Azure Active Directory B2C 部署計劃
Azure Active Directory B2C (Azure AD B2C) 是一種身分識別和存取管理解決方案,可簡化與基礎結構的整合。 使用下列指引來協助瞭解整個 Azure AD B2C 部署的需求和合規性。
規劃 Azure AD B2C 部署
需求
- 評估關閉系統的主要原因
- 請參閱什麼是 Azure Active Directory B2C?
- 針對新的應用程式,規劃客戶身分識別存取管理 (CIAM) 系統的設計
- 請參閱規劃 與設計
- 識別客戶位置,並在對應的數據中心建立租使用者
- 確認您的應用程式類型和支援的技術:
- Microsoft 驗證資源庫 (MSAL) 概觀
- 在 Azure 中使用開放原始碼語言、架構、資料庫和工具進行開發。
- 針對後端服務,請使用 用戶端認證 流程
- 若要從識別提供者移轉 (IdP):
- 無縫移轉
- 請前往
user-migration
- 選取通訊協定
- 如果您使用 Kerberos、Microsoft Windows NT LAN Manager (NTLM) 和 Web 服務同盟 (WS-Fed),請參閱影片、 應用程式和身分識別移轉至 Azure AD B2C
移轉之後,您的應用程式可以支援新式身分識別通訊協定,例如Open Authorization (OAuth) 2.0和OpenID 連線(OIDC)。
利害關係人
技術專案的成功取決於管理期望、結果和責任。
- 識別應用程式架構師、技術專案經理和擁有者
- 建立通訊組清單 (DL) 以與 Microsoft 帳戶或工程小組通訊
- 詢問問題、取得解答及接收通知
- 識別組織外部的合作夥伴或資源以支援您
深入瞭解: 包含正確的項目關係人
通訊
主動和定期與使用者溝通擱置和目前的變更。 告知他們體驗如何變更、變更時,並提供支持聯繫人。
時間表
協助設定實際的期望,並制定應變計劃以符合關鍵里程碑:
- 試驗日期
- 啟動日期
- 影響傳遞的日期
- 相依性
實作 Azure AD B2C 部署
- 部署應用程式和使用者身分 識別 - 部署用戶端應用程式並移轉使用者身分識別
- 用戶端應用程式上線和交付專案 - 將用戶端應用程式上線並測試解決方案
- 安全性 - 增強身分識別解決方案安全性
- 合規性 - 解決法規需求
- 用戶體驗 - 啟用使用者友好的服務
部署驗證和授權
- 應用程式與 Azure AD B2C 互動之前,請在您管理的租用戶中註冊它們
- 如需授權,請使用身分識別體驗架構 (IEF) 範例使用者旅程圖
- 針對雲端原生環境使用原則型控件
- 移至 openpolicyagent.org 以瞭解 開放原則代理程式 (OPA)
深入瞭解 Microsoft 身分識別 PDF、 使用 Azure AD B2C 取得專業知識,這是適用於開發人員的課程。
角色、許可權、委派和通話的檢查清單
- 識別存取您應用程式的角色
- 定義您目前和未來如何管理系統許可權和權利
- 確認您有許可權存放區,以及是否有許可權可新增至目錄
- 定義如何管理委派的系統管理
- 例如,您的客戶的客戶管理
- 確認您的應用程式呼叫 API 管理員 (APIM)
- 在發出令牌之前,可能需要從IdP呼叫
部署應用程式和使用者身分識別
Azure AD B2C 專案從一或多個用戶端應用程式開始。
- Azure Active Directory B2C 的新 應用程式註冊 體驗
- 根據自定義使用者流程設定您的使用者旅程圖
應用程式部署檢查清單
- CIAM 部署中包含的應用程式
- 使用中的應用程式
- 例如,Web 應用程式、API、單頁 Web 應用程式 (SPA) 或原生行動應用程式
- 使用中的驗證:
- 例如,與安全性判斷提示標記語言 (SAML) 同盟的窗體,或與 OIDC 同盟的窗體
- 如果為 OIDC,請確認回應類型:程式代碼或id_token
- 判斷裝載前端和後端應用程式的位置:內部部署、雲端或混合式雲端
- 確認使用中的平台或語言:
- 例如,ASP.NET、Java 和 Node.js
- 請參閱快速入門:使用 Azure AD B2C 設定 ASP.NET 應用程式的登入
- 確認儲存用戶屬性的位置
- 例如,輕量型目錄存取通訊協定 (LDAP) 或資料庫
使用者身分識別部署檢查清單
- 確認存取應用程式的用戶數目
- 判斷所需的 IdP 型態:
- 例如,Facebook、本機帳戶和 Active Directory 同盟服務 (AD FS)
- 請參閱,Active Directory 同盟服務
- 概述您的應用程式、Azure AD B2C 和 IdP 適用的宣告架構
- 決定登入和註冊期間要收集的資訊
用戶端應用程式上線和交付專案
使用下列檢查清單來將應用程式上線
區域 | 描述 |
---|---|
應用程式目標使用者群組 | 選取終端客戶、商務客戶或數位服務。 判斷員工登入的需求。 |
應用程式商務價值 | 瞭解商務需求或目標,以判斷最佳的 Azure AD B2C 解決方案,並與其他用戶端應用程式整合。 |
