Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
Следующие передовые практики и рекомендации охватывают некоторые основные аспекты интеграции Azure Active Directory (Azure AD) B2C в существующие или новые среды приложений.
Основы
| Лучшие практики | Описание |
|---|---|
| Создание учетной записи аварийного доступа | Эта учетная запись аварийного доступа позволяет получить доступ к тенанту Azure AD B2C в случаях, когда единственный администратор недоступен в тот момент, когда требуются учетные данные. Узнайте, как создать учетную запись аварийного доступа |
| Выбор потоков пользователей для большинства сценариев | Фреймворк Identity Experience в Azure AD B2C является ключевой особенностью сервиса. Политики полностью описывают возможности идентификации, такие как регистрация, вход или редактирование профиля. Чтобы помочь вам настроить наиболее распространенные задачи идентификации, портал Azure AD B2C включает предопределенные настраиваемые политики, называемые потоками пользователей. С помощью потоков пользователей вы можете создавать превосходный опыт пользователей за считанные минуты с помощью нескольких щелчков мыши. Узнайте, когда следует использовать потоки пользователей и пользовательские политики. |
| Регистрации приложений | Каждое приложение (веб-приложение, собственный код) и API, защищенные, должны быть зарегистрированы в Azure AD B2C. Если приложение имеет веб-и собственную версию iOS и Android, их можно зарегистрировать как одно приложение в Azure AD B2C с одним и тем же идентификатором клиента. Узнайте , как зарегистрировать OIDC, SAML, веб-приложения и собственные приложения. Дополнительные сведения о типах приложений, которые можно использовать в Azure AD B2C. |
| Переход на ежемесячное выставление счетов активных пользователей | Azure AD B2C перешел с ежемесячной активной проверки подлинности на ежемесячное выставление счетов активных пользователей (MAU). Большинство клиентов будут находить эту модель экономически эффективной. Узнайте больше о ежемесячном выставлении счетов за активных пользователей. |
| Следуйте рекомендациям по обеспечению безопасности | Существуют непрерывные и изменяющиеся угрозы и атаки, и, как и все собственные ресурсы, ваше развертывание Azure AD B2C должно соответствовать рекомендациям по обеспечению безопасности, включая рекомендации по внедрению WAF (защита от угроз, таких как DDOS и боты) и других рекомендаций по многоуровневой защите в структуре безопасности B2C. |
Планирование и проектирование
Определите архитектуру приложения и службы, инвентаризацию текущих систем и запланируйте миграцию в Azure AD B2C.
| Лучшие практики | Описание |
|---|---|
| Разработка комплексного решения | Включите все зависимости приложений при планировании интеграции Azure AD B2C. Рассмотрим все службы и продукты, которые в настоящее время находятся в вашей среде или которые могут потребоваться добавить в решение (например, Функции Azure, системы управления отношениями клиентов (CRM), шлюз управления API Azure и службы хранилища. Учитывайте безопасность и масштабируемость для всех служб. |
| Документируйте опыт ваших пользователей | Подробно опишите все пользовательские сценарии, которые могут испытать ваши клиенты в вашем приложении. Включите каждый экран и любые ветвления, с которыми они могут столкнуться при взаимодействии с аспектами идентификации и профиля вашего приложения. Включите удобство использования, специальные возможности и локализацию в планировании. |
| Выбор правильного протокола проверки подлинности | Сведения о разных сценариях приложений и их рекомендуемых потоках проверки подлинности см. в сценариях и поддерживаемых потоках проверки подлинности. |
| Пилотное руководство по проверке концепции (POC) для конечных пользователей | Начните с наших примеров кода Майкрософт и примеров сообщества. |
| Создайте план миграции | Планирование впереди может сделать миграцию более гладкой. Дополнительные сведения о миграции пользователей. |
| Удобство использования и безопасность | Ваше решение должно обеспечить правильный баланс между удобством использования приложений и приемлемым уровнем риска вашей организации. |
| Перемещение локальных зависимостей в облако | Чтобы обеспечить устойчивость решения, рассмотрите возможность перемещения существующих зависимостей приложений в облако. |
| Перенос существующих приложений в b2clogin.com | Депрекация login.microsoftonline.com вступит в силу для всех тенантов Azure AD B2C 04 декабря 2020 года. Подробнее. |
| Использование защиты идентификации и условного доступа | Используйте эти возможности для значительно большего контроля над рискованными проверками подлинности и политиками доступа. Требуется Azure AD B2C Premium P2. Подробнее. |
| Размер арендатора | Необходимо планировать с учетом размера арендатора Azure AD B2C. По умолчанию клиент Azure AD B2C может разместить 1,25 миллиона объектов (учетные записи пользователей и приложения). Это ограничение можно увеличить до 5,25 миллионов объектов, добавив пользовательский домен в арендатора и проверив его. Если вам нужен больший размер арендатора, обратитесь в службу поддержки. |
Внедрение
На этапе реализации рассмотрите следующие рекомендации.
