Partilhar via

Migrar utilizadores para o AAD B2C

  • Artigo

A migração de outro fornecedor de identidade para o Azure Active Directory B2C (Azure AD B2C) também pode exigir a migração de contas de utilizador existentes. Dois métodos de migração são abordados aqui, pré-migração e migração totalmente integrada. Com qualquer uma das abordagens, é necessário escrever uma aplicação ou script que utilize o Microsoft Graph API para criar contas de utilizador no Azure AD B2C.

Veja este vídeo para saber mais sobre Azure AD estratégias de migração de utilizadores B2C e passos a considerar.

Nota

Antes de iniciar a migração, certifique-se de que o Azure AD quota não utilizada do inquilino B2C pode acomodar todos os utilizadores que espera migrar. Saiba como Obter a utilização do inquilino. Se precisar de aumentar o limite de quotas do inquilino, contacte Suporte da Microsoft.

Pré-migração

No fluxo de pré-migração, a aplicação de migração executa estes passos para cada conta de utilizador:

  1. Leia a conta de utilizador do fornecedor de identidade antigo, incluindo as credenciais atuais (nome de utilizador e palavra-passe).
  2. Crie uma conta correspondente no seu diretório Azure AD B2C com as credenciais atuais.

Utilize o fluxo de pré-migração em qualquer uma destas duas situações:

  • Tem acesso às credenciais de texto simples de um utilizador (nome de utilizador e palavra-passe).
  • As credenciais estão encriptadas, mas pode desencriptar as mesmas.

Para obter informações sobre a criação programática de contas de utilizador, veja Gerir Azure AD contas de utilizador B2C com o Microsoft Graph.

Migração totalmente integrada

Utilize o fluxo de migração totalmente integrado se as palavras-passe de texto simples no fornecedor de identidade antigo não estiverem acessíveis. Por exemplo, quando:

  • A palavra-passe é armazenada num formato encriptado unidirecional, tal como com uma função hash.
  • A palavra-passe é armazenada pelo fornecedor de identidade legado de uma forma a que não possa aceder. Por exemplo, quando o fornecedor de identidade valida as credenciais ao chamar um serviço Web.

O fluxo de migração totalmente integrado ainda requer a pré-migração das contas de utilizador, mas utiliza uma política personalizada para consultar uma API REST (que cria) para definir a palavra-passe de cada utilizador no início de sessão.

O fluxo de migração totalmente integrado consiste em duas fases: pré-migração e definir credenciais.

Fase 1: Pré-migração

  1. A sua aplicação de migração lê as contas de utilizador do fornecedor de identidade antigo.
  2. A aplicação de migração cria contas de utilizador correspondentes no seu diretório Azure AD B2C, mas define palavras-passe aleatórias geradas por si.

Fase 2: Definir credenciais

Após a conclusão da pré-migração das contas, a política personalizada e a API REST efetuam o seguinte quando um utilizador iniciar sessão:

  1. Leia o Azure AD conta de utilizador B2C correspondente ao endereço de e-mail introduzido.
  2. Verifique se a conta está sinalizada para migração ao avaliar um atributo de extensão booleana.
    • Se o atributo de extensão devolver True, chame a API REST para validar a palavra-passe relativamente ao fornecedor de identidade legado.
      • Se a API REST determinar que a palavra-passe está incorreta, devolva um erro amigável ao utilizador.
      • Se a API REST determinar que a palavra-passe está correta, escreva a palavra-passe na conta Azure AD B2C e altere o atributo da extensão booleana para False.
    • Se o atributo da extensão booleana devolver False, continue o processo de início de sessão normalmente.

Para ver um exemplo de política personalizada e API REST, veja o exemplo de migração de utilizador totalmente integrado no GitHub.

Diagrama de fluxograma da abordagem de migração totalmente integrada para a migração do utilizador

Segurança

A abordagem de migração totalmente integrada utiliza a sua própria API REST personalizada para validar as credenciais de um utilizador relativamente ao fornecedor de identidade legado.

Tem de proteger a API REST contra ataques de força bruta. Um atacante pode submeter várias palavras-passe na esperança de, eventualmente, adivinhar as credenciais de um utilizador. Para ajudar a derrotar estes ataques, deixe de fornecer pedidos à API REST quando o número de tentativas de início de sessão passar um determinado limiar. Além disso, proteja a comunicação entre Azure AD B2C e a API REST. Para saber como proteger as APIs RESTful para produção, veja Secure RESTful API (API RESTful Segura).

Atributos do utilizador

Nem todas as informações no fornecedor de identidade legada devem ser migradas para o seu diretório Azure AD B2C. Identifique o conjunto adequado de atributos de utilizador a armazenar no Azure AD B2C antes de migrar.

  • Arquivo DO no Azure AD B2C:
    • Nome de utilizador, palavra-passe, endereços de e-mail, números de telefone, números de associação/identificadores.
    • Marcadores de consentimento para a política de privacidade e contratos de licença do utilizador final.
  • Não armazene no Azure AD B2C:
    • Dados confidenciais, como números de cartões de crédito, números de segurança social (SSN), registos médicos ou outros dados regulados por entidades governamentais ou de conformidade da indústria.
    • Preferências de marketing ou comunicação, comportamentos do utilizador e informações.

Limpeza do diretório

Antes de iniciar o processo de migração, aproveite para limpar o diretório.

  • Identifique o conjunto de atributos de utilizador a armazenar no Azure AD B2C e migre apenas aquilo de que precisa. Se necessário, pode criar atributos personalizados para armazenar mais dados sobre um utilizador.
  • Se estiver a migrar de um ambiente com múltiplas origens de autenticação (por exemplo, cada aplicação tem o seu próprio diretório de utilizador), migre para uma conta unificada no Azure AD B2C.
  • Se várias aplicações tiverem nomes de utilizador diferentes, pode armazená-las numa conta de utilizador B2C Azure AD através da coleção de identidades. Acerca da palavra-passe, permita que o utilizador escolha uma e defina-a no diretório. Por exemplo, com a migração totalmente integrada, apenas a palavra-passe escolhida deve ser armazenada na Azure AD conta B2C.
  • Remova contas de utilizador não utilizadas ou não migre contas obsoletos.

Política de palavras-passe

Se as contas que está a migrar tiverem uma força de palavra-passe mais fraca do que a força forte da palavra-passe imposta pelo Azure AD B2C, pode desativar o requisito de palavra-passe forte. Para obter mais informações, veja Propriedade da política de palavra-passe.

Passos seguintes

O azure-ad-b2c/user-migration repositório no GitHub contém um exemplo de política personalizada de migração totalmente integrada e um exemplo de código da API REST:

Exemplo de código da API REST e política de migração de utilizador totalmente integrada