Azure Active Directory B2C'de parolalar için karmaşıklık gereksinimlerini yapılandırma
Başlamadan önce, ayarladığınız ilke türünü seçmek için İlke türü seçin seçicisini kullanın. Azure Active Directory B2C, kullanıcıların uygulamalarınızla nasıl etkileşim kurduğunu tanımlamak için iki yöntem sunar: önceden tanımlanmış kullanıcı akışları veya tam olarak yapılandırılabilir özel ilkeler aracılığıyla. Bu makalede gerekli adımlar her yöntem için farklıdır.
Azure Active Directory B2C (Azure AD B2C), hesap oluştururken son kullanıcı tarafından sağlanan parolaların karmaşıklık gereksinimlerini değiştirmeyi destekler. Azure AD B2C varsayılan olarak Güçlü parolalar kullanır. Azure AD B2C, müşterilerin kullanabileceği parolaların karmaşıklığını denetlemek için yapılandırma seçeneklerini de destekler.
Önkoşullar
- Active Directory B2C'de özel ilkeleri kullanmaya başlama bölümündeki adımları tamamlayın
- Bir web uygulaması kaydedin.
Parola kuralı zorlama
Kaydolma veya parola sıfırlama sırasında, son kullanıcının karmaşıklık kurallarına uyan bir parola sağlaması gerekir. Parola karmaşıklığı kuralları kullanıcı akışı başına uygulanır. Kayıt sırasında bir kullanıcı akışının dört basamaklı pin gerektirmesi, başka bir kullanıcı akışının ise kayıt sırasında sekiz karakterlik bir dize gerektirmesi mümkündür. Örneğin, yetişkinler için çocuklar için olduğundan farklı parola karmaşıklığı olan bir kullanıcı akışı kullanabilirsiniz.
Oturum açma sırasında parola karmaşıklığı hiçbir zaman zorlanmaz. Geçerli karmaşıklık gereksinimini karşılamadığından, kullanıcılardan hiçbir zaman oturum açma sırasında parolalarını değiştirmeleri istenmez.
Parola karmaşıklığını aşağıdaki kullanıcı akışı türlerinde yapılandırabilirsiniz:
- Kaydolma veya Oturum açma kullanıcı akışı
- Parola Sıfırlama kullanıcı akışı
Özel ilkeler kullanıyorsanız, özel bir ilkede parola karmaşıklığını yapılandırabilirsiniz.
Parola karmaşıklığını yapılandırma
- Azure Portal oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
- Azure portalında Azure AD B2C'yi arayın ve seçin.
- Kullanıcı akışları'ı seçin.
- Bir kullanıcı akışı seçin ve Özellikler'e tıklayın.
- Parola karmaşıklığı altında, bu kullanıcı akışının parola karmaşıklığını Basit, Güçlü veya Özel olarak değiştirin.
Karşılaştırma Grafiği
Karmaşıklık | Tanım |
---|---|
Basit | En az 8 ile 64 karakter arası bir parola. |
Güçlü | En az 8 ile 64 karakter arası bir parola. 4'ünden 3'ünün küçük harf, büyük harf, sayı veya simge olmasını gerektirir. |
Özel | Bu seçenek, parola karmaşıklığı kuralları üzerinde en fazla denetimi sağlar. Özel bir uzunluk yapılandırmaya olanak tanır. Ayrıca yalnızca numara parolalarının (pinler) kabul edilmesini sağlar. |
Özel seçenekler
Karakter Kümesi
Yalnızca basamakları (raptiyeler) veya tam karakter kümesini kabul etmenizi sağlar.
- Sayılar yalnızca parola girerken yalnızca basamaklara (0-9) izin verir.
- Tümü herhangi bir harfe, sayıya veya simgeye izin verir.
Uzunluk
Parolanın uzunluk gereksinimlerini denetlemenize olanak tanır.
- Minimum Uzunluk en az 4 olmalıdır.
