Azure Active Directory B2C dağıtım planları

Azure Active Directory B2C (Azure AD B2C), altyapınızla tümleştirmeyi kolaylaştırabilen bir kimlik ve erişim yönetimi çözümüdür. Azure AD B2C dağıtımı boyunca gereksinimleri ve uyumluluğu anlamanıza yardımcı olması için aşağıdaki kılavuzu kullanın.

Azure AD B2C dağıtımı planlama

Gereksinim -leri

• Sistemleri kapatmanın birincil nedenini değerlendirme
  • Bkz. Azure Active Directory B2C nedir?
• Yeni bir uygulama için Müşteri Kimliği Erişim Yönetimi (CIAM) sisteminin tasarımını planlayın
  • Bkz. Planlama ve tasarım
• Müşteri konumlarını belirleme ve ilgili veri merkezinde kiracı oluşturma
  • Bkz. Öğretici: Azure Active Directory B2C kiracısı oluşturma
• Uygulama türlerinizi ve desteklenen teknolojileri onaylayın:
  • Microsoft Kimlik Doğrulama Kitaplığı'na (MSAL) genel bakış
  • Azure'da açık kaynak diller, çerçeveler, veritabanları ve araçlarla geliştirme.
  • Arka uç hizmetleri için istemci kimlik bilgileri akışını kullanın
• Kimlik sağlayıcısından (IdP) geçiş yapmak için:
  • Sorunsuz geçiş
  • Git user-migration
• Protokolleri seçme
  • Kerberos, Microsoft Windows NT LAN Manager (NTLM) ve Web Hizmetleri Federasyonu (WS-Fed) kullanıyorsanız Azure AD B2C'ye uygulama ve kimlik geçişi videosuna bakın

Geçiş sonrasında uygulamalarınız Open Authorization (OAuth) 2.0 ve OpenID Connect (OIDC) gibi modern kimlik protokollerini destekleyebilir.

Paydaşlar

Teknoloji projesinin başarısı beklentilerin, sonuçların ve sorumlulukların yönetilmesine bağlıdır.

• Uygulama mimarını, teknik program yöneticisini ve sahibini belirleme
• Microsoft hesabı veya mühendislik ekipleriyle iletişim kurmak için dağıtım listesi (DL) oluşturma
  • Soru sorun, yanıt alın ve bildirimler alın
• Sizi desteklemek için kuruluşunuzun dışındaki bir iş ortağını veya kaynağı belirleme

Daha fazla bilgi edinin: Doğru paydaşları dahil edin

Iletişim

Bekleyen ve geçerli değişiklikler hakkında kullanıcılarınızla proaktif ve düzenli olarak iletişim kurun. Deneyimin nasıl değiştiği, ne zaman değiştiği hakkında onları bilgilendirin ve destek için bir kişi sağlayın.

Zaman Çizelgeleri

Gerçekçi beklentilerin ayarlanmasına ve önemli kilometre taşlarını karşılayacak acil durum planları yapılmasına yardımcı olun:

• Pilot tarih
• Başlatma tarihi
• Teslimi etkileyen tarihler
• Bağımlılık

Azure AD B2C dağıtımı uygulama

• Uygulamaları ve kullanıcı kimliklerini dağıtma - İstemci uygulamasını dağıtma ve kullanıcı kimliklerini geçirme
• İstemci uygulaması ekleme ve teslim edilebilir öğeler - İstemci uygulamasını ekleme ve çözümü test etme
• Güvenlik - Kimlik çözümü güvenliğini geliştirme
• Uyumluluk - Mevzuat gereksinimlerini karşılama
• Kullanıcı deneyimi - Kullanıcı dostu bir hizmeti etkinleştirme

Kimlik doğrulaması ve yetkilendirme dağıtma

• Uygulamalarınız Azure AD B2C ile etkileşim kurmadan önce bunları yönettiğiniz bir kiracıya kaydedin
  • Bkz. Öğretici: Azure Active Directory B2C kiracısı oluşturma
• Yetkilendirme için Kimlik Deneyimi Çerçevesi (IEF) örnek kullanıcı yolculuklarını kullanın
  • Bkz. Azure Active Directory B2C: Özel CIAM Kullanıcı Yolculukları
• Bulutta yerel ortamlar için ilke tabanlı denetim kullanma
  • Açık İlke openpolicyagent.org Aracısı (OPA) hakkında bilgi edinmek için adresine gidin

Geliştiricilere yönelik bir kurs olan Azure AD B2C ile uzmanlık kazanma, Microsoft Identity PDF ile daha fazla bilgi edinin.

