Поделиться через

Руководство по настройке Keyless с помощью Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Узнайте, как настроить Azure Active Directory B2C (Azure AD B2C) с помощью решения без ключа. С Azure AD B2C в качестве поставщика удостоверений (IdP) интегрируйте Keyless с клиентскими приложениями для предоставления проверки подлинности без пароля. Бесключевой Zero-Knowledge биометрический (ZKB) — это многофакторная аутентификация без пароля, которая помогает исключить мошенничество, фишинг и повторное использование учетных данных, одновременно повышая качество обслуживания клиентов и защищая конфиденциальность.

Перейдите к keyless.io, чтобы узнать:

Предпосылки

Чтобы приступить к работе, потребуется следующее.

Описание сценария

Интеграция без ключей включает следующие компоненты:

  • Azure AD B2C — сервер авторизации, проверяющий учетные данные пользователя. Также называется idP.
  • Веб-приложения и мобильные приложения — мобильные или веб-приложения для защиты с помощью keyless и Azure AD B2C
  • Мобильное приложение Keyless Authenticator — мобильное приложение для проверки подлинности в приложениях с поддержкой Azure AD B2C

На следующей схеме архитектуры показана реализация.

На рисунке показана схема архитектуры без ключей

  1. Пользователь прибывает на страницу входа. Пользователь выбирает вход или регистрацию и вводит имя пользователя.
  2. Приложение отправляет атрибуты пользователей в Azure AD B2C для проверки подлинности.
  3. Azure AD B2C отправляет атрибуты пользователей в Keyless для идентификации.
  4. Keyless отправляет push-уведомление на зарегистрированное мобильное устройство пользователя для аутентификации, после чего выполняется сканирование лица.
  5. Пользователь отвечает на push-уведомление и предоставляет или запрещает доступ.

Добавьте поставщика удостоверений, настройте поставщика удостоверений и создайте политику потока пользователя

Используйте следующие разделы для добавления IdP, настройки IdP и создания политики потока пользователей.

Добавление нового поставщика удостоверений

Чтобы добавить новый поставщик удостоверений, выполните следующее:

  1. Войдите в портал Azure в качестве по крайней мере администратора политики B2C IEF клиента Azure AD B2C.
  2. Выберите каталоги и подписки.
  3. На странице "Параметры портала" "Каталоги и подписки " в списке имен каталога найдите каталог Azure AD B2C.
  4. Выберите Переключиться.
  5. В левом верхнем углу портала Azure выберите все службы.
  6. Найдите и выберите Azure AD B2C.
  7. Перейдите к панели управления>Azure Active Directory B2C>поставщиков удостоверений.
  8. Выберите поставщики удостоверений личности.
  9. Нажмите кнопку "Добавить".

Настройка поставщика удостоверений

Чтобы настроить поставщика удостоверений:

  1. Выберите тип >OpenID Connect (предварительная версия).
  2. В поле "Имя" выберите "Без ключа".
  3. Для URL-адреса метаданных вставьте URI приложения для аутентификации без ключей, следом добавьте путь, например https://keyless.auth/.well-known/openid-configuration.
  4. Для секрета клиента выберите секрет, связанный с экземпляром проверки подлинности без ключей. Секрет используется позже в конфигурации контейнера без ключей.
  5. Для идентификатора клиента выберите идентификатор клиента. Идентификатор клиента используется позже в конфигурации контейнера без ключей.
  6. Для области действия выберите openid.
  7. Для типа ответа выберите id_token.
  8. В режиме ответа выберите form_post.
  9. Нажмите ОК.
  10. Выберите "Сопоставить утверждения этого поставщика удостоверений".
  11. Для UserID выберите "Из подписки".
  12. В поле "Отображаемое имя" выберите "Из подписки".
  13. В режиме ответа выберите "Из подписки".
  14. Нажмите кнопку "Сохранить".

Создание политики потока пользователя

Keyless представлен как новый поставщик удостоверений OpenID Connect (OIDC) наряду с поставщиками удостоверений B2C.

  1. Откройте клиент Azure AD B2C.
  2. В разделе Политики выберите Потоки пользователей.
  3. Выберите новый поток пользователя.
  4. Выберите "Регистрация и вход".
  5. Выберите версию.
  6. Нажмите кнопку "Создать".
  7. Введите название для вашей политики.
  8. В разделе "Поставщики удостоверений" выберите созданного поставщика безключевых удостоверений.
  9. Введите имя.
  10. Выберите поставщика учетных данных, которого вы создали.
  11. Добавьте адрес электронной почты. Azure не перераспределяет вход на Keyless; появляется экран с вариантом для пользователя.
  12. Оставьте поле Многофакторной идентификации .
  13. Выберите "Применить политики условного доступа".
  14. В разделе Атрибуты пользователя и утверждения маркера в параметре Собрать атрибут выберите адрес электронной почты.
  15. Добавьте атрибуты пользователей, которые собирает Microsoft Entra ID, и отправьте их вместе с утверждениями через Azure AD B2C в клиентское приложение.
  16. Нажмите кнопку "Создать".
  17. Выберите новый поток пользователя.
  18. На панели слева выберите "Утверждения приложения".
  19. В параметрах установите флажок электронная почта.
  20. Нажмите кнопку "Сохранить".

Тестирование потока пользователя

  1. Откройте клиент Azure AD B2C.
  2. В разделе "Политики" выберите "Платформа взаимодействия с удостоверениями".
  3. Выберите созданный SignUpSignIn.
  4. Выберите Запустить пользовательский сценарий.
  5. Для приложения выберите зарегистрированное приложение (пример — JWT).
  6. Для URL-адреса ответа выберите URL-адрес перенаправления.
  7. Выберите Запустить пользовательский сценарий.
  8. Пройдите процедуру регистрации и создайте учетную запись.
  9. После создания атрибута пользователя, во время выполнения процесса вызывается Keyless.

Если поток не завершен, убедитесь, сохранен ли пользователь в каталоге или нет.

Дальнейшие шаги