Поделиться через

Технический обзор и обзор функций Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Эта статья является дополнением к статье Сведения об Azure Active Directory B2C и содержит более подробные сведения о службе. Здесь мы обсудим основные ресурсы, с которыми вы работаете в службе, ее функции и узнаете, как они позволяют предоставить клиентам полностью настраиваемую идентификацию в ваших приложениях.

клиент B2C Azure AD

В Azure Active Directory B2C (Azure AD B2C) клиент представляет вашу организацию и является каталогом пользователей. Каждый клиент Azure AD B2C отличается от других клиентов Azure AD B2C. Клиент Azure AD B2C также отличается от клиента Microsoft Entra, который, возможно, у вас уже есть.

Основными ресурсами, с которыми вы работаете в клиенте Azure AD B2C, являются:

  • Каталог — это место, где Azure AD B2C хранит учетные данные пользователей, данные профилей и регистрации приложений.
  • Регистрация приложений — вы можете зарегистрировать веб-, мобильные и собственные приложения в Azure AD B2C, чтобы обеспечить управление удостоверениями. Вы также можете зарегистрировать любые API, которые хотите защитить, с помощью Azure AD B2C.
  • Потоки пользователей и настраиваемые политики — они используются для создания интерфейсов идентификации для приложений со встроенными потоками пользователей и полностью настраиваемыми настраиваемыми политиками:
    • Потоки пользователей помогают быстро реализовать распространенные задачи идентификации, такие как регистрация, вход и редактирование профилей.
    • Настраиваемые политики позволяют создавать сложные рабочие процессы идентификации, уникальные для вашей организации, клиентов, сотрудников, партнеров и граждан.
  • Варианты входа — Azure AD B2C предлагает различные варианты регистрации и входа для пользователей приложений:
    • Вход в систему с помощью имени пользователя, адреса электронной почты и телефона — вы можете настроить локальные учетные записи Azure AD B2C, чтобы разрешить регистрацию и вход с помощью имени пользователя, адреса электронной почты, номера телефона или сочетания методов.
    • Социальные провайдеры идентификации — вы можете интегрироваться с такими социальными провайдерами, как Facebook, LinkedIn или X.
    • Внешние поставщики удостоверений — вы также можете объединяться в федерацию со стандартными протоколами удостоверений, такими как OAuth 2.0, OpenID Connect и другими.
  • Ключи — добавление ключей шифрования и управление ими для подписи и проверки маркеров, секретов клиента, сертификатов и паролей.

Клиент Azure AD B2C — это первый ресурс, который необходимо создать для начала работы с Azure AD B2C. Узнайте, как:

Учетные записи в Azure AD B2C

Azure AD B2C определяет несколько типов учетных записей пользователей. Microsoft Entra ID, Microsoft Entra B2B и Azure Active Directory B2C используют эти типы учетных записей.

  • Рабочая учетная запись — пользователи с рабочими учетными записями могут управлять ресурсами в клиенте, а с ролью администратора — также управлять клиентами. Пользователи с рабочими учетными записями могут создавать новые учетные записи пользователей, сбрасывать пароли, блокировать и разблокировать учетные записи, а также устанавливать разрешения или назначать учетную запись в группу безопасности.
  • Гостевая учетная запись — это внешние пользователи, которых вы приглашаете в свой клиент в качестве гостей. Типичный сценарий приглашения гостевого пользователя в клиент Azure AD B2C — предоставление общего доступа к обязанностям администрирования.
  • Учетная запись потребителя — это учетные записи, которые управляются потоками пользователей Azure AD B2C и настраиваемыми политиками.

Снимок экрана страницы управления пользователями Azure AD B2C на портале Azure.
Рисунок: Каталог пользователей в клиенте Azure AD B2C на портале Azure.

Учетные записи потребителей

С помощью учетной записи потребителя пользователи могут входить в приложения, защищенные с помощью Azure AD B2C. Однако пользователи с учетными записями потребителей не могут получить доступ к ресурсам Azure, например к порталу Azure.

Учетная запись потребителя может быть связана со следующими типами удостоверений:

  • Локальное удостоверение с именем пользователя и паролем, хранящимися локально в каталоге Azure AD B2C. Эти идентификации часто называются локальными учетными записями.
  • Социальные или корпоративные удостоверения, в которых удостоверение пользователя управляется федеративным поставщиком удостоверений. Например, Facebook, Google, Microsoft, ADFS или Salesforce.

Пользователь с учетной записью потребителя может войти в систему с несколькими удостоверениями. Например, имя пользователя, адрес электронной почты, идентификатор сотрудника, удостоверение личности государственного образца и другие. У одной учетной записи может быть несколько идентичностей, как локальных, так и социальных.