| Лучшие практики | Описание |
|---|---|
| Изменение настраиваемых политик с помощью расширения Azure AD B2C для Visual Studio Code | Скачайте Visual Studio Code и это расширение, созданное сообществом, из Visual Studio Code Marketplace. Хотя и не официальный продукт Майкрософт, расширение Azure AD B2C для Visual Studio Code включает несколько функций, которые помогают упростить работу с пользовательскими политиками. |
| Узнайте, как устранить неполадки Azure AD B2C | Узнайте, как устранять неполадки пользовательских политик во время разработки. Узнайте, как выглядит обычный поток проверки подлинности и использовать средства для обнаружения аномалий и ошибок. Например, используйте Application Insights для просмотра журналов выходных данных взаимодействия пользователей. |
| Использование нашей библиотеки проверенных шаблонов настраиваемой политики | Найдите примеры для улучшенных пользовательских процессов управления идентификацией и доступом в Azure AD B2C (CIAM). |
Тестирование
Тестирование и автоматизация реализации Azure AD B2C.
| Лучшие практики | Описание |
|---|---|
| Учитывать глобальный трафик | Используйте источники трафика из разных глобальных адресов для тестирования требований к производительности и локализации. Убедитесь, что все элементы HTML, CSS и зависимости могут удовлетворять ваши потребности в производительности. |
| Функциональное и пользовательское тестирование | Протестируйте потоки пользователей от начала до конца. Добавьте искусственные тесты каждые несколько минут с помощью Selenium, VS Web Test и т. д. |
| Тестирование пера | Прежде чем работать с решением, выполните упражнения по тестированию на проникновение, чтобы убедиться, что все компоненты защищены, включая любые сторонние зависимости. Убедитесь, что api-интерфейсы защищены маркерами доступа и использовали правильный протокол проверки подлинности для сценария приложения. Дополнительные сведения о тестировании на проникновение и правилах проведения тестов на проникновение в Microsoft Cloud Unified. |
| A/B-тестирование | Протестируйте новые функции с небольшой случайной группой пользователей перед их развертыванием для всех пользователей. С поддержкой JavaScript в Azure AD B2C можно интегрировать с средствами тестирования A/B, такими как Optimizely, Clarity и другие. |
| Нагрузочное тестирование | Azure AD B2C может масштабироваться, но приложение может масштабироваться только в том случае, если все его зависимости могут масштабироваться. Рекомендуем протестировать вашу политику на нагрузку в рабочем режиме, задав атрибут DeploymentMode в элементе <TrustFrameworkPolicy> вашего пользовательского файла политики как Production. Этот параметр гарантирует производительность во время теста, соответствующего производительности рабочего уровня. Проведите нагрузочное тестирование ваших API и CDN. Узнайте больше об устойчивости с помощью рекомендаций разработчика. |
| Ограничение скорости | Azure AD B2C регулирует трафик, если слишком много запросов отправляются из одного источника в течение короткого периода времени. Используйте несколько источников трафика во время нагрузочного тестирования и корректно обработайте AADB2C90229 код ошибки в приложениях. |
| Автоматизация | Используйте конвейеры непрерывной интеграции и доставки (CI/CD), чтобы автоматизировать тестирование и развертывание, например Azure DevOps. |
Операции
Управление средой Azure AD B2C.
