Aracılığıyla paylaş

Öğretici: Parolasız kimlik doğrulaması için BlokSec ile Azure Active Directory B2C'yi yapılandırma

  • Makale

Başlamadan önce

Azure Active Directory B2C'nin uygulamalarla kullanıcı etkileşimlerini tanımlamak için iki yöntemi vardır: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler.

Not

Azure Active Directory B2C'de özel ilkeler öncelikli olarak karmaşık senaryoları ele alır. Çoğu senaryo için yerleşik kullanıcı akışlarını öneririz.
Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

B2C ve BlokSec'i Azure AD

Azure Active Directory B2C (Azure AD B2C) kimlik doğrulamasını BlokSec Merkezi Olmayan Kimlik Yönlendiricisi ile tümleştirmeyi öğrenin. BlokSec çözümü, parolasız kimlik doğrulaması ve belirteçsiz çok faktörlü kimlik doğrulaması ile kullanıcı oturumunu basitleştirir. Çözüm, müşterileri parola dolması, kimlik avı ve ortadaki adam gibi kimlikle ilgili saldırılara karşı korur.

Daha fazla bilgi edinmek için bloksec.com: BlokSec Technologies Inc. sayfasına gidin.

Senaryo açıklaması

BlokSec tümleştirmesi aşağıdaki bileşenleri içerir:

  • Azure AD B2C – B2C uygulamaları için yetkilendirme sunucusu ve kimlik sağlayıcısı (IdP)
  • BlokSec Merkezi Olmayan Kimlik Yönlendiricisi – Kimlik doğrulama ve yetkilendirme isteklerini kullanıcı Kişisel Kimlik Sağlayıcısı (PIdP) uygulamalarına yönlendirmek için BlokSec DIaaS uygulayan hizmetler için ağ geçidi
    • Azure AD B2C'de bir OpenID Connect (OIDC) kimlik sağlayıcısıdır
  • BlokSec SDK tabanlı mobil uygulama – merkezi olmayan kimlik doğrulama senaryosunda kullanıcı PIdP'i.
    • BlokSec SDK'sını kullanmıyorsanız ücretsiz BlokSec yuID için Google Play'e gidin

Aşağıdaki mimari diyagramıNda BlokSec çözümü uygulamasındaki kaydolma, oturum açma akışı gösterilmektedir.

BlokSec çözüm uygulamasındaki kaydolma, oturum açma akışının diyagramı.

  1. Kullanıcı bir Azure AD B2C uygulamasında oturum açar ve Azure AD B2C oturum açma ve kaydolma ilkesine iletilir
  2. Azure AD B2C, OIDC yetkilendirme kodu akışını kullanarak kullanıcıyı BlokSec merkezi olmayan kimlik yönlendiricisine yönlendirir.
  3. BlokSec yönlendiricisi, kimlik doğrulaması ve yetkilendirme isteği ayrıntılarını içeren kullanıcı mobil uygulamasına bir anında iletme bildirimi gönderir.
  4. Kullanıcı kimlik doğrulama sınamasını inceler. Kabul edilen bir kullanıcıdan parmak izi veya yüz taraması gibi biyometri istenir.
  5. Yanıt, kullanıcının benzersiz dijital anahtarıyla dijital olarak imzalanır. Kimlik doğrulama yanıtı sahip olma, iletişim durumu ve onay kanıtı sağlar. Yanıt yönlendiriciye döner.
  6. Yönlendirici, dijital imzayı kullanıcının dağıtılmış kayıt defterinde depolanan sabit benzersiz ortak anahtarıyla doğrular. Yönlendirici, Azure AD B2C'yi kimlik doğrulama sonucuyla yanıtlar.
  7. Kullanıcıya erişim verildi veya erişim reddedildi.

BlokSec'i etkinleştirme

  1. bloksec.com gidin ve Tanıtım kiracısı iste'yi seçin.
  2. İleti alanında, Azure AD B2C ile tümleştirmek istediğinizi belirtin.
  3. Ücretsiz BlokSec yuID mobil uygulamasını indirin ve yükleyin.
  4. Tanıtım kiracısı hazırlandıktan sonra bir e-posta gönderilir.
  5. BlokSec uygulamasına sahip mobil cihazda, yönetici hesabınızı yuID uygulamanıza kaydetmek için bağlantıyı seçin.