Идентификаторы учетных записей потребителей.
Рисунок: Одна учетная запись потребителя с несколькими идентичностями в Azure AD B2C

Дополнительные сведения см. в статье Обзор учетных записей пользователей в Azure Active Directory B2C.

Варианты входа в локальную учетную запись

Azure AD B2C предоставляет различные способы проверки подлинности пользователя. Пользователи могут входить в локальную учетную запись, используя имя пользователя и пароль, проверку по телефону (также известную как аутентификация без пароля). Подписка по электронной почте включена по умолчанию в настройках идентификационного провайдера вашего локального аккаунта.

Узнайте больше о вариантах входа или о том, как настроить поставщика идентификаторов локальной учетной записи.

Атрибуты профиля пользователя

Azure AD B2C позволяет управлять общими атрибутами профилей учетных записей потребителей. Например, отображаемое имя, фамилия, имя, город и другие.

Вы также можете расширить базовую схему Microsoft Entra ID для хранения дополнительных сведений о пользователях. Например, страна или регион проживания, предпочитаемый язык и предпочтения, такие как подписка на новостную рассылку или включение многофакторной аутентификации. Дополнительные сведения можно найти здесь

Вход с помощью внешних поставщиков удостоверений

Вы можете настроить Azure AD B2C, чтобы разрешить пользователям входить в ваше приложение с учетными данными от поставщиков социальных сетей и корпоративных удостоверений. Azure AD B2C может объединяться в федерацию с поставщиками удостоверений, поддерживающими протоколы OAuth 1.0, OAuth 2.0, OpenID Connect и SAML. Например, Facebook, учетная запись Майкрософт, Google, X и служба федерации Active Directory (AD FS).

Схема, показывающая логотипы компаний для примера внешних поставщиков удостоверений.

С помощью внешних поставщиков удостоверений вы можете предложить своим пользователям возможность входить в систему с помощью существующих учетных записей социальных или корпоративных учетных записей без необходимости создавать новую учетную запись только для вашего приложения.

На странице регистрации или входа в Azure AD B2C представлен список внешних поставщиков удостоверений, которые пользователь может выбрать для входа. После выбора одного из внешних поставщиков удостоверений они будут перенаправлены на веб-сайт выбранного поставщика для завершения процесса входа. После того как пользователь успешно войдет в систему, он вернется в Azure AD B2C для проверки подлинности учетной записи в приложении.

Схема, показывающая пример входа с мобильного устройства с помощью учетной записи социальной сети (Facebook).

Дополнительные сведения о поставщиках удостоверений см. в статье Добавление поставщиков удостоверений в приложения в Azure Active Directory B2C.

Опыт идентификации: пользовательские потоки или настраиваемые политики

В Azure AD B2C можно определить бизнес-логику, которую пользователи следуют за доступом к приложению. Например, можно определить последовательность действий, которые пользователи выполняют при входе в систему, регистрации, редактировании профиля или сбросе пароля. После завершения последовательности пользователь получает маркер и получает доступ к приложению.

В Azure AD B2C существует два способа предоставления опыта работы с пользователями удостоверений.

  • Пользовательские потоки — это предопределенные, встроенные, настраиваемые политики, которые мы предоставляем, чтобы вы могли создавать интерфейсы регистрации, входа и редактирования политик за считанные минуты.

  • Настраиваемые политики — они позволяют создавать собственные пути взаимодействия пользователя для сложных сценариев взаимодействия с идентификацией.

На следующем снимке экрана показан пользовательский интерфейс настроек потока пользователя, а также файлы конфигурации для настройки политики.

Снимок экрана, показывающий пользовательский интерфейс параметров пользовательского потока и файл конфигурации пользовательской политики.

Чтобы узнать больше о потоках пользователей и настраиваемых политиках, а также о том, какой метод лучше всего подходит для вашего бизнеса, см. статью Общие сведения о потоках пользователей и настраиваемых политиках.

Пользовательский интерфейс

В Azure AD B2C вы можете настроить опыт идентификации пользователей таким образом, чтобы отображаемые страницы органично сочетались со стилем вашего бренда. Вы получаете почти полный контроль над содержимым HTML и CSS, представленным пользователям, когда они проходят путь идентификации вашего приложения. Благодаря такой гибкости вы можете поддерживать фирменную символику и визуальную согласованность между приложением и Azure AD B2C.

Замечание

Настройка страниц, отображаемых третьими лицами при использовании учетных записей социальных сетей, ограничена параметрами, предоставляемыми этим поставщиком удостоверений, и находится вне контроля Azure AD B2C.

