教學課程：使用 Azure Active Directory B2C 設定 Grit IAM B2B2C 解決方案

這很重要

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。

在本教學課程中，您將瞭解如何整合 Azure Active Directory B2C （Azure AD B2C） 驗證與 Grit IAM B2B2C 解決方案。 您可以使用解決方案，為客戶提供安全、可靠、自助式和方便使用的身分識別和存取管理。 共用配置文件數據，例如名字、姓氏、住址，以及 Web 和行動應用程式中使用的電子郵件，會以集中式方式儲存，並考慮合規性和法規需求。

使用 Grit 的 B2BB2C 解決方案：

• 驗證、授權、配置檔和角色管理，以及委派的 B2B SaaS 應用程式管理。
• Azure AD B2C 應用程式的角色型訪問控制。

先決條件

若要開始使用，請確定符合下列必要條件：

• Grit IAM 帳戶。 您可以移至 Grit IAM B2B2C 解決方案 以取得示範。
• Microsoft Entra 訂用帳戶。 如果您沒有帳戶，您可以建立 免費的 Azure 帳戶。
• 連結到 Azure 訂用帳戶的 Azure AD B2C 租戶。 您可以在 教學課程：建立 Azure Active Directory B2C 租使用者中深入瞭解。
• 在 Azure 入口網站中設定您的應用程式。

案例描述

Contoso 會與終端客戶和大型企業進行業務，例如Fabrikam_big1和Fabrikam_big2。 有小型企業客戶，例如Fabrikam_small1和Fabrikam_small2，直接業務是由像 Smith1 和 Smith2 這樣的終端客戶完成的。

Contoso 具有 Web 和行動應用程式，並開發新的應用程式。 應用程式依賴使用者共用配置檔數據，例如名字、姓氏、地址和電子郵件。 他們想要集中特定的個人資料數據，從而使應用程式不會收集和儲存這些數據。 他們想要根據某些規範及法規來儲存個人資料。

這項整合是由下列元件所組成：

• Azure AD B2C 身分識別體驗架構 （IEF）：執行使用者旅程圖的引擎，包括驗證認證、執行 MFA、檢查使用者存取權。 它受Microsoft Entra 資料庫和使用 XML 設定的 API 層所協助。

• Grit API 層：此層會公開有關組織和應用程式的使用者配置檔數據和元數據。 數據會儲存在 Microsoft Entra ID 和 Cosmos DB 中。

• Grit Onboarding 入口網站：系統管理員用來將應用程式和組織上線。

• Grit 管理入口網站：由 Contoso 系統管理員、fabrikam_big1 系統管理員和 fabrikam_small1 系統管理員使用。 委派的系統管理員可以管理使用者及其存取權。 組織的進階系統管理員會管理所有使用者。

• Grit Visual IEF 編輯器：低程式代碼/無程式代碼編輯器，可自定義使用者旅程圖，並由 Grit 提供。 它會產生 IEF 所使用的 XML。 Contoso 開發人員會使用它來自定義使用者旅程。

• 應用程式：由 Contoso 或第三方開發。 應用程式會使用 Open ID 或 SAML 連線到客戶身分識別和存取管理 （CIAM） 系統。 他們收到的令牌包含使用者配置檔資訊，但可以使用令牌作為驗證機制進行 API 呼叫，以執行使用者配置檔數據建立、讀取、更新和刪除 （CRUD） 作業。

備註

除了視覺 IEF 編輯器之外，由 Grit 開發的元件將會部署在 Contoso Azure 環境中。

使用 Azure AD B2C 設定 Grit B2B2C

使用下列各節中提供的指引來開始使用設定。

步驟 1 - 設定基礎結構

要開始設定：

• 請連絡 Grit 支援 人員以取得存取權。
• 為了進行評估，Grit 支援小組會在 Grit Azure 訂用帳戶中部署基礎結構，而他們會為您提供系統管理員許可權。
• 購買解決方案之後，Grit 工程師會在您的 Azure 訂用帳戶中安裝生產版本。
• 基礎結構會與您的虛擬網路 （VNet） 設定整合，支援APIM（第三方 API 管理）和防火牆。
• Grit 實施工程師可以根據您的基礎架構提供客製化建議。

步驟 2 - 在管理入口網站中建立系統管理員

使用 Grit 管理入口網站，將系統管理員存取權指派給入口網站，讓他們可以執行下列工作 -

• 視其許可權等級而定，新增其他系統管理員，例如進階、組織、階層中的應用程式管理員。

• 檢視/接受/拒絕所有使用者對應用程式註冊的要求。

• 搜尋使用者。

若要瞭解如何指派系統管理員角色，請參閱教學 課程。

步驟 3 - 讓組織上線

請使用入門入口網站來管理一或多個支援 OpenID Connect（OIDC）和 SAML 的客戶及其身份提供者（IdP）。 將沒有IdP的客戶上線，以進行本機帳戶驗證。 針對 B2C 應用程式，啟用社交驗證。

在 Grit Onboarding 入口網站中，建立租用戶的超級管理員。 入職流程入口網站會針對每個應用程式和每個組織定義相關的權限宣告。 之後，門戶會為登入和註冊的使用者流程建立一個端點 URL。

若要瞭解如何讓組織上線，請參閱本 教學課程。

步驟 4 - 使用 OIDC 或 SAML 整合應用程式

將客戶上線之後，Grit Onboarding 入口網站會提供 URL 以將應用程式上線。

瞭解 您的客戶如何註冊、登入及管理其配置檔。

測試情境

檢查應用程式中的驗證 案例 。 使用 Grit 管理入口網站來變更角色和用戶屬性。 藉由邀請使用者，提供系統管理入口網站的委派存取權。

後續步驟

• Azure AD B2C 自定義原則概觀

• 教學課程：在 Azure Active Directory B2C 中建立使用者流程和自定義原則

• SAAS 平臺 - 組織應用程式上線入口網站

• SAAS 平臺 - 管理入口網站