Önkoşullar

Başlamak için gerekli olanlar:

Ayrıca bkz. Öğretici: Azure AD B2C'de kullanıcı akışları ve özel ilkeler oluşturma

BlokSec'te uygulama kaydı oluşturma

BlokSec'ten gelen hesap kaydı e-postasında BlokSec yönetici konsolunun bağlantısını bulun.

  1. BlokSec yönetici konsolunda oturum açın.
  2. Ana panoda Uygulama > Ekle Özel Oluştur'u seçin.
  3. Ad alanına B2C Azure AD veya bir uygulama adı girin.
  4. SSO türü için OIDC'yi seçin.
  5. Logo URI'sine logo resminin bağlantısını girin.
  6. Yeniden Yönlendirme URI'leri için kullanınhttps://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Örneğin, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Özel etki alanı için girin https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
  7. Oturumu kapatma sonrası yeniden yönlendirme URI'leri için girinhttps://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout.
  8. Uygulama yapılandırmasını açmak için oluşturulan Azure AD B2C uygulamasını seçin.
  9. Uygulama Gizli Dizisi Oluştur'a tıklayın.

Daha fazla bilgi edinin: Oturumu kapatma isteği gönderin.

Not

Azure AD B2C'de kimlik sağlayıcısını (IdP) yapılandırmak için uygulama kimliğine ve uygulama gizli dizisine ihtiyacınız vardır.

Azure AD B2C'de yeni kimlik sağlayıcısı ekleme

Aşağıdaki yönergeler için Azure AD B2C kiracınızı içeren dizini kullanın.

  1. Azure AD B2C kiracınızın Genel Yöneticisi olarak Azure portal oturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.
  4. Değiştir'i seçin.
  5. Azure portal sol üst köşesinde Tüm hizmetler'i seçin.
  6. Azure AD B2C'yi arayın ve seçin.
  7. Pano>Azure Active Directory B2C>Kimlik sağlayıcıları'na gidin.
  8. Yeni OpenID Connect Sağlayıcısı'yı seçin.
  9. Add (Ekle) seçeneğini belirleyin.

Kimlik sağlayıcısı yapılandırma

  1. Kimlik sağlayıcı türü OpenID Connect'i > seçin
  2. Ad alanına BlokSec yuID Parolasız veya başka bir ad girin.
  3. Meta Veri URL'si için girinhttps://api.bloksec.io/oidc/.well-known/openid-configuration.
  4. İstemci IDV'si için BlokSec yönetici kullanıcı arabiriminden uygulama kimliğini girin.
  5. İstemci Gizli Anahtarı için BlokSec yönetici kullanıcı arabiriminden uygulama Gizli Dizisini girin.
  6. Kapsam için OpenID e-posta profili'ne tıklayın.
  7. Yanıt türü olarakKod'a tıklayın.
  8. Etki alanı ipucu için yuID'yi seçin.
  9. Tamam’ı seçin.
  10. Bu kimlik sağlayıcısının taleplerini eşle'yi seçin.
  11. Kullanıcı Kimliği için alt öğesini seçin.
  12. Görünen ad için ad'ı seçin.
  13. Verilen ad için given_name kullanın.
  14. Soyadı için family_name kullanın.
  15. Email için e-postayı kullanın.
  16. Kaydet’i seçin.

Kullanıcı kaydı

  1. Sağlanan kimlik bilgileriyle BlokSec yönetim konsolunda oturum açın.
  2. Daha önce oluşturulan Azure AD B2C uygulamasına gidin.
  3. Sağ üst kısımda dişli simgesini seçin.
  4. Hesap Oluştur'u seçin.
  5. Hesap Oluştur alanına kullanıcı bilgilerini girin. Hesap Adı'nı not edin.
  6. Gönder’i seçin.

