Azure Active Directory B2C 部署计划

Azure Active Directory B2C (Azure AD B2C) 是一种标识和访问管理解决方案，可以简化与基础结构的集成。 使用以下指南来帮助了解整个 Azure AD B2C 部署的要求和合规性。

规划 Azure AD B2C 部署

要求

• 评估关闭系统的主要原因
  • 请参阅什么是 Azure Active Directory B2C？
• 对于新应用程序，请规划客户标识访问管理 (CIAM) 系统的设计
  • 请参阅规划和设计
• 确定客户的位置并在相应的数据中心创建租户
  • 请参阅教程：创建 Azure Active Directory B2C 租户
• 确认应用程序类型和受支持的技术：
  • Microsoft 身份验证库 (MSAL) 的概述
  • 在 Azure 中使用开放源代码语言、框架、数据库和工具进行开发。
  • 对于后端服务，请使用客户端凭据流程
• 若要从标识提供者 (IdP) 迁移，请执行以下操作：
  • 无缝迁移
  • 转到 user-migration
• 选择协议
  • 如果使用 Kerberos、Microsoft Windows NT LAN Manager (NTLM) 和 Web Services 联合身份验证 (WS-Fed)，请观看视频《将应用程序和标识迁移到 Azure AD B2C》

迁移后，应用程序就可以支持新式标识协议，例如 Open Authorization (OAuth) 2.0 和 OpenID Connect (OIDC)。

利益干系人

技术项目的成功取决于管理期望、结果和责任。

• 确定应用程序架构师、技术项目经理和所有者
• 创建通讯组列表 (DL)，以便与 Microsoft 帐户或工程团队通信
  • 提出问题、获取答案和接收通知
• 确定组织外部的合作伙伴或资源以支持你

了解更多：包括合适的利益干系人

沟通

主动并定期与用户就挂起的和当前更改进行沟通。 告知他们体验的更改方式、更改时间，并提供支持联系人。

时间线

帮助设定现实的期望，并制定应变计划以满足关键里程碑：

• 试点日期
• 发布日期
• 影响交付的日期
• 依赖项

实施 Azure AD B2C 部署

• 部署应用程序和用户标识 - 部署客户端应用程序并迁移用户标识
• 客户端应用程序载入和可交付结果 - 载入客户端应用程序并测试解决方案
• 安全性 - 增强标识解决方案的安全性
• 合规性 - 满足法规要求
• 用户体验 - 启用用户友好的服务

部署身份验证和授权

• 在应用程序与 Azure AD B2C 交互之前，请在你管理的租户中注册它们
  • 请参阅教程：创建 Azure Active Directory B2C 租户
• 对于授权，请使用 Identity Experience Framework (IEF) 示例用户旅程
  • 请参阅 Azure Active Directory B2C：自定义 CIAM 用户旅程
• 对云原生环境使用基于策略的控制
  • 转到 openpolicyagent.org，了解 Open Policy Agent (OPA)

通过 Microsoft Identity PDF 了解更多信息，通过 Azure AD B2C 获得专业知识，这是一门面向开发人员的课程。

角色、权限、委派和调用的清单

• 确定访问应用程序的角色
• 定义当前和将来如何管理系统权限和权利
• 确认你有权限存储，以及是否有权限添加到目录
• 定义管理委托管理的方式
  • 例如，客户的客户管理
• 验证应用程序是否调用 API 管理器 (APIM)
  • 在向应用程序颁发令牌之前，可能需要从 IDP 调用

部署应用程序和用户标识

Azure AD B2C 项目从一个或多个客户端应用程序开始。

• Azure Active Directory B2C 的新应用注册体验
  • 有关实现，请参阅 Azure Active Directory B2C 代码示例
• 根据自定义用户流设置用户旅程
  • 比较用户流和自定义策略
  • 向 Azure Active Directory B2C 租户添加标识提供者
  • 将用户迁移到 Azure AD B2C
  • Azure Active Directory B2C：自定义 CIAM 用户旅程，以了解高级方案

应用程序部署清单

• CIAM 部署中包含的应用程序
• 正在使用的应用程序
  • 例如，Web 应用程序、API、单页 Web 应用 (SPA) 或本机移动应用程序
• 正在使用的身份验证：
  • 例如，使用安全断言标记语言 (SAML) 进行联合身份验证或使用 OIDC 进行联合身份验证的表单
  • 如果是 OIDC，请确认响应类型：code 或 id_token
• 确定前端和后端应用程序的托管位置：本地、云或混合云
• 确认正在使用的平台或语言：
  • 例如，ASP.NET、Java 和 Node.js
  • 请参阅快速入门：使用 Azure AD B2C 为 ASP.NET 应用程序设置登录
• 验证用户属性的存储位置
  • 例如，轻型目录访问协议 (LDAP) 或数据库

用户标识部署清单

• 确认访问应用程序的用户数量
• 确定所需的 IdP 类型：
  • 例如，Facebook、本地帐户和 Active Directory 联合身份验证服务 (AD FS)
  • 请参阅 Active Directory 联合身份验证服务
• 概述应用程序、Azure AD B2C 和 IdP（如果适用）所需的声明架构
  • 请参阅 ClaimsSchema
• 确定在登录和注册过程中要收集的信息
  • 在 Azure Active Directory B2C 中创建注册和登录流