| Лучшие практики | Описание |
|---|---|
| Создание нескольких сред | Для упрощения операций и развертывания создайте отдельные среды для разработки, тестирования, предварительной среды и рабочей среды. Создайте для каждого клиента Azure AD B2C. |
| Использование управления версиями для пользовательских политик | Рекомендуется использовать GitHub, Azure Repos или другую облачную систему управления версиями для пользовательских политик Azure AD B2C. |
| Использование API Microsoft Graph для автоматизации управления клиентами B2C | API Microsoft Graph: Управление Identity Experience Framework (настраиваемые политики) Ключи Потоки пользователей |
| Интеграция с Azure DevOps | Конвейер CI/CD упрощает перемещение кода между различными средами и обеспечивает готовность к работе всегда. |
| Развертывание настраиваемой политики | Azure AD B2C использует кэширование для обеспечения производительности конечным пользователям. При развертывании настраиваемой политики с помощью любого метода ожидается задержка до 30 минут , чтобы пользователи видели изменения. В результате этого поведения при развертывании пользовательских политик следует учитывать следующие методики: — Если вы развертываете в среде разработки, задайте для атрибута DeploymentMode в элементе <TrustFrameworkPolicy> пользовательского файла политики значение Production. — развертывание обновленных файлов политики в рабочей среде при низком трафике в приложении. — При развертывании в рабочей среде для обновления существующих файлов политики передайте обновленные файлы с новыми именами, которые действуют в качестве новых версий политик. Затем обновите ссылки для приложения на новые имена и версии. Вы можете удалить старые файлы политики после этого или сохранить их в качестве последней известной надёжной конфигурации для упрощения возврата. — Если необходимо развернуть в рабочей среде для обновления существующих файлов политики без учета версий, сделайте новую политику обратно совместимой со старой, следуя нескольким простым правилам. Если необходимо изменить технический профиль, утверждение или SubJourney, создайте новую версию, опубликуйте политику и подождите 30 минут, пока кэши Azure AD B2C будут собирать новую версию. Затем в последующем обновлении внесите изменения, чтобы использовать новую версию и выполнить другое обновление политики. Подождите еще 30 минут, после чего при необходимости можно удалить старую версию элементов. Убедитесь, что вся бизнес-логика находится внутри SubJourneys. — Можно установить DeploymentMode в среде эксплуатации на Development, чтобы обойти поведение кэширования. Однако мы не рекомендуем эту практику. Если вы собираете журналы Azure AD B2C при помощи Application Insights, собираются все заявления, отправляемые в и от поставщиков удостоверений, что представляет собой риск для безопасности и производительности. |
| Внедрение обновлений регистрации приложений | При изменении регистрации приложения в клиенте Azure AD B2C, например при обновлении URI перенаправления приложения, ожидается задержка до 2 часов (7200s), чтобы изменения вступили в силу в рабочей среде. Рекомендуется изменить регистрацию приложения в рабочей среде при низком трафике в приложении. |
| Интеграция с Azure Monitor | События журнала аудита хранятся только в течение семи дней. Интеграция с Azure Monitor для хранения журналов для долгосрочного использования или интеграции с сторонними средствами управления сведениями о безопасности и событиями (SIEM) для получения аналитических сведений о вашей среде. |
| Настройка активных оповещений и мониторинга | Отслеживание поведения пользователей в Azure AD B2C с помощью Application Insights. |
Поддержка и обновления статуса
Будьте в курсе состояния службы и найдите варианты поддержки.
| Лучшие практики | Описание |
|---|---|
| Обновления службы | Будьте в курсе обновлений и объявлений продуктов Azure AD B2C. |
| Служба поддержки Майкрософт | Отправьте запрос на поддержку для технических проблем Azure AD B2C. Поддержка по вопросам выставления счетов и управления подписками предоставляется бесплатно. |
| Состояние Azure | Просмотрите текущее состояние работоспособности всех служб Azure. |