Kullanıcı, sağlanan e-posta adresinde bir hesap kaydı e-postası alır. Kullanıcıya BlokSec yuID uygulamasıyla mobil cihazda kayıt bağlantısını seçmesini sağlayın.

Kullanıcı akışı ilkesi oluşturma

Aşağıdaki yönergeler için BlokSec'in yeni bir OIDC kimlik sağlayıcısı (IdP) olduğundan emin olun.

  1. Azure AD B2C kiracınızdaki İlkeler'in altında Kullanıcı akışları'yı seçin.
  2. Yeni kullanıcı akışı’nı seçin.
  3. Kaydol'u seçin veSürüm>Oluşturma'da> oturumaçın.
  4. İlke Adı girin.
  5. Kimlik sağlayıcıları bölümünde oluşturulan BlokSec kimlik sağlayıcısını seçin.
  6. Yerel Hesap için Yok'u seçin. Bu eylem, e-posta ve parola tabanlı kimlik doğrulamasını devre dışı bırakır.
  7. Kullanıcı akışını çalıştır'ı seçin
  8. Forma Yanıt URL'sini girin, örneğin https://jwt.ms.
  9. Tarayıcı BlokSec oturum açma sayfasına yönlendirilir.
  10. Kullanıcı kaydındaki hesap adını girin.
  11. Kullanıcı, BlokSec yuID uygulamasıyla mobil cihazda bir anında iletme bildirimi alır.
  12. Kullanıcı bildirimi açar ve kimlik doğrulama sınaması görüntülenir.
  13. Kimlik doğrulaması kabul edilirse, tarayıcı kullanıcıyı yanıtlayan URL'ye yönlendirir.

Not

Azure Active Directory B2C'de özel ilkeler öncelikli olarak karmaşık senaryoları ele alır. Çoğu senaryo için yerleşik kullanıcı akışlarını öneririz.
Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

İlke anahtarı oluşturma

Azure AD B2C kiracınızda not ettiğiniz gizli anahtarı depolayın. Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.

  1. Azure Portal’ında oturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.
  4. Değiştir'i seçin.
  5. Azure portal sol üst köşesinde Tüm hizmetler'i seçin
  6. Azure AD B2C'yi arayın ve seçin.
  7. Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
  8. İlke Anahtarları'nı seçin.
  9. Add (Ekle) seçeneğini belirleyin.
  10. Seçenekler için El ile'yi seçin.
  11. İlke anahtarı için bir ilke Adı girin. Örneğin, BlokSecAppSecret. Ön ek B2C_1A_ anahtar adına eklenir.
  12. Gizli dizi alanına not ettiğiniz gizli diziyi girin.
  13. Anahtar kullanımı için İmza'yı seçin.
  14. Oluştur’u seçin.

BlokSec'i kimlik sağlayıcısı olarak yapılandırma

Kullanıcıların BlokSec merkezi olmayan kimliği kullanarak oturum açmasını sağlamak için BlokSec'i talep sağlayıcısı olarak tanımlayın. Bu eylem, Azure AD B2C'nin onunla bir uç nokta üzerinden iletişim kurmasını sağlar. Azure AD B2C, kullanıcıların kimlik doğrulamasını parmak izi veya yüz taraması gibi biyometri kullanarak doğrulamak için uç nokta taleplerini kullanır.

BlokSec'i talep sağlayıcısı olarak tanımlamak için ilke uzantısı dosyasındaki ClaimsProvider öğesine ekleyin.

  1. TrustFrameworkExtensions.xmluygulamasını açın.

  2. ClaimsProviders öğesini bulun. Öğesi görünmüyorsa, kök öğesinin altına ekleyin.

  3. Yeni bir ClaimsProvider eklemek için:

    <ClaimsProvider>
  <Domain>bloksec</Domain>
  <DisplayName>BlokSec</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="BlokSec-OpenIdConnect">
      <DisplayName>BlokSec</DisplayName>
      <Description>Login with your BlokSec decentriled identity</Description>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
        <!-- Update the Client ID below to the BlokSec Application ID -->
        <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid profile email</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
        <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. uygulama kaydından uygulama kimliğine client_id ayarlayın.