Kişiler, izinler, temsilci seçme ve aramalar için denetim listesi

• Uygulamanıza erişen kişileri tanımlama
• Sistem izinlerini ve yetkilendirmelerini bugün ve gelecekte nasıl yönetileceğini tanımlayın
• bir izin deponuz olduğunu ve dizine eklemek için izinler olup olmadığını onaylayın
• Temsilcili yönetimi nasıl yönettiğinizi tanımlama
  • Örneğin, müşterilerinizin müşteri yönetimi
• Uygulamanızın API Manager (APIM) çağırdığını doğrulayın
  • Uygulamaya belirteç verilmeden önce IdP'den çağrı yapılması gerekebilir

Uygulamaları ve kullanıcı kimliklerini dağıtma

Azure AD B2C projeleri bir veya daha fazla istemci uygulamasıyla başlar.

• Azure Active Directory B2C için yeni Uygulama kayıtları deneyimi
  • Uygulama için Azure Active Directory B2C kod örneklerine bakın
• Özel kullanıcı akışlarına göre kullanıcı yolculuğunuzu ayarlama
  • Kullanıcı akışlarını ve özel ilkeleri karşılaştırma
  • Azure Active Directory B2C kiracınıza kimlik sağlayıcısı ekleme
  • Kullanıcıları Azure AD B2C'ye geçirme
  • Azure Active Directory B2C: Gelişmiş senaryolar için özel CIAM Kullanıcı Yolculukları

Uygulama dağıtımı denetim listesi

• CIAM dağıtımına dahil edilen uygulamalar
• Kullanımdaki uygulamalar
  • Örneğin, web uygulamaları, API'ler, tek sayfalı web uygulamaları (SPA'lar) veya yerel mobil uygulamalar
• Kimlik doğrulaması kullanılıyor:
  • Örneğin, Güvenlik Onaylama İşaretleme Dili (SAML) ile birleştirilmiş veya OIDC ile birleştirilmiş formlar
  • OIDC ise yanıt türünü onaylayın: kod veya id_token
• Ön uç ve arka uç uygulamalarının barındırıldığı yeri belirleme: şirket içi, bulut veya hibrit bulut
• Kullanılan platformları veya dilleri onaylayın:
  • Örneğin ASP.NET, Java ve Node.js
  • Bkz. Hızlı Başlangıç: Azure AD B2C kullanarak ASP.NET bir uygulama için oturum açmayı ayarlama
• Kullanıcı özniteliklerinin nerede depolandığını doğrulama
  • Örneğin, Basit Dizin Erişim Protokolü (LDAP) veya veritabanları

Kullanıcı kimliği dağıtımı denetim listesi

• Uygulamalara erişen kullanıcı sayısını onaylayın
• Gereken IdP türlerini belirleyin:
  • Örneğin, Facebook, yerel hesap ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS)
  • Bkz. Active Directory Federasyon Hizmetleri (AD FS)
• Uygulamanız, Azure AD B2C ve varsa IDP'ler için gereken talep şemasını özetleyin
  • Bkz. ClaimsSchema
• Oturum açma ve kaydolma sırasında toplayacak bilgileri belirleme
  • Azure Active Directory B2C'de kaydolma ve oturum açma akışı ayarlama

