Chave, selecione Encriptação.
  11. Selecione Criar.

Configurar e carregar a nevis.html para o armazenamento de blobs do Azure

  1. No seu Ambiente de Identidade (IDE), aceda à pasta /master/samples/Nevis/policy .
  2. Em /samples/Nevis/policy/nevis.html abra o ficheiro de nevis.html.
  3. Substitua o authentication_cloud_url pelo URL https://<instance_id>.mauth.nevis.cloudda consola do Nevis Administração .
  4. Selecione Guardar.
  5. Criar uma conta de armazenamento de Blobs do Azure.
  6. Carregue o ficheiro nevis.html para o armazenamento de blobs do Azure.
  7. Configurar o CORS.
  8. Ative a partilha de recursos de várias origens (CORS) para o ficheiro.
  9. Na lista, selecione o ficheiro nevis.html .
  10. No separador Descrição geral , junto ao URL, selecione o ícone copiar ligação .
  11. Abra a ligação num novo separador do browser para confirmar que é apresentada uma caixa cinzenta.

Nota

Irá precisar da ligação do blob mais tarde.

Personalizar TrustFrameworkBase.xml

  1. No IDE, aceda à pasta /samples/Nevis/policy .
  2. Abra TrustFrameworkBase.xml.
  3. Substitua o inquilino pelo nome da conta de inquilino do Azure em TenantId.
  4. Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyURI.
  5. Substitua todas as instâncias authentication_cloud_url pelo URL da consola do Nevis Administração.
  6. Selecione Guardar.

Personalizar TrustFrameworkExtensions.xml

  1. No IDE, aceda à pasta /samples/Nevis/policy .
  2. Abra TrustFrameworkExtensions.xml.
  3. Substitua o inquilino pelo nome da conta de inquilino do Azure em TenantId.
  4. Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyURI.
  5. Em BasePolicy, no TenantId, substitua o inquilino pelo nome da conta de inquilino do Azure.
  6. Em BuildingBlocks, substitua LoadUri pelo URL da ligação do blob nevis.html, na sua conta de armazenamento de blobs.
  7. Selecione Guardar.

Personalizar SignUpOrSignin.xml

  1. No IDE, aceda à pasta /samples/Nevis/policy .
  2. Abra o ficheiro SignUpOrSignin.xml .
  3. Substitua o inquilino pelo nome da conta de inquilino do Azure no TenantId.
  4. Substitua o inquilino pelo nome da conta de inquilino do Azure em PublicPolicyUri.
  5. Em BasePolicy, em TenantId, substitua o inquilino pelo nome da conta de inquilino do Azure.
  6. Selecione Guardar.

Carregar políticas personalizadas para Azure AD B2C

  1. No portal do Azure, abra o inquilino Azure AD B2C.
  2. Selecione Estrutura de Experiência de Identidade.
  3. Selecione Carregar política personalizada.
  4. Selecione o ficheiroTrustFrameworkBase.xml que modificou.
  5. Selecione a caixa de verificação Substituir a política personalizada se já existir .
  6. Selecione Carregar.
  7. Repita os passos 5 e 6 para TrustFrameworkExtensions.xml.
  8. Repita os passos 5 e 6 para SignUpOrSignin.xml.

Testar o fluxo de utilizador

Testar a criação da conta e a configuração do Access

  1. No portal do Azure, abra o inquilino Azure AD B2C.
  2. Selecione Estrutura de Experiência de Identidade.
  3. Desloque-se para baixo até Políticas personalizadas e selecione B2C_1A_signup_signin.
  4. Selecione Executar agora.
  5. Na janela, selecione Inscrever-se agora.
  6. Adicione o seu endereço de e-mail.
  7. Selecione Enviar código de verificação.
  8. Copie o código de verificação do e-mail.
  9. Selecione Verificar.
  10. Preencha o formulário com a sua nova palavra-passe e nome a apresentar.
  11. Selecione Criar.
  12. É apresentada a página de análise do código QR.
  13. No telemóvel, abra a aplicação Nevis Access.
  14. Selecione Face ID.
  15. É apresentado o ecrã Registo de autenticação com êxito .
  16. Selecione Continuar.
  17. No telemóvel, autentique-se com o seu rosto.
  18. A página de boas-vindas jwt.ms é apresentada com os detalhes do token descodificado.

Testar o início de sessão sem palavra-passe

  1. Em Identity Experience Framework, selecione o B2C_1A_signup_signin.
  2. Selecione Executar agora.
  3. Na janela, selecione Autenticação Sem Palavra-passe.
  4. Introduza o seu endereço de e-mail.
  5. Selecione Continuar.
  6. No telemóvel, em Notificações, selecione Notificação da aplicação Nevis Access.
  7. Autentice-se com o seu rosto.
  8. A página de boas-vindas jwt.ms é apresentada com os seus tokens.

Passos seguintes