Azure Active Directory B2C 部署计划

重要

自 2025 年 5 月 1 日起，Azure AD B2C 将不再可供新客户购买。 若要了解详细信息，请参阅常见问题解答中的 Azure AD B2C 是否仍可购买？。

Azure Active Directory B2C（Azure AD B2C）是一种标识和访问管理解决方案，可以简化与基础结构的集成。 使用以下指南帮助了解整个 Azure AD B2C 部署的要求和合规性。

规划 Azure AD B2C 部署

要求

• 评估关闭系统的主要原因
  • 请参阅Azure Active Directory B2C是什么？
• 对于新应用程序，请规划客户身份与访问管理 (CIAM) 系统的设计。
  • 请参阅规划和设计
• 确定客户的位置并在相应的数据中心创建租户
  • 请参阅 Tutorial：创建Azure Active Directory B2C 租户
• 确认应用程序类型和受支持的技术：
  • Microsoft Authentication Library 的Overview
  • 在Azure中使用开源语言、框架、数据库和工具进行开发。
  • 对于后端服务，请使用客户端凭据流程
• 若要从身份提供商 (IdP) 迁移，请执行以下操作：
  • 无缝迁移
  • 转到 user-migration
• 选择协议
  • 如果使用 Kerberos、Microsoft Windows NT 局域网管理器（NTLM）和 Web 服务联合协议（WS-Fed），请参阅视频 应用和标识迁移到 Azure AD B2C

迁移后，应用程序就可以支持新式标识协议，例如 Open Authorization (OAuth) 2.0 和 OpenID Connect (OIDC)。

利益干系人

技术项目的成功取决于管理期望、结果和责任。

• 确定应用程序架构师、技术项目经理和所有者
• 创建通讯组列表 (DL)，以便与 Microsoft 帐户或工程团队通信
  • 提出问题、获取答案和接收通知
• 确定组织外部的合作伙伴或资源以支持你

了解更多：包括合适的利益相关者

沟通

主动并定期与您的用户沟通有关即将发生和当前的更改。 告知他们体验的更改方式、更改时间，并提供支持联系人。

时间线

帮助设定现实的期望，并制定应变计划以满足关键里程碑：

• 试点日期
• 发布日期
• 影响交付的日期
• 依赖项

实现 Azure AD B2C 部署

• 部署应用程序和用户标识 - 部署客户端应用程序并迁移用户标识
• 客户端应用程序载入和可交付结果 - 载入客户端应用程序并测试解决方案
• 安全性 - 增强标识解决方案的安全性
• 合规性 - 满足法规要求
• 用户体验 - 启用用户友好的服务

部署身份验证和授权

• 在应用程序与 Azure AD B2C 交互之前，请在你管理的租户中注册它们
  • 请参阅 Tutorial：创建Azure Active Directory B2C 租户
• 对于授权，请使用 Identity Experience Framework (IEF) 示例用户流程
  • 请参阅Azure Active Directory B2C：自定义 CIAM 用户旅程
• 对云原生环境使用基于策略的控制
  • 转到 openpolicyagent.org 来了解 Open Policy Agent (OPA)

通过 Microsoft 身份 PDF 掌握 Azure AD B2C，这是一门面向开发人员的课程。

角色、权限、委派和调用的清单

• 确定访问你的应用程序的用户角色
• 定义当前和将来如何管理系统权限和权利
• 确认您是否有权限库，以及是否有权限可以添加到目录中。
• 定义如何管理委派的行政事务
  • 例如，你的客户的客户关系管理
• 验证应用程序是否调用 API 管理器 (APIM)
  • 在向应用程序颁发令牌之前，可能需要从 IDP 调用

部署应用程序和用户标识

Azure AD B2C 项目以一个或多个客户端应用程序开头。

• 适用于 Azure Active Directory B2C 的新应用注册体验
  • 有关实现，请参阅 Azure Active Directory B2C 代码示例
• 根据自定义用户体验流程设置用户路径
  • 比较用户流和自定义策略
  • 向 Azure Active Directory B2C 租户添加标识提供者
  • 将用户迁移到Azure AD B2C
  • Azure Active Directory B2C：自定义 CIAM 用户旅程用于高级场景

应用程序部署清单

• CIAM 部署中包含的应用程序
• 正在使用的应用程序
  • 例如，Web 应用程序、API、单页 Web 应用 (SPA) 或本机移动应用程序
• 正在使用的身份验证：
  • 例如，使用安全断言标记语言 (SAML) 进行联合身份验证或使用 OIDC 进行联合身份验证的表单
  • 如果是 OIDC，请确认响应类型：code 或 id_token
• 确定前端和后端应用程序的托管位置：本地、云或混合云
• 确认正在使用的平台或语言：
  • 例如 ASP.NET、Java和 Node.js
  • 请参阅 Quickstart：使用 Azure AD B2C 设置 ASP.NET 应用程序的登录
• 验证用户属性的存储位置
  • 例如，轻型目录访问协议 (LDAP) 或数据库

用户标识部署清单

• 确认访问应用程序的用户数量
• 确定所需的 IdP 类型：
  • 例如，Facebook、本地帐户和Active Directory Federation Services（AD FS）
  • 请参阅 Active Directory Federation Services
• 概述应用程序所需的声明架构、Azure AD B2C 和 IdP（如果适用）
  • 请参阅 ClaimsSchema
• 确定在登录和注册过程中要收集的信息
  • 在 Azure Active Directory B2C 中设置注册和登录流