- Uzunluk üst sınırı en az uzunluğa eşit veya daha büyük olmalı ve en fazla 256 karakter olabilir.
Karakter sınıfları
Parolada kullanılan farklı karakter türlerini denetlemenize olanak tanır.
2 / 4: Küçük harf karakter, Büyük harf karakter, Sayı (0-9), Simge , parolanın en az iki karakter türü içermesini sağlar. Örneğin, bir sayı ve küçük harf karakter.
4'ün 3'ü: Küçük harf karakter, Büyük harf karakter, Sayı (0-9), Simge , parolanın en az üç karakter türü içermesini sağlar. Örneğin, bir sayı, küçük harf karakter ve büyük harf karakter.
4/4: Küçük harf karakter, Büyük harf karakter, Sayı (0-9), Simge , parolanın karakter türleri için tümünü içermesini sağlar.
Dekont
4'ün 4'ünün gerekli olduğu durumlarda son kullanıcı sıkıntısı oluşabilir. Bazı çalışmalar bu gereksinimin parola entropisini geliştirmediğini göstermiştir. Bkz. NIST Parola Yönergeleri
Parola koşulu doğrulaması
Parola karmaşıklığını yapılandırmak için vereenterPassword
talep türlerini koşul doğrulamalarına bir başvuruyla geçersiz kılınnewPassword
. PredicateValidations öğesi, talep türüne uygulanabilen bir kullanıcı girişi doğrulaması oluşturmak için bir koşul kümesini gruplandırmaktadır. İlkenizin uzantılar dosyasını açın. Örneğin, SocialAndLocalAccounts/
TrustFrameworkExtensions.xml
.
BuildingBlocks öğesini arayın. Öğesi yoksa ekleyin.
ClaimsSchema öğesini bulun. Öğesi yoksa ekleyin.
newPassword
ClaimsSchema öğesine vereenterPassword
taleplerini ekleyin.<!-- <BuildingBlocks> <ClaimsSchema> --> <ClaimType Id="newPassword"> <PredicateValidationReference Id="CustomPassword" /> </ClaimType> <ClaimType Id="reenterPassword"> <PredicateValidationReference Id="CustomPassword" /> </ClaimType> <!-- </ClaimsSchema> </BuildingBlocks>-->
Koşul, bir talep türünün değerini denetlemek için temel bir doğrulama tanımlar ve true veya false döndürür. Doğrulama, belirtilen bir yöntem öğesi ve yöntemiyle ilgili bir dizi parametre kullanılarak yapılır. Öğesinin kapatılmasından
</ClaimsSchema>
hemen sonra BuildingBlocks öğesine aşağıdaki önkoşulları ekleyin:<!-- <BuildingBlocks>--> <Predicates> <Predicate Id="LengthRange" Method="IsLengthRange"> <UserHelpText>The password must be between 6 and 64 characters.</UserHelpText> <Parameters> <Parameter Id="Minimum">6</Parameter> <Parameter Id="Maximum">64</Parameter> </Parameters> </Predicate> <Predicate Id="Lowercase" Method="IncludesCharacters"> <UserHelpText>a lowercase letter</UserHelpText> <Parameters> <Parameter Id="CharacterSet">a-z</Parameter> </Parameters> </Predicate> <Predicate Id="Uppercase" Method="IncludesCharacters"> <UserHelpText>an uppercase letter</UserHelpText> <Parameters> <Parameter Id="CharacterSet">A-Z</Parameter> </Parameters> </Predicate> <Predicate Id="Number" Method="IncludesCharacters"> <UserHelpText>a digit</UserHelpText> <Parameters> <Parameter Id="CharacterSet">0-9</Parameter> </Parameters> </Predicate> <Predicate Id="Symbol" Method="IncludesCharacters"> <UserHelpText>a symbol</UserHelpText> <Parameters> <Parameter Id="CharacterSet">@#$%^&*\-_+=[]{}|\\:',.?/`~"();!</Parameter> </Parameters> </Predicate> </Predicates> <!-- </BuildingBlocks>-->
