Elastisk slutanvändarupplevelse

Registrerings- och inloggningsupplevelsen för slutanvändare består av följande element:

• Gränssnitten som användaren interagerar med – till exempel CSS, HTML och JavaScript

• Användarflöden och anpassade principer som du skapar – till exempel registrering, inloggning och profilredigering

• Identitetsprovidrar (IDP:er) för ditt program – till exempel användarnamn/lösenord för lokalt konto, Outlook, Facebook och Google

Välj mellan användarflöde och anpassad princip

För att hjälpa dig att konfigurera de vanligaste identitetsuppgifterna tillhandahåller Azure AD B2C inbyggda konfigurerbara användarflöden. Du kan också skapa egna anpassade principer som ger dig maximal flexibilitet. Vi rekommenderar dock att du endast använder anpassade principer för att hantera komplexa scenarier.

Så här bestämmer du mellan användarflöde och anpassad princip

Välj inbyggda användarflöden om dina affärskrav kan uppfyllas av dem. Eftersom microsoft har testat i stor utsträckning kan du minimera de tester som krävs för validering av funktions-, prestanda- eller skalningsprinciper på principnivå för dessa identitetsanvändarflöden. Du måste fortfarande testa dina program för funktioner, prestanda och skalning.

Om du väljer anpassade principer på grund av dina affärskrav kontrollerar du att du utför testning på principnivå för funktions-, prestanda- eller skalning utöver testning på programnivå.

Se artikeln som jämför användarflöden och anpassade principer för att hjälpa dig att avgöra.

Välj flera IDP:er

När du använder en extern identitetsprovider , till exempel Facebook, måste du ha en reservplan om den externa leverantören blir otillgänglig.

Så här konfigurerar du flera IDP:er

Som en del av registreringsprocessen för den externa identitetsprovidern inkluderar du ett verifierat identitetsanspråk, till exempel användarens mobilnummer eller e-postadress. Checka in verifierade anspråk till den underliggande Azure AD B2C-kataloginstansen. Om den externa providern inte är tillgänglig återgår du till det verifierade identitetsanspråket och återgår till telefonnumret som en autentiseringsmetod. Ett annat alternativ är att skicka ett engångslösenord till användaren så att användaren kan logga in.

Följ dessa steg för att skapa alternativa autentiseringssökvägar:

1. Konfigurera din registreringsprincip för att tillåta registrering av lokala konton och externa IDP:er.

2. Konfigurera en profilprincip så att användarna kan länka den andra identiteten till sitt konto när de har loggat in.

3. Meddela och tillåt användare att växla till en alternativ IDP under ett avbrott.

Tillgänglighet för multifaktorautentisering

När du använder en telefontjänst för multifaktorautentisering (MFA) bör du överväga en alternativ tjänstleverantör. Den lokala telco- eller telefontjänstleverantören kan uppleva störningar i sin tjänst.

Så här väljer du en alternativ MFA

Azure AD B2C-tjänsten använder en inbyggd telefonbaserad MFA-provider för att leverera tidsbaserade engångslösenord (OTPs). Det är i form av ett röstsamtal och sms till användarens förregistrerade telefonnummer. Följande alternativa metoder är tillgängliga för olika scenarier:

När du använder användarflöden finns det två metoder för att skapa motståndskraft:

• Ändra konfiguration av användarflöde: När du upptäcker ett avbrott i den telefonbaserade OTP-leveransen ändrar du OTP-leveransmetoden från telefonbaserad till e-postbaserad och distribuerar om användarflödet, vilket gör att programmen är oförändrade.

• Ändra program: För varje identitetsuppgift, till exempel registrering och inloggning, definierar du två uppsättningar användarflöden. Konfigurera den första uppsättningen för att använda telefonbaserad OTP och den andra till e-postbaserad OTP. När du upptäcker ett avbrott i den telefonbaserade OTP-leveransen ändrar du och distribuerar om programmen för att växla från den första uppsättningen användarflöden till den andra, vilket gör att användarflödena är oförändrade.

När du använder anpassade principer finns det fyra metoder för att skapa motståndskraft. Listan nedan är i komplexitetsordning och du måste distribuera om uppdaterade principer.

• Aktivera användarens val av antingen telefonbaserad OTP eller e-postbaserad OTP: Exponera båda alternativen för användarna och gör det möjligt för användarna att själv välja ett av alternativen. Du behöver inte göra ändringar i principer eller program.

• Växla dynamiskt mellan telefonbaserad OTP och e-postbaserad OTP: Samla in både telefon- och e-postinformation vid registreringen. Definiera anpassad princip i förväg för att villkorligt växla under en telefonstörning, från telefonbaserad till e-postbaserad OTP-leverans. Du behöver inte göra ändringar i principer eller program.

• Använd en Authenticator-app: Uppdatera en anpassad princip för att använda en Authenticator-app. Om din normala MFA antingen är telefonbaserad eller e-postbaserad OTP distribuerar du om dina anpassade principer för att växla till att använda Authenticator-appen.

Kommentar

Användare måste konfigurera authenticator-appintegrering under registreringen.

• Använd säkerhetsfrågor: Om ingen av ovanstående metoder är tillämpliga implementerar du säkerhetsfrågor som en säkerhetskopia. Konfigurera säkerhetsfrågor för användare under registrering eller profilredigering och lagra svaren i en annan databas än katalogen. Den här metoden uppfyller inte MFA-kravet på "något du har" till exempel telefon, men erbjuder en sekundär "något som du vet".

Använda ett nätverk för innehållsleverans

Nätverk för innehållsleverans (CDN) är bättre presterande och billigare än bloblager för lagring av användarflödesgränssnittet. Webbsideinnehållet levereras snabbare från ett geografiskt distribuerat nätverk med servrar med hög tillgänglighet.

Testa regelbundet CDN:ns tillgänglighet och prestanda för innehållsdistribution via scenario och belastningstestning från slutpunkt till slutpunkt. Om du planerar för en kommande ökning på grund av befordran eller semestertrafik ändrar du dina uppskattningar för belastningstestning.

Nästa steg

• Motståndskraftsresurser för Azure AD B2C-utvecklare

  • Elastiska gränssnitt med externa processer
  • Motståndskraft genom bästa praxis för utvecklare
  • Motståndskraft genom övervakning och analys

• Skapa motståndskraft i din autentiseringsinfrastruktur

• Öka motståndskraften för autentisering och auktorisering i dina program