İstemci uygulaması ekleme ve teslim edilebilir öğeler

Bir uygulamayı ekleme için aşağıdaki denetim listesini kullanın

Alan	Açıklama
Uygulama hedef kullanıcı grubu	Son müşteriler, iş müşterileri veya dijital hizmet arasından seçim yapın. Çalışan oturum açma gereksinimini belirleyin.
Uygulama iş değeri	en iyi Azure AD B2C çözümünü ve diğer istemci uygulamalarıyla tümleştirmeyi belirlemeye ilişkin iş gereksinimini veya hedefini anlayın.
Kimlik gruplarınız	IoT cihaz oturum açma ve hizmet hesapları için işletmeden müşteriye (B2C), işletmeden işletmeye (B2B) çalışandan çalışana (B2E) ve işletmeden makineye (B2M) gibi gereksinimleri olan gruplar halinde kimlikleri kümeleyin.
Kimlik sağlayıcısı (IdP)	Bkz. Kimlik sağlayıcısı seçme. Örneğin, müşteriden müşteriye (C2C) mobil uygulaması için kolay bir oturum açma işlemi kullanın. Dijital hizmetlere sahip B2C'nin uyumluluk gereksinimleri vardır. E-postayla oturum açmayı göz önünde bulundurun.
Mevzuat kısıtlamaları	Uzak profillere veya gizlilik ilkelerine yönelik bir gereksinim belirleyin.
Oturum açma ve kaydolma akışı	Kayıt sırasında e-posta doğrulamayı veya e-posta doğrulamayı onaylayın. Kullanıma alma işlemleri için bkz . Nasıl çalışır: Microsoft Entra çok faktörlü kimlik doğrulaması. Microsoft Graph API'sini kullanarak Azure AD B2C kullanıcı geçişi videosuna bakın.
Uygulama ve kimlik doğrulama protokolü	Web uygulaması, tek sayfalı uygulama (SPA) veya yerel gibi istemci uygulamaları uygulayın. İstemci uygulaması ve Azure AD B2C için kimlik doğrulama protokolleri: OAuth, OIDC ve SAML. Microsoft Entra Id ile Web API'lerini koruma videosuna bakın.
Kullanıcı geçişi	Kullanıcıları Azure AD B2C: Tam zamanında (JIT) geçişe ve toplu içeri/dışarı aktarmaya geçirip geçirmeyeceksiniz onaylayın. Azure AD B2C kullanıcı geçiş stratejileri videosuna bakın.

Teslimat için aşağıdaki denetim listesini kullanın.

Alan	Açıklama
Protokol bilgileri	Her iki değişkenin temel yolunu, ilkelerini ve meta veri URL'sini toplayın. Örnek oturum açma, istemci uygulama kimliği, gizli diziler ve yeniden yönlendirmeler gibi öznitelikleri belirtin.
Uygulama örnekleri	Bkz. Azure Active Directory B2C kod örnekleri.
Sızma testi	İşlem ekibinize kalem testleri hakkında bilgi verin, ardından OAuth uygulaması da dahil olmak üzere kullanıcı akışlarını test edin. Bkz. Sızma testi ve Sızma testi katılım kuralları.
Birim testi	Birim testi ve belirteç oluşturma. Bkz. Microsoft kimlik platformu ve OAuth 2.0 Kaynak Sahibi Parola Kimlik Bilgileri. Azure AD B2C belirteç sınırına ulaşırsanız bkz . Azure AD B2C: Dosya Desteği İstekleri. Altyapınızda araştırmayı azaltmak için belirteçleri yeniden kullanın. Azure Active Directory B2C'de bir kaynak sahibi parola kimlik bilgileri akışı ayarlayın. Uygulamalarınızdaki kullanıcıların kimliğini doğrulamak için ROPC akışını kullanmamalısınız.
Yük testi	Azure AD B2C hizmet sınırları ve kısıtlamaları hakkında bilgi edinin. Aylık beklenen kimlik doğrulamalarını ve kullanıcı oturum açmalarını hesaplayın. Yüksek yük trafiği sürelerini ve iş nedenlerini değerlendirin: tatil, geçiş ve etkinlik. Kayıt, trafik ve coğrafi dağıtım için beklenen en yüksek oranları (örneğin saniye başına) belirleyin.

Güvenlik

Uygulama güvenliğini geliştirmek için aşağıdaki denetim listesini kullanın.