Сведения о настройке пользовательского интерфейса см. в следующих статьях:

Личный домен

Вы можете настроить домен Azure AD B2C в URI перенаправления для вашего приложения. Пользовательский домен позволяет создать бесшовный интерфейс, чтобы отображаемые страницы органично сочетались с доменным именем вашего приложения. С точки зрения пользователя, они остаются в вашем домене во время процесса входа, а не перенаправляются в домен Azure AD B2C по умолчанию .b2clogin.com.

Дополнительные сведения см. в статье Включение личных доменов.

Локализация

Настройка языка в Azure AD B2C позволяет использовать различные языки в соответствии с потребностями клиентов. Корпорация Майкрософт предоставляет локализации для 36 языков, но вы также можете предоставить собственные локализации для любого языка.

Скриншот трех страниц входа с текстом пользовательского интерфейса на разных языках.

Сведения о том, как работает локализация, см. в статье Настройка языка в Azure Active Directory B2C.

Проверка по электронной почте

Azure AD B2C обеспечивает наличие действительных адресов электронной почты, требуя от клиентов подтверждения их во время регистрации и сброса пароля. Это также не позволяет злоумышленникам использовать автоматизированные процессы для создания мошеннических учетных записей в ваших приложениях.

Скриншоты, показывающие процесс подтверждения электронной почты.

Вы можете настроить электронную почту, отправляемую пользователям, которые регистрируются для использования ваших приложений. Используя стороннего поставщика услуг электронной почты, вы можете использовать собственный шаблон письма и адрес отправителя: и тему, а также поддерживать локализацию и пользовательские настройки одноразового пароля (OTP). Дополнительные сведения можно найти здесь

Добавьте собственную бизнес-логику и вызывайте RESTful API

Вы можете интегрироваться с RESTful API как в потоках пользователей, так и в настраиваемых политиках. Разница в том, что в пользовательских потоках вы осуществляете вызовы в определённых местах, а в настраиваемых политиках вы добавляете собственную бизнес-логику в пользовательский путь. Эта функция позволяет получать и использовать данные из внешних источников идентификации. Azure AD B2C может обмениваться данными со службой RESTful в следующих целях:

  • Отображать понятные пользователю сообщения об ошибках.
  • Проверяйте вводимые пользователем данные, чтобы предотвратить сохранение неправильно сформированных данных в каталоге пользователей. Например, можно изменить данные, введенные пользователем, например, сделать его имя заглавным, если он ввел его в нижнем регистре.
  • Обогащайте пользовательские данные за счет дальнейшей интеграции с корпоративным бизнес-приложением.
  • С помощью вызовов RESTful можно отправлять push-уведомления, обновлять корпоративные базы данных, запускать процесс миграции пользователей, управлять разрешениями, проводить аудит баз данных и многое другое.

Программы лояльности — это еще один сценарий, который реализуется благодаря поддержке вызовов REST API в Azure AD B2C. Например, служба RESTful может получать адрес электронной почты пользователя, запрашивать базу данных клиентов, а затем возвращать номер лояльности пользователя в Azure AD B2C.

Возвращаемые данные могут храниться в учетной записи каталога пользователя в Azure AD B2C. Затем данные могут быть дополнительно оценены на последующих шагах политики или включены в маркер доступа.

Диаграмма, показывающая интеграцию направления бизнеса в мобильное приложение.

Вы можете добавить вызов REST API на любом этапе пути пользователя, определенного настраиваемой политикой. Например, можно вызвать REST API:

  • Во время входа, незадолго до проверки учетных данных в Azure AD B2C
  • Сразу после входа в систему
  • Прежде чем Azure AD B2C создаст новую учетную запись в каталоге
  • После того как Azure AD B2C создаст новую учетную запись в каталоге
  • Перед тем, как Azure AD B2C выдаст маркер доступа

Дополнительные сведения см. в статье Сведения о соединителях API в Azure AD B2C.

Протоколы и токены

  • Для приложений Azure AD B2C поддерживает протоколыOAuth 2.0, OpenID Connect и SAML для взаимодействия пользователей. Приложение начинает взаимодействие с пользователем, отправляя запросы на проверку подлинности в Azure AD B2C. Результатом запроса к Azure AD B2C является маркер безопасности, например маркер идентификатора, маркер доступа или маркер SAML. Этот маркер безопасности определяет удостоверение пользователя в приложении.

  • Для внешних удостоверений Azure AD B2C поддерживает федерацию с любыми поставщиками удостоверений OAuth 1.0, OAuth 2.0, OpenID Connect и SAML.