客户端应用程序载入和可交付结果

使用以下清单载入应用程序

区域	说明
应用程序目标用户组	在最终客户、业务客户或数字服务之间进行选择。 确定员工是否需要登录。
应用程序业务价值	了解业务需求或目标，以确定最佳Azure AD B2C 解决方案与其他客户端应用程序的集成。
您的身份组	根据要求将身份分组，如企业对消费者 (B2C)、企业对企业(B2B)、企业对员工 (B2E) 和企业对机器 (B2M)，用于 Iot 设备登录和服务帐户。
标识提供者 (IDP)	请参阅选择标识提供程序。 例如，对于客户到客户 (C2C) 移动应用使用简单的登录过程。 具有数字服务的 B2C 具有合规性要求。 考虑电子邮件登录。
法规约束	确定对远程配置文件或隐私策略的需求。
登录和注册流程	在注册过程中确认电子邮件的验证或进行电子邮件验证。 有关签出流程，请参阅工作原理：Microsoft Entra 多重身份验证。 查看视频 使用 Microsoft Graph API 的 Azure AD B2C 用户迁移。
应用程序和身份验证协议	实现客户端应用程序，例如 Web 应用程序、单页应用程序 (SPA) 或原生应用。 客户端应用程序和 Azure AD B2C 的身份验证协议：OAuth、OIDC 和 SAML。 请观看视频《使用 Microsoft Entra ID 保护 Web API》。
用户迁移	确认是否将用户迁移到Azure AD B2C：即时 (JIT) 迁移和批量导入/导出。 查看视频 Azure AD B2C 用户迁移策略。

使用以下清单进行交付。

区域	说明
协议信息	收集两个变体的基本路径、策略和元数据 URL。 指定示例登录、客户端应用程序 ID、机密和重定向等属性。
应用程序示例	请参阅 Azure Active Directory B2C 代码示例。
渗透测试	将渗透测试告知运营团队，然后测试用户流，包括 OAuth 实现。 请参阅渗透测试和渗透测试参与规则。
单元测试	单元测试和生成令牌。 请参阅 Microsoft 标识平台和 OAuth 2.0 资源所有者密码凭据。 如果达到 Azure AD B2C 令牌限制，请参阅 Azure AD B2C：文件支持请求。 重复使用令牌，以减少对基础结构的调查工作。 在 Azure Active Directory B2C 中设置资源所有者密码凭据流程。 不得使用 ROPC 流对应用中的用户进行身份验证。
负载测试	了解 Azure AD B2C 服务限制。 计算每月预期的身份验证和用户登录数。 评估高负载流量持续时间和业务原因：假日、迁移和事件。 确定注册、流量和地理分布的预期峰值速率，例如每秒。

安全性

使用以下清单增强应用程序安全性。

• 身份验证方法，例如多重身份验证：
  • 对于触发高价值事务或其他风险事件的用户，建议使用多重身份验证。 例如，银行、财务和签出流程。
  • 请参阅 Microsoft Entra ID 中可用的身份验证和验证方法有哪些？
• 确认使用反机器人机制
• 评估尝试创建欺诈帐户或登录的风险
  • 请参阅 Tutorial：使用 Azure Active Directory B2C 配置Microsoft Dynamics 365 Fraud Protection
• 在登录或注册时确认需要的条件姿态

条件访问和Microsoft Entra 身份保护

• 新式安全外围网络现已超出组织网络的范围。 外围包括用户和设备标识。
  • 请参阅什么是条件访问？
• 使用 Microsoft Entra ID Protection 增强 Azure AD B2C 的安全性
  • 请参阅 Azure AD B2C 中的 ID 保护和条件访问

合规性

为了帮助符合法规要求并增强后端系统安全性，可以使用虚拟网络（VNet）、IP 限制、Web Application Firewall等。 请考虑以下要求：

• 监管合规性要求
  • 例如，支付卡行业数据安全标准 (PCI DSS)
  • 若要详细了解 PCI 安全标准委员会，请转到 pcisecuritystandards.org
• 数据存储到单独的数据库存储中
  • 确定是否无法将此信息写入目录

用户体验

使用以下清单来帮助定义用户体验要求。

• 确定用于扩展 CIAM 功能和生成无缝最终用户体验的集成
  • Azure Active Directory B2C 独立软件供应商（ISV）合作伙伴
• 使用屏幕截图和用户情景展示应用程序最终用户体验
  • 例如，登录、注册、注册/登录 (SUSI)、个人资料编辑和密码重置的屏幕截图
• 在 CIAM 解决方案中，使用查询字符串参数查找传输的提示
• 对于高度的用户体验自定义，请考虑使用前端开发人员
• 在 Azure AD B2C 中，可以自定义 HTML 和 CSS
  • 请参阅 JavaScript 的使用准则
• 使用 iframe 支持实现嵌入式体验：
  • 请参阅嵌入式注册或登录体验
  • 对于单页应用程序，使用另一个加载到 <iframe> 元素中的“登录”HTML 页

监视审核和日志记录

使用以下清单进行监视、审核和日志记录。

• 监控
  • 使用 Azure Monitor 监控 Azure AD B2C
  • 请参阅视频 使用 Azure Monitor 监控和报告 Azure AD B2C
• 审计与日志记录
  • 访问 Azure AD B2C 审核日志

资源

• 注册Microsoft Graph应用程序
• 使用 Microsoft Graph 管理 Azure AD B2C
• 使用 Azure Pipelines 部署自定义策略
• 使用 Azure PowerShell 管理 Azure AD B2C 自定义策略

后续步骤

Azure Active Directory B2C 的推荐和最佳实践