• Çok faktörlü kimlik doğrulaması gibi kimlik doğrulama yöntemi:
  • Çok faktörlü kimlik doğrulaması, yüksek değerli işlemleri veya diğer risk olaylarını tetikleyen kullanıcılar için önerilir. Örneğin bankacılık, finans ve kullanıma alma süreçleri.
  • Bkz. Microsoft Entra Id'de hangi kimlik doğrulama ve doğrulama yöntemleri kullanılabilir?
• Bot karşıtı mekanizmaların kullanımını onaylama
• Sahte hesap oluşturma veya oturum açma girişimi riskini değerlendirme
  • Bkz. Öğretici: Azure Active Directory B2C ile Microsoft Dynamics 365 Sahtekarlık Korumasını Yapılandırma
• Oturum açma veya kaydolma işleminin bir parçası olarak gerekli koşullu duruşları onaylayın

Koşullu Erişim ve Microsoft Entra Kimlik Koruması

• Modern güvenlik çevresi artık bir kuruluşun ağını aşıyor. Çevre, kullanıcı ve cihaz kimliğini içerir.
  • Bkz. Koşullu Erişim nedir?
• Microsoft Entra Kimlik Koruması ile Azure AD B2C'nin güvenliğini geliştirme
  • Bkz. Azure AD B2C'de Kimlik Koruması ve Koşullu Erişim

Uyma

Mevzuat gereksinimlerine uymaya ve arka uç sistem güvenliğini geliştirmeye yardımcı olmak için sanal ağları (VNet), IP kısıtlamalarını, Web Uygulaması Güvenlik Duvarı vb. kullanabilirsiniz. Aşağıdaki gereksinimleri göz önünde bulundurun:

• Mevzuat uyumluluğu gereksinimleriniz
  • Örneğin, Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)
  • PCI Güvenlik Standartları Konseyi hakkında daha fazla bilgi edinmek için pcisecuritystandards.org gidin
• Ayrı bir veritabanı deposunda veri depolama
  • Bu bilgilerin dizine yazılamayacağını belirleme

Kullanıcı deneyimi

Kullanıcı deneyimi gereksinimlerini tanımlamaya yardımcı olması için aşağıdaki denetim listesini kullanın.

• CIAM özelliklerini genişletmek ve sorunsuz son kullanıcı deneyimleri oluşturmak için tümleştirmeleri belirleme
  • Azure Active Directory B2C bağımsız yazılım satıcısı (ISV) iş ortakları
• Uygulama son kullanıcı deneyimini göstermek için ekran görüntülerini ve kullanıcı hikayelerini kullanma
  • Örneğin, oturum açma, kaydolma, kaydolma/oturum açma (SUSI), profil düzenleme ve parola sıfırlama ekran görüntüleri
• CIAM çözümünüzde sorgu dizesi parametrelerini kullanarak iletilen ipuçlarını arayın
• Yüksek kullanıcı deneyimi özelleştirmesi için, kullanan bir ön uç geliştiricisini göz önünde bulundurun
• Azure AD B2C'de HTML ve CSS'yi özelleştirebilirsiniz
  • Bkz. JavaScript kullanma yönergeleri
• iframe desteğini kullanarak ekli bir deneyim uygulayın:
  • Bkz. Tümleşik kaydolma veya oturum açma deneyimi
  • Tek sayfalı bir uygulama için, öğesine yüklenen <iframe> ikinci bir oturum açma HTML sayfası kullanın

İzleme denetimi ve günlüğe kaydetme

İzleme, denetim ve günlüğe kaydetme için aşağıdaki denetim listesini kullanın.

• Izleme
  • Azure İzleyici ile Azure AD B2C'i izleme
  • Azure İzleyici kullanarak Azure AD B2C'yi izleme ve raporlama videosuna bakın
• Denetim ve günlüğe kaydetme
  • Azure AD B2C denetim günlüklerine erişme

Kaynaklar

• Microsoft Graph uygulamasını kaydetme
• Microsoft Graph ile Azure AD B2C'i yönetme
• Azure Pipelines ile özel ilkeler dağıtma
• Azure PowerShell ile Azure AD B2C özel ilkelerini yönetme

Sonraki adımlar

Azure Active Directory B2C için öneriler ve en iyi yöntemler