На следующей схеме показано, как Azure AD B2C может взаимодействовать с помощью различных протоколов в рамках одного потока проверки подлинности.

Схема объединения клиентских приложений на основе OIDC с поставщиком удостоверений на основе SAML.

  1. Приложение проверяющей стороны отправляет запрос на авторизацию в Azure AD B2C с помощью OpenID Connect.
  2. Когда пользователь приложения решает войти в систему с помощью внешнего поставщика удостоверений, использующего протокол SAML, Azure AD B2C вызывает протокол SAML для взаимодействия с этим поставщиком удостоверений.
  3. После того как пользователь завершит операцию входа с помощью внешнего поставщика удостоверений, Azure AD B2C возвращает маркер приложению проверяющей стороны с помощью OpenID Connect.

Интеграция приложений

Когда пользователь хочет войти в ваше приложение, приложение инициирует запрос авторизации в пользовательский поток или настраиваемую конечную точку, предоставленную политикой. Поток пользователя или настраиваемая политика определяет и управляет взаимодействием пользователя. Когда пользователь завершает поток пользователя, например процесс регистрации или входа , Azure AD B2C создает маркер, а затем перенаправляет пользователя обратно в приложение. Этот маркер относится к Azure AD B2C, и его не следует путать с маркером, выданным сторонними поставщиками удостоверений при использовании учетных записей социальных сетей. Информацию о том, как использовать сторонние токены, смотрите в статье Передача токена доступа поставщика удостоверений вашему приложению в Azure Active Directory B2C.

Мобильное приложение со стрелками, показывающими поток между страницами входа Azure AD B2C.

Несколько приложений могут использовать один и тот же поток пользователя или пользовательскую политику. Одно приложение может использовать несколько потоков пользователей или пользовательских политик.

Например, чтобы войти в приложение, используется пользовательский поток регистрации или входа в систему. После того как пользователь вошел в систему, он может захотеть изменить свой профиль, поэтому приложение инициирует еще один запрос на авторизацию, на этот раз с помощью пользовательского потока изменения профиля .

Многофакторная проверка подлинности (MFA)

Многофакторная идентификация (MFA) Azure AD B2C помогает защитить доступ к данным и приложениям, сохраняя при этом простоту для пользователей. Он обеспечивает дополнительную безопасность, требуя второй формы аутентификации, и обеспечивает строгую аутентификацию, предлагая ряд простых в использовании методов аутентификации.

Пользователи могут быть запрошены или не запрошены на MFA в зависимости от решений конфигурации, которые вы можете принять как администратор.

Дополнительные сведения см. в статье Включение многофакторной проверки подлинности в Azure Active Directory B2C.

Условный доступ

Функции обнаружения рисков Microsoft Entra ID Protection, включая рискованных пользователей и рискованные входы, автоматически обнаруживаются и отображаются в клиенте Azure AD B2C. Вы можете создать политики условного доступа, которые используют эти обнаружения рисков для определения действий по исправлению и применения политик организации.

Схема, показывающая поток условного доступа.

Azure AD B2C оценивает каждое событие входа и гарантирует, что все требования политики выполнены перед предоставлением пользователю доступа. Рискованные пользователи или рискованные входы могут быть заблокированы или оспорены с помощью специального исправления, такого как многофакторная проверка подлинности (MFA). Дополнительные сведения см. в разделе Защита идентификации и условный доступ.

Сложность пароля

Во время регистрации или сброса пароля пользователи должны предоставить пароль, соответствующий правилам сложности. По умолчанию Azure AD B2C применяет политику надежных паролей. Azure AD B2C также предоставляет параметры конфигурации для указания требований к сложности паролей, которые клиенты используют при использовании локальных учетных записей.

Скриншот пользовательского интерфейса для упрощения пароля.

Дополнительные сведения см. в статье Настройка требований к сложности паролей в Azure AD B2C.

Принудительный сброс пароля

Администратор клиента Azure AD B2C может сбросить пароль пользователя , если пользователь забыл свой пароль. Или вы можете установить политику, которая будет заставлять пользователей периодически менять пароль. Дополнительные сведения см. в статье Настройка потока принудительного сброса пароля.

Процедура принудительного сброса пароля.

Умная блокировка учетной записи

Чтобы предотвратить попытки подбора паролей, Azure AD B2C использует сложную стратегию блокировки учетных записей на основе IP-адреса запроса, введенных паролей и ряда других факторов. Продолжительность блокировки автоматически увеличивается в зависимости от риска и количества попыток.

Скриншот пользовательского интерфейса для блокировки учетной записи со стрелками, подсвечивающими уведомление о блокировке.

Дополнительные сведения об управлении параметрами защиты паролем см. в статье Устранение атак на учетные данные в Azure AD B2C.

