Устойчивая работа пользователя

Процесс регистрации и входа в систему для пользователей состоит из следующих элементов:

• интерфейсы, с которыми взаимодействует пользователь, например CSS, HTML и JavaScript;

• потоки пользователей и настраиваемые политики, которые вы создаете, такие как регистрация, вход в систему и изменение профиля;

• поставщики удостоверений (IdP) для вашего приложения, такие как имя пользователя или пароль локальной учетной записи, Outlook, Facebook и Google

Выбор между потоком пользователя и настраиваемой политикой

Чтобы помочь вам настроить наиболее распространенные задачи идентификации, Azure AD B2C предоставляет встроенные настраиваемые потоки пользователей. Вы также можете создавать собственные пользовательские политики , которые обеспечивают максимальную гибкость. Однако настраиваемые политики рекомендуется использовать только для решения сложных задач.

Как сделать выбор между потоком пользователя и настраиваемой политикой

Выберите встроенные потоки пользователей, если они могут удовлетворить ваши бизнес-требования. Поскольку корпорация Майкрософт тщательно проверяет тестирование, вы можете уменьшить количество тестов, необходимых для проверки функциональных возможностей на уровне политики, производительности или масштабирования этих потоков пользователей удостоверения. Однако вам по-прежнему понадобится тестировать приложения для обеспечения функциональности, производительности и масштабирования.

Если вы выберете настраиваемые политики из-за требований бизнеса, убедитесь, что вы выполняете тестирование на уровне политики для обеспечения функциональности, производительности или масштабирования в дополнение к тестированию на уровне приложения.

См. статью, в которой сравниваются потоки пользователей и настраиваемые политики, которые помогут вам принять решение.

Выбор нескольких поставщиков удостоверений

При использовании внешнего поставщика удостоверений, такого как Facebook, обязательно используйте резервный план на случай, если внешний поставщик станет недоступным.

Как настроить несколько поставщиков удостоверений

В рамках процесса регистрации внешнего поставщика удостоверений включите проверенное утверждение удостоверения, например мобильный номер пользователя или адрес электронной почты. Зафиксируйте утверждения проверки в базовом экземпляре каталога Azure AD B2C. Если внешний поставщик недоступен, отмените изменения в утверждении проверки удостоверения. В качестве способа проверки подлинности используйте как и прежде номер телефона. Другой вариант — отправить пользователю одноразовый секретный код, чтобы разрешить пользователю войти в систему.

Чтобы создать альтернативные способы проверки подлинности, выполните следующие действия:

1. Настройте политику регистрации, чтобы разрешить регистрацию с помощью локальной учетной записи и внешних поставщиков удостоверений.

2. Настройте политику профиля, чтобы разрешить пользователям связывать другие удостоверения с учетной записью после входа в систему.

3. Уведомите пользователей и разрешите им переключаться на альтернативных поставщиков удостоверений в случае сбоя.

Использование многофакторной проверки подлинности

При использовании телефонной службы для многофакторной проверки подлинности (MFA) следует рассмотреть альтернативного поставщика услуг. У местного поставщика телекоммуникационных услуг Telco или поставщика телефонной связи могут возникнуть перебои в обслуживании.

Выбор альтернативной многофакторной проверки подлинности

Служба Azure AD B2C использует встроенный поставщик MFA с помощью номера телефона для доставки одноразовых секретных кодов. Он находится в виде голосового звонка и текстового сообщения для предварительно зарегистрированного номера телефона пользователя. Для различных сценариев доступны следующие альтернативные методы:

При использовании потоков пользователей существует два метода для создания устойчивости:

• Изменение конфигурации потока пользователей. При обнаружении сбоя в доставке OTP по телефону измените метод доставки OTP с телефона на электронную почту и повторно разверните поток пользователей, оставив приложения без изменений.

• Изменение приложений. Для каждой задачи идентификации, такой как регистрация и вход в систему, определите два набора потоков пользователей. Настройте первый набор для использования OTP через телефон и второй для OTP через электронную почту. При обнаружении прерывания в доставке OTP через телефон измените и повторно разверните приложения, чтобы переключиться с первого набора пользователей на второй, не изменяя последовательность пользователей.

При использовании пользовательских политик существует четыре метода для создания устойчивости. Ниже приведен список этих методов в порядке сложности. Также в списке указано необходимо ли вам повторно развернуть обновленные политики при использовании каждого из методов.

• Предоставление выбора пользователям OTP либо через телефон, либо через электронную почту. Разрешите пользователям доступ к обоим параметрам и предоставьте пользователям возможность самостоятельно выбрать один из вариантов. Нет необходимости вносить изменения в политики или приложения.

• Динамическое переключение между OTP через телефон и OTP через электронную почту. Собирайте сведения о номере телефона и электронной почте при регистрации. Заранее определите настраиваемую политику, чтобы при нарушении работы на телефоне переключиться с доставки OTP через телефон на доставку OTP через электронную почту. Нет необходимости вносить изменения в политики или приложения.

• Использование приложения для проверки подлинности. Обновите настраиваемую политику для использования приложения для проверки подлинности. Если в качестве обычной многофакторной проверки используется доставленный на телефон или электронную почту OTP, повторно разверните настраиваемые политики, чтобы переключиться на использование приложения Authenticator.

Примечание.

Пользователям необходимо настроить интеграцию приложения Authenticator для проверки подлинности во время регистрации.

• Использование контрольных вопросов. Если ни один из вышеперечисленных методов не применим, используйте контрольные вопросы в качестве резервной копии. Настройте контрольные вопросы для пользователей во время подключения или редактирования профиля и храните ответы в отдельной базе данных, отличной от каталога. Этот метод не соответствует требованию MFA "то, что у вас есть", например, телефон, но предлагает дополнительное "то, что вы знаете".

Использование сети доставки содержимого

Сети доставки содержимого (CDN) являются более применимыми для хранения настраиваемого пользовательского интерфейса потока пользователей, чем хранилища больших двоичных объектов, поскольку имеют лучшую производительность и являются дешевле. Содержимое веб-страницы быстрее доставляется из географически распределенной сети серверов высокой доступности.

Периодически проверяйте доступность CDN и производительность распространения содержимого с помощью сквозного сценария и нагрузочного тестирования. Если планируется предстоящий пик нагрузки из-за рекламной акции или повышенного трафика на праздники, необходимо пересмотреть оценки для нагрузочного тестирования.

Следующие шаги

• Ресурсы устойчивости для разработчиков Azure AD B2C

  • Устойчивые интерфейсы со внешними процессами
  • Обеспечение устойчивости с помощью рекомендаций для разработчиков
  • Обеспечение устойчивости с помощью мониторинга и аналитики

• Повышение устойчивости инфраструктуры проверки подлинности

• Повышение устойчивости проверки подлинности и авторизации в приложениях