Öğesinin kapatılmasından
</Predicates>
hemen sonra BuildingBlocks öğesine aşağıdaki koşul doğrulamalarını ekleyin:<!-- <BuildingBlocks>--> <PredicateValidations> <PredicateValidation Id="CustomPassword"> <PredicateGroups> <PredicateGroup Id="LengthGroup"> <PredicateReferences MatchAtLeast="1"> <PredicateReference Id="LengthRange" /> </PredicateReferences> </PredicateGroup> <PredicateGroup Id="CharacterClasses"> <UserHelpText>The password must have at least 3 of the following:</UserHelpText> <PredicateReferences MatchAtLeast="3"> <PredicateReference Id="Lowercase" /> <PredicateReference Id="Uppercase" /> <PredicateReference Id="Number" /> <PredicateReference Id="Symbol" /> </PredicateReferences> </PredicateGroup> </PredicateGroups> </PredicateValidation> </PredicateValidations> <!-- </BuildingBlocks>-->
Güçlü parolayı devre dışı bırakma
Aşağıdaki teknik profiller, Microsoft Entra Id'ye veri okuyan ve yazan Active Directory teknik profilleridir. Uzantı dosyasındaki bu teknik profilleri geçersiz kılın. Güçlü parola ilkesini devre dışı bırakmak için kullanın PersistedClaims
. ClaimsProviders öğesini bulun. Aşağıdaki talep sağlayıcılarını aşağıdaki gibi ekleyin:
<!--
<ClaimsProviders>-->
<ClaimsProvider>
<DisplayName>Azure Active Directory</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="AAD-UserWriteUsingLogonEmail">
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
</PersistedClaims>
</TechnicalProfile>
<TechnicalProfile Id="AAD-UserWritePasswordUsingObjectId">
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
</PersistedClaims>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
<!--
</ClaimsProviders>-->
Kullanıcı adı tabanlı oturum açma ilkesini kullanıyorsanız, , AAD-UserWritePasswordUsingObjectId
ve LocalAccountWritePasswordUsingObjectId
teknik profillerini DisableStrongPassword ilkesiyle güncelleştirinAAD-UserWriteUsingLogonEmail
.
İlke dosyasını kaydedin.
İlkenizi test etme
Dosyaları karşıya yükleme
- Azure Portal oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
- Azure portalının sol üst köşesindeki Tüm hizmetler'i seçin ve ardından Azure AD B2C'yi arayıp seçin.
- Kimlik Deneyimi Çerçevesi'ne tıklayın.
- Özel İlkeler sayfasında İlkeyi Karşıya Yükle'yi seçin.
- varsa ilkenin üzerine yaz'ı seçin ve TrustFrameworkExtensions.xml dosyasını arayın ve seçin.
- Yükle'yi seçin.
İlkeyi çalıştırma
- B2C_1A_signup_signin gibi kaydolma veya oturum açma ilkesini açın.
- Uygulama için daha önce kaydettiğiniz uygulamanızı seçin. Belirteci görmek için Yanıt URL'si göstermelidir
https://jwt.ms
. - Şimdi Çalıştır'ı seçin.
- Şimdi kaydol'a tıklayın, bir e-posta adresi girin ve yeni bir parola girin. Parola kısıtlamalarıyla ilgili yönergeler sunulur. Kullanıcı bilgilerini girmeyi bitirip Oluştur'u seçin. Döndürülen belirtecin içeriğini görmeniz gerekir.
Sonraki adımlar
- Azure Active Directory B2C'de parola değişikliğini yapılandırmayı öğrenin.
- IEF başvurusundaki Koşul ve Koşul Doğrulamaları öğeleri hakkında daha fazla bilgi edinin.