Защита ресурсов и идентичности клиентов

Azure AD B2C соответствует требованиям безопасности, конфиденциальности и другим обязательствам, описанным в Центре управления безопасностью Microsoft Azure.

Сеансы моделируются как зашифрованные данные, а ключ расшифровки известен только службе маркеров безопасности (STS) Azure AD B2C. Используется надежный алгоритм шифрования AES-192. Все каналы связи защищены протоколом TLS для обеспечения конфиденциальности и целостности. Наша служба токенов безопасности использует сертификат расширенной проверки (EV) для TLS. Как правило, служба безопасности токенов предотвращает атаки с использованием межсайтовых сценариев (XSS), не отображая ненадежные входные данные.

Схема защищенных данных в транзите и при хранении.

Доступ к пользовательским данным

Клиенты Azure AD B2C имеют много общих характеристик с корпоративными клиентами Microsoft Entra, используемыми для сотрудников и партнеров. К общим аспектам относятся механизмы просмотра административных ролей, назначения ролей и аудита действий.

Вы можете назначить роли для управления тем, кто может выполнять определенные административные действия в Azure AD B2C, в том числе:

  • Создание и управление всеми аспектами потоков пользователей
  • Создание схемы атрибутов, доступной для всех потоков пользователей, и управление ею
  • Настраивайте поставщиков идентичности для использования в прямой федерации
  • Создание политик Trust Framework и управление ими в Identity Experience Framework (настраиваемые политики)
  • Управление секретами для федерации и шифрования в Identity Experience Framework (настраиваемые политики)

Дополнительные сведения о ролях Microsoft Entra, включая поддержку ролей администрирования Azure AD B2C, см. в статье Разрешения роли администратора в Microsoft Entra ID.

Аудит и журналы

Azure AD B2C создает журналы аудита, содержащие сведения о действиях в ресурсах, выданных маркерах и доступе администратора. Вы можете использовать журналы аудита, чтобы понять активность платформы и диагностировать проблемы. Записи в журнале аудита становятся доступными вскоре после выполнения действия, вызвавшего событие.

В журнале аудита, доступном для клиента Azure AD B2C или для конкретного пользователя, можно найти следующие сведения:

  • Действия, связанные с авторизацией пользователя для доступа к ресурсам B2C (например, доступ администратора к списку политик B2C)
  • Действия, связанные с атрибутами каталога, получаемые при входе администратора в систему с помощью портала Azure
  • Операции создания, чтения, обновления и удаления (CRUD) в приложениях B2C
  • CRUD-операции с ключами, хранящимися в контейнере ключей B2C
  • Выполнение операций CRUD с ресурсами B2C, например, с политиками и идентификационными поставщиками.
  • Проверка учетных данных пользователя и выпуск токенов

Дополнительные сведения о журналах аудита см. в статье Доступ к журналам аудита Azure AD B2C.

Анализ использования

Azure AD B2C позволяет узнать, когда люди регистрируются или входят в ваше приложение, где находятся пользователи, а также какие браузеры и операционные системы они используют.

Интегрировав Azure Application Insights в настраиваемые политики Azure AD B2C, вы можете получить аналитические сведения о том, как люди регистрируются, входят в систему, сбрасывают пароль или редактируют свой профиль. Обладая такими знаниями, вы можете принимать решения на основе данных для предстоящих циклов разработки.

Дополнительные сведения см. в статье Отслеживание поведения пользователей в Azure Active Directory B2C с помощью Application Insights.

Доступность в регионах и место расположения данных

Служба Azure AD B2C общедоступна по всему миру с возможностью размещения данных в регионах, как указано в разделе Продукты, доступные по регионам. Место расположения данных определяется страной или регионом, которые вы выбираете при создании клиента.

Узнайте больше о доступности и размещении данных в регионе службы Azure Active Directory B2C, а также о соглашении об уровне обслуживания (SLA) для Azure Active Directory B2C.

Автоматизация с помощью API Microsoft Graph

Используйте API MS Graph для управления каталогом Azure AD B2C. Вы также можете создать сам каталог Azure AD B2C. Вы можете управлять пользователями, поставщиками удостоверений, потоками пользователей, настраиваемыми политиками и т. д.

Узнайте больше о том, как управлять Azure AD B2C с помощью Microsoft Graph.

Лимиты и ограничения службы Azure AD B2C

Узнайте больше об ограничениях и ограничениях службы Azure AD B2C

Дальнейшие шаги

Теперь, когда у вас есть более подробное представление о функциях и технических аспектах Azure Active Directory B2C, выполните следующие действия.