您的身分識別群組 | 將身分識別叢集到具有需求的群組,例如企業對消費者(B2C)、企業對企業(B2B)企業對員工(B2E),以及適用於IoT裝置登入和服務帳戶的企業對機器(B2M)。 |
識別提供者 (IdP) | 請參閱選取 識別提供者。 例如,對於客戶對客戶 (C2C) 行動應用程式,請使用簡單的登入程式。 B2C 與數位服務具有合規性需求。 請考慮電子郵件登入。 |
法規限制 | 判斷遠端配置檔或隱私策略的需求。 |
登入和註冊流程 | 在註冊期間確認電子郵件驗證或電子郵件驗證。 如需簽出程式,請參閱 其運作方式:Microsoft Entra 多重要素驗證。 請參閱使用 Microsoft Graph API 進行 Azure AD B2C 使用者移轉影片。 |
應用程式和驗證通訊協定 | 實作用戶端應用程式,例如 Web 應用程式、單頁應用程式 (SPA) 或原生應用程式。 用戶端應用程式和 Azure AD B2C 的驗證通訊協定:OAuth、OIDC 和 SAML。 請參閱使用 Microsoft Entra ID 保護 Web API 影片。 |
用戶移轉 | 確認您是否將 使用者遷移至 Azure AD B2C:Just-In-Time (JIT) 移轉和大容量導入/匯出。 請參閱 Azure AD B2C 使用者移轉策略影片。 |
使用下列檢查清單傳遞。
區域 | 描述 |
---|---|
通訊協議資訊 | 收集這兩個變體的基底路徑、原則和元數據 URL。 指定屬性,例如範例登入、用戶端應用程式標識碼、秘密和重新導向。 |
應用程式範例 | 請參閱 Azure Active Directory B2C 程式代碼範例。 |
滲透測試 | 通知營運小組有關手寫筆測試,然後測試使用者流程,包括 OAuth 實作。 請參閱滲透測試和滲透測試參與規則。 |
單元測試 | 單元測試和產生令牌。 請參閱 Microsoft 身分識別平台 和 OAuth 2.0 資源擁有者密碼認證。 如果您達到 Azure AD B2C 令牌限制,請參閱 Azure AD B2C:檔案支援要求。 重複使用令牌以減少對基礎結構的調查。 在 Azure Active Directory B2C 中設定資源擁有者密碼認證流程。 |
負載測試 | 瞭解 Azure AD B2C 服務限制。 計算每月預期的驗證和使用者登入。 評估高負載流量持續時間和商務原因:假日、移轉和事件。 判斷註冊、流量和地理分佈的預期尖峰率,例如每秒。 |
安全性
使用下列檢查清單來增強應用程式安全性。
- 驗證方法,例如多重要素驗證:
- 針對觸發高價值交易或其他風險事件的用戶,建議使用多重要素驗證。 例如,銀行、金融和簽出程式。
- 請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法?
- 確認使用反 Bot 機制
- 評估嘗試建立詐騙帳戶或登入的風險
- 確認需要的條件式狀態,作為登入或註冊的一部分
條件式存取和身分識別保護
- 新式安全性周邊現在延伸至組織網路之外。 周邊包含使用者和裝置身分識別。
- 使用 Microsoft Entra ID Protection 增強 Azure AD B2C 的安全性
- 請參閱 Azure AD B2C 中的 Identity Protection 和條件式存取
法規遵循
為了協助符合法規需求並增強後端系統安全性,您可以使用虛擬網路(VNet)、IP 限制、Web 應用程式防火牆 等等。 請考慮下列需求:
- 您的法規合規性需求
- 例如,支付卡產業數據安全性標準 (PCI DSS)
- 移至 pcisecuritystandards.org 以深入瞭解 PCI安全性標準委員會
- 將數據記憶體放入不同的資料庫存放區
- 判斷這項資訊是否無法寫入目錄
使用者體驗
使用下列檢查清單來協助定義用戶體驗需求。
- 識別整合以擴充 CIAM 功能並建置順暢的用戶體驗
- 使用螢幕快照和使用者劇本來顯示應用程式用戶體驗
- 例如,登入、註冊、註冊/登入 (SUSI)、配置檔編輯和密碼重設的螢幕快照
- 在 CIAM 解決方案中使用查詢字串參數尋找通過的提示
- 針對高用戶體驗自定義,請考慮使用前端開發人員
- 在 Azure AD B2C 中,您可以自訂 HTML 和 CSS
- 使用 iframe 支援來實作內嵌體驗:
- 請參閱內 嵌註冊或登入體驗
- 針對單頁應用程式,請使用載入元素的第
<iframe>
二個登入 HTML 頁面
監視稽核和記錄
使用下列檢查清單來監視、稽核和記錄。
- 監視
- 使用 Azure 監視器監視 Azure AD B2C
- 請參閱使用 Azure 監視器監視和報告 Azure AD B2C 影片
- 稽核和記錄
資源
- 註冊 Microsoft Graph 應用程式
- 使用 Microsoft Graph 管理 Azure AD B2C
- 使用 Azure Pipelines 部署自定義原則
- 使用 Azure PowerShell 管理 Azure AD B2C 自定義原則