  5. Kaydet’i seçin.

Kullanıcı yolculuğu ekleme

Kimlik sağlayıcısı ayarlandıysa ancak herhangi bir oturum açma sayfasında ayarlanmadıysa aşağıdaki yönergeleri kullanın. Özel bir kullanıcı yolculuğunuz yoksa, şablon kullanıcı yolculuğunu kopyalayın.

  1. Başlangıç paketinden dosyayı açın TrustFrameworkBase.xml .
  2. Id=SignUpOrSignIn içeren UserJourneys öğesinin içeriğini bulun ve kopyalayın.
  3. TrustFrameworkExtensions.xmluygulamasını açın.
  4. UserJourneys öğesini bulun. Öğe görünmüyorsa bir tane ekleyin.
  5. UserJourneys öğesinin alt öğesi olarak kopyaladığınız UserJourney öğesinin içeriğini yapıştırın.
  6. Kullanıcı yolculuğu kimliğini yeniden adlandırın. Örneğin, ID=CustomSignUpSignIn.

Kimlik sağlayıcısını kullanıcı yolculuğuna ekleme

Kullanıcı yolculuğunuz varsa, yeni kimlik sağlayıcısını ekleyin. Önce bir oturum açma düğmesi ekleyin, ardından bunu oluşturduğunuz teknik profil olan bir eyleme bağlayın.

  1. Kullanıcı yolculuğunda, Type= veya TypeClaimsProviderSelection=CombinedSignInAndSignUp içeren düzenleme adımı öğesini bulun. Bu genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesi, kullanıcı oturum açma için kimlik sağlayıcılarının listesini içerir. Öğelerin sırası, kullanıcının gördüğü oturum açma düğmelerinin sırasını denetler.
  2. ClaimsProviderSelection XML öğesi ekleyin.
  3. TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.
  4. Sonraki düzenleme adımında ClaimsExchange öğesi ekleyin.
  5. Kimliği hedef talep değişim kimliğinin değerine ayarlayın.
  6. TechnicalProfileReferenceId değerini oluşturduğunuz teknik profilin kimliğine güncelleştirin.

Aşağıdaki XML, kimlik sağlayıcısıyla ilk iki kullanıcı yolculuğu düzenleme adımını gösterir:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Bağlı olan taraf ilkesini yapılandırma

Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml, B2C'nin yürüttüğü Azure AD kullanıcı yolculuğunu belirtir.

  1. Bağlı olan taraf içinde DefaultUserJourney öğesini bulun.
  2. ReferenceId değerini, kimlik sağlayıcısını eklediğiniz kullanıcı yolculuğu kimliğiyle eşleşecek şekilde güncelleştirin.

Aşağıdaki örnekte, kullanıcı yolculuğu için CustomSignUpOrSignIn ReferenceId değeri olarak CustomSignUpOrSignInayarlanmıştır.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Özel ilkeyi karşıya yükleme

Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.

  1. Azure Portal’ında oturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun
  4. Değiştir'i seçin.
  5. Azure portal Azure AD B2C'yi arayın ve seçin.
  6. İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
  7. Özel İlkeyi Karşıya Yükle'yi seçin.
  8. Değiştirdiğiniz iki ilke dosyasını aşağıdaki sırayla karşıya yükleyin:
  • Uzantı ilkesi, örneğin TrustFrameworkExtensions.xml
  • Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml

Özel ilkeyi test edin

  1. Bağlı olan taraf ilkenizi seçin, örneğin B2C_1A_signup_signin.
  2. Uygulama için kaydettiğiniz bir web uygulamasını seçin.
  3. Yanıt URL'si olarak https://jwt.msgörünür.
  4. Şimdi çalıştır'ı seçin.
  5. Kaydolma veya oturum açma sayfasında Google hesabıyla oturum açmak için Google'ı seçin.
  6. Tarayıcı adresine https://jwt.msyönlendirilir. Azure AD B2C tarafından döndürülen belirteç içeriğine bakın.

Daha fazla bilgi edinin: Öğretici: Azure Active Directory B2C'de web uygulaması kaydetme

Sonraki adımlar