Руководство по настройке Nok Nok S3 Authentication Suite с помощью Azure AD B2C для проверки подлинности секретного ключа FIDO

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Из этой статьи вы узнаете, как интегрировать Nok Nok S3 Authentication Suite в клиент Azure Active Directory (AD) B2C. Решение Nok Nok включает многофакторную проверку подлинности, сертифицированную FIDO, например FIDO Universal Authentication Framework (UAF), FIDO Universal Second Factor (U2F), WebAuthn и FIDO2 для мобильных и веб-приложений. Решение Nok Nok повышает безопасность при поддержании оптимального взаимодействия с пользователем.

Дополнительные сведения см. в Nok Nok.

Предпосылки

Чтобы начать, вам нужно:

• Подписка Azure. Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Клиент Azure AD B2C, связанный с подпиской Azure. Узнайте, как создать клиент Azure AD B2C.
• Клиент оценки Nok Cloud для регистрации и проверки подлинности FIDO.

Описание сценария

Чтобы включить аутентификацию с помощью ключей доступа для пользователей, разрешите Nok Nok в качестве поставщика удостоверений (IdP) в клиенте Azure AD B2C. Интеграция Nok Nok включает следующие компоненты:

• Azure AD B2C — сервер авторизации, проверяющий учетные данные пользователя.
• Веб-приложения и мобильные приложения — мобильные или веб-приложения для защиты с помощью решений Nok Nok и Azure AD B2C.
• Веб-приложение Nok Nok — средство для регистрации ключа доступа на вашем устройстве.
• Приложение для входа Nok Nok — приложение для проверки подлинности приложений Azure AD B2C с помощью секретного ключа.

На следующей схеме показано решение Nok Nok в качестве поставщика удостоверений для Azure AD B2C, использующее OpenID Connect (OIDC) для аутентификации с использованием ключей доступа.

Сценарий 1. Регистрация секретного ключа

1. Пользователь переходит к веб-приложению руководства Nok Nok, используя ссылку, предоставленную Nok Nok.
2. Пользователь вводит имя пользователя Azure AD B2C и пароль учебного приложения по умолчанию.
3. Пользователь получает запрос на регистрацию ключа доступа.
4. Сервер Nok Nok проверяет учетные данные секретного ключа и подтверждает успешную регистрацию ключа доступа пользователю.
5. Секретный ключ на устройстве пользователя готов к проверке подлинности.

Сценарий 2: Аутентификация с использованием ключа доступа

1. Пользователь выбирает вход с помощью кнопки Nok Nok Cloud на странице входа в Azure AD B2C.
2. Azure AD B2C перенаправляет пользователя в приложение входа Nok Nok.
3. Пользователь запрашивает проверку подлинности секретного ключа
4. Пользователь проходит проверку подлинности с помощью ключа доступа.
5. Nok Nok Cloud проверяет утверждение ключа доступа
6. Nok Nok Cloud отправляет ответ проверки подлинности OIDC в Azure AD B2C.
7. В зависимости от результата проверки подлинности Azure AD B2C предоставляет или запрещает доступ к целевому приложению.

Начало работы с Nok Nok

1. Обратитесь в Nok Nok.
2. Заполните форму для клиента Nok Nok.
3. Сообщение электронной почты поступает с информацией о доступе клиента и ссылками на документацию.
4. Используйте документацию по интеграции Nok Nok, чтобы завершить настройку OIDC клиента.

Интеграция с Azure AD B2C

Используйте следующие инструкции, чтобы добавить и настроить провайдера удостоверений, а затем сконфигурировать поток пользователей.

Добавление нового поставщика удостоверений

Для выполнения следующих инструкций используйте каталог с клиентом Azure AD B2C. Чтобы добавить нового поставщика удостоверений:

1. Войдите на портал Azure по крайней мере как администратор политики B2C Identity Experience Framework (IEF) клиента Azure AD B2C.
2. На панели инструментов портала выберите каталоги и подписки.
3. На портале параметры каталогов и подписок в списке имен каталогов найдите каталог Azure AD B2C.
4. Выберите Переключиться.
5. В левом верхнем углу портала Azure выберите все службы.
6. Найдите и выберите Azure AD B2C.
7. Перейдите к панели управления>Azure Active Directory B2C>поставщиков удостоверений.
8. Выберите поставщики удостоверений личности.
9. Нажмите кнопку "Добавить".

