Experiência resiliente do usuário final usando o Azure AD B2C

A experiência do utilizador final de registo e início de sessão é composta pelos seguintes elementos:

• Interfaces com as quais o usuário interage, como CSS, HTML e JavaScript
• Fluxos de usuário e políticas personalizadas que você cria, por exemplo, inscrição, login e edição de perfil
• Provedores de identidade (IDPs) para seu aplicativo, como nome de usuário ou senha da conta local, Microsoft Outlook, Facebook e Google

Fluxo de usuários e política personalizada

Para ajudá-lo a configurar as tarefas de identidade mais comuns, o Azure AD B2C fornece fluxos de usuário configuráveis internos. Você também pode criar suas próprias políticas personalizadas que oferecem a máxima flexibilidade. No entanto, recomendamos o uso de políticas personalizadas para lidar com cenários complexos.

Selecionar fluxo de usuário ou política personalizada

Escolha fluxos de usuários integrados que atendam às suas necessidades de negócios. A Microsoft testa fluxos internos, portanto, você pode minimizar os testes para validar a funcionalidade, o desempenho ou a escala no nível da política. No entanto, teste aplicativos para funcionalidade, desempenho e escala.

Com políticas personalizadas, garanta testes de nível de política para funcionalidade, desempenho ou escala. Realize testes no nível do aplicativo.

Para saber mais, você pode comparar fluxos de usuários e políticas personalizadas.

Escolha vários IdPs

Ao usar um IdP externo, como o Facebook, crie um plano de fallback se o IdP externo não estiver disponível.

Configurar vários IdPs

No processo de registro de IdP externo, inclua uma declaração de identidade verificada, como número de celular ou endereço de e-mail do usuário. Confirme as declarações verificadas na instância de diretório subjacente do Azure AD B2C. Se um IdP externo não estiver disponível, reverta para a declaração de identidade verificada e volte para o número de telefone como um método de autenticação. Outra opção é enviar ao usuário uma senha única (OTP) para entrar.

Você pode criar caminhos de autenticação alternativos:

1. Configure a política de inscrição para permitir a inscrição por conta local e IDPs externos.
2. Configure uma política de perfil para permitir que os usuários vinculem a outra identidade à conta depois de entrarem.
3. Notifique e permita que os usuários alternem para um IDP alternativo durante uma interrupção.

Disponibilidade da autenticação multifator

Se você usa um serviço telefônico para autenticação multifator, considere um provedor de serviços alternativo. O provedor de serviços telefônicos local pode sofrer interrupções no serviço.

Selecionar autenticação multifator alternativa

O serviço Azure AD B2C tem um provedor de MFA baseado em telefone para fornecer OTPs (códigos de acesso únicos) baseados no tempo. É uma chamada de voz e mensagem de texto para números de telefone pré-registrados do usuário.

Com os fluxos de usuários, há dois métodos para criar resiliência:

• Alterar a configuração do fluxo do usuário: durante a interrupção na entrega de OTP baseada em telefone, altere o método de entrega de OTP para e-mail. Reimplante o fluxo de usuários.

  

• Alterar aplicativos: para tarefas de identidade, como inscrição e entrada, defina dois conjuntos de fluxos de usuário. Configure o primeiro conjunto para usar OTP baseada em telefone e o segundo para enviar OTP por e-mail. Durante uma interrupção na entrega de OTP baseada em telefone, mude do primeiro conjunto de fluxos de usuário para o segundo, deixando os fluxos de usuário inalterados.

Se você usar políticas personalizadas, há quatro métodos para criar resiliência. A lista está por ordem de complexidade. Reimplantar políticas atualizadas.

• Habilitar a seleção de usuários de OTP de telefone ou OTP de e-mail: exponha ambas as opções para permitir que os usuários façam a autoseleção. Não altere políticas ou aplicativos.

• Alterne dinamicamente entre OTP de telefone e OTP de e-mail: colete informações de telefone e e-mail no momento da inscrição. Defina uma política personalizada para mudar condicionalmente, durante a interrupção do telefone, para a OTP de e-mail. Não altere políticas ou aplicativos.

• Usar um aplicativo de autenticação: atualize a política personalizada para usar um aplicativo de autenticação. Se sua MFA for OTP por telefone ou e-mail, reimplante políticas personalizadas e use um aplicativo de autenticação.

  Nota

  Os usuários configuram a integração do Authenticator durante a inscrição.

• Perguntas de segurança: Se nenhum dos métodos anteriores for aplicável, use perguntas de segurança. Essas perguntas são para usuários durante a integração ou edição de perfil. As respostas são armazenadas em um banco de dados separado. Este método não atende ao requisito de MFA de algo que você tem, por exemplo, um telefone, mas é algo que você sabe.

Rede de entrega de conteúdos

As redes de distribuição de conteúdo (CDNs) têm um desempenho melhor e são menos dispendiosas do que as lojas de blob para armazenar a interface do usuário de fluxo de usuário personalizada. O conteúdo da página web vai a partir de uma rede geograficamente distribuída de servidores altamente disponíveis.

Periodicamente, teste a disponibilidade da CDN e o desempenho da distribuição de conteúdo por meio de cenários de ponta a ponta e testes de carga. Para picos devido a promoções ou tráfego de feriados, revise as estimativas para testes de carga.

Próximos passos

• Recursos de resiliência para desenvolvedores do Azure AD B2C
  • Interfaces resilientes com processos externos
  • Resiliência através das melhores práticas do desenvolvedor
  • Resiliência através da monitorização e análise
• Crie resiliência na infraestrutura de autenticação
• Aumentar a resiliência da autenticação e autorização em aplicações