客户端应用程序载入和可交付结果

使用以下清单载入应用程序

区域	说明
应用程序目标用户组	在最终客户、业务客户或数字服务之间进行选择。 确定员工是否需要登录。
应用程序业务价值	了解业务需求或目标，以确定最佳 Azure AD B2C 解决方案以及与其他客户端应用程序的集成。
标识组	根据要求将身份分组，如企业对消费者 (B2C)、企业对企业(B2B)、企业对员工 (B2E) 和企业对机器 (B2M)，用于 Iot 设备登录和服务帐户。
标识提供者 (IDP)	请参阅添加标识提供程序。 例如，对于客户到客户 (C2C) 移动应用使用简单的登录过程。 具有数字服务的 B2C 具有合规性要求。 考虑电子邮件登录。
法规约束	确定对远程配置文件或隐私策略的需求。
登录和注册流	在注册期间确认电子邮件验证或电子邮件验证。 有关检查进程，请参阅工作原理：Microsoft Entra 多重身份验证。 观看视频《使用 Microsoft Graph API 进行 Azure AD B2C 用户迁移》。
应用程序和身份验证协议	实现客户端应用程序，例如 Web 应用程序、单页应用程序 (SPA) 或本机。 客户端应用程序和 Azure AD B2C 的身份验证协议：OAuth、OIDC 和 SAML。 请观看视频《使用Microsoft Entra ID 保护 Web API》。
用户迁移	确认是否将用户迁移到 Azure AD B2C：实时 (JIT) 迁移和批量导入/导出。 请观看视频《Azure AD B2C 用户迁移策略》。

使用以下清单进行交付。

区域	说明
协议信息	收集两个变体的基本路径、策略和元数据 URL。 指定示例登录、客户端应用程序 ID、机密和重定向等属性。
应用程序示例	请参阅 Azure Active Directory B2C 代码示例。
渗透测试	将渗透测试告知运营团队，然后测试用户流，包括 OAuth 实现。 请参阅渗透测试和渗透测试参与规则。
单元测试	单元测试和生成令牌。 请参阅 Microsoft 标识平台和 OAuth 2.0 资源所有者密码凭据。 如果达到 Azure AD B2C 令牌限制，请参阅 Azure AD B2C：文件支持请求。 重复使用令牌，以减少对对基础结构的调查。 在 Azure Active Directory B2C 中设置资源所有者密码凭据流。
负载测试	了解 Azure AD B2C 服务限制和局限性。 计算每月预期的身份验证和用户登录数。 评估高负载流量持续时间和业务原因：假日、迁移和事件。 确定注册、流量和地理分布的预期峰值速率，例如每秒。

安全性

使用以下清单增强应用程序安全性。

• 身份验证方法，例如多重身份验证：
  • 对于触发高价值事务或其他风险事件的用户，建议使用多重身份验证。 例如，银行、财务和签出流程。
  • 请参阅Microsoft Entra ID 中有哪些可用的身份验证和验证方法？
• 确认使用反机器人机制
• 评估尝试创建欺诈帐户或登录的风险
  • 请参阅教程：使用 Azure Active Directory B2C 配置 Microsoft Dynamics 365 Fraud Protection
• 在登录或注册过程中确认所需的条件状态

条件访问和标识保护

• 新式安全外围网络现已超出组织网络的范围。 外围包括用户和设备标识。
  • 请参阅什么是条件访问？
• 使用 Microsoft Entra ID 保护来增强 Azure AD B2C 的安全性
  • 请参阅 Azure AD B2C 中的标识保护和条件访问

合规性

为了帮助遵守法规要求并增强后端系统安全性，可以使用虚拟网络 (VNet)、IP 限制和 Web 应用程序防火墙等。 请考虑以下要求：

• 监管合规性要求
  • 例如，支付卡行业数据安全标准 (PCI DSS)
  • 若要详细了解 PCI 安全标准委员会，请转到 pcisecuritystandards.org
• 数据存储到单独的数据库存储中
  • 确定是否无法将此信息写入目录

用户体验

使用以下清单来帮助定义用户体验要求。

• 确定用于扩展 CIAM 功能和生成无缝最终用户体验的集成
  • Azure Active Directory B2C 独立软件供应商 (ISV) 合作伙伴
• 使用屏幕截图和用户情景展示应用程序最终用户体验
  • 例如，登录、注册、注册/登录 (SUSI)、配置文件编辑和密码重置的屏幕截图
• 在 CIAM 解决方案中使用查询字符串参数查找传递的提示
• 对于高度的用户体验自定义，请考虑使用前端开发人员
• 在 Azure AD B2C 中，可以自定义 HTML 和 CSS
  • 请参阅 JavaScript 的使用准则
• 使用 iframe 支持实现嵌入式体验：
  • 请参阅嵌入式注册或登录体验
  • 对于单页应用程序，使用另一个加载到 <iframe> 元素中的“登录”HTML 页

监视审核和日志记录

使用以下清单进行监视、审核和日志记录。

• 监视
  • 使用 Azure Monitor 监视 Azure AD B2C
  • 请观看视频《使用 Azure Monitor 监视和报告 Azure AD B2C》
• 审核和日志记录
  • 访问 Azure AD B2C 审核日志

资源

• 注册 Microsoft Graph 应用程序
• 使用 Microsoft Graph 管理 Azure AD B2C
• 使用 Azure Pipelines 部署自定义策略
• 使用 Azure PowerShell 管理 Azure AD B2C 自定义策略

后续步骤

适用于 Azure Active Directory B2C 的建议和最佳做法