Настройка поставщика удостоверений

Чтобы настроить поставщика удостоверений:

1. Выберите тип >OpenID Connect (предварительная версия).
2. В поле "Имя" введите имя поставщика проверки подлинности Nok Nok или другое имя.
3. Для URL-адреса метаданных введите следующий URL-адрес, заменив заполнитель на идентификатор арендатора, который предоставляет Nok Nok: https://cloud.noknok.com/<tenant_id>/webapps/nnlfed/realms/<tenant_id>/.well-known/openid-configuration.
4. Для секрета клиента используйте секрет клиента из Nok Nok.
5. Для идентификатора клиента используйте идентификатор клиента, предоставленный Nok Nok.
6. Для Scope используйте openid.
7. Для типа ответа используйте код.
8. В режиме ответа используйте form_post.
9. Для идентификатора пользователя используйте sub.
10. Для отображаемого имени используйте вложенный элемент.
11. Нажмите кнопку "Сохранить".

Создание политики потока пользователя

Для следующих инструкций Nok Nok является новым поставщиком OIDC IdP в списке поставщиков удостоверений B2C.

1. В клиенте Azure AD B2C в разделе "Политики" выберите потоки пользователей.
2. Выберите Создать.
3. Выберите "Регистрация и вход".
4. Выберите версию.
5. Нажмите кнопку "Создать".
6. Введите имя политики.
7. В поставщиках идентификации выберите созданный Nok Nok IdP.
8. Проверьте регистрацию электронной почты в локальных учетных записях, чтобы отобразить промежуточную страницу входа/регистрации Azure AD B2C с кнопкой, которая перенаправляет пользователя в приложение Nok Nok для входа.
9. Оставьте поле Многофакторной идентификации .
10. Нажмите кнопку "Создать ", чтобы сохранить.

Тестирование потока пользователя

1. Откройте клиент Azure AD B2C. В разделе "Политики" выберите Identity Experience Framework.
2. Выберите созданный SignUpSignIn.
3. Выберите Запустить пользовательский сценарий.
4. Для приложения выберите зарегистрированное приложение. Примером является веб-токен JSON (JWT).
5. Для URL-адреса ответа выберите URL-адрес перенаправления приложения, выбранного на предыдущем шаге.
6. Выберите Запустить пользовательский сценарий.
7. Выполните вход с помощью имени пользователя Azure AD B2C и ключа доступа, который вы ранее зарегистрировали для того же пользователя.
8. Убедитесь, что после проверки подлинности вы получили маркер.

Если поток незавершен, убедитесь, сохранён ли пользователь в каталоге или нет.

Альтернативный поток проверки подлинности

На следующей диаграмме показан альтернативный поток входа с паролем или регистрации с использованием функции подсказки маркера идентификатора (ID Token Hint) в Azure AD B2C. С помощью этого подхода настраиваемая политика Azure проверяет подсказку токена идентификатора, созданную в Nok Nok Cloud. Дополнительные сведения см. в статье о определении технического профиля указания маркера идентификатора в пользовательской политике Azure Active Directory B2C. Пожалуйста, обратитесь в службу поддержки Nok Nok для получения помощи в интеграции необходимой пользовательской политики Azure.

Ниже приведены действия.

1. Пользователь выбирает вход с помощью кнопки Nok Nok Cloud.
2. Проверка подлинности ключа доступа в Nok Nok Cloud.
3. Пользователь проходит проверку подлинности с помощью ключа доступа.
4. Nok Nok Cloud проверяет утверждение ключа доступа.
5. Возвращается подсказка токена идентификатора.
6. Приложение отправляет запрос OIDC с указанием маркера идентификатора в Azure AD B2C.
7. Пользовательская политика Azure AD B2C проверяет подсказку токена ID.
8. В зависимости от результата проверки подлинности Azure AD B2C предоставляет или запрещает доступ к целевому приложению.

Дальнейшие шаги

• Обзор настраиваемой политики Azure AD B2C
• Руководство по созданию потоков пользователей и пользовательских политик в Azure Active Directory B2C