Azure Active Directory B2C 部署計劃

Azure Active Directory B2C （Azure AD B2C） 是一種身分識別和存取管理解決方案，可簡化與基礎結構的整合。 使用下列指引來協助瞭解整個 Azure AD B2C 部署的需求和合規性。

規劃 Azure AD B2C 部署

需求

• 評估關閉系統的主要原因
  • 請參閱什麼是 Azure Active Directory B2C？
• 針對新的應用程式，規劃客戶身分識別存取管理 （CIAM） 系統的設計
  • 請參閱規劃 與設計
• 識別客戶位置，並在對應的數據中心建立租使用者
  • 請參閱教學 課程：建立 Azure Active Directory B2C 租使用者
• 確認您的應用程式類型和支援的技術：
  • Microsoft 驗證資源庫 (MSAL) 概觀
  • 在 Azure 中使用開放原始碼語言、架構、資料庫和工具進行開發。
  • 針對後端服務，請使用 用戶端認證 流程
• 若要從識別提供者移轉 （IdP）：
  • 無縫移轉
  • 請前往 user-migration
• 選取通訊協定
  • 如果您使用 Kerberos、Microsoft Windows NT LAN Manager （NTLM） 和 Web 服務同盟 （WS-Fed），請參閱影片、 應用程式和身分識別移轉至 Azure AD B2C

移轉之後，您的應用程式可以支援新式身分識別通訊協定，例如Open Authorization （OAuth） 2.0和OpenID 連線（OIDC）。

利害關係人

技術專案的成功取決於管理期望、結果和責任。

• 識別應用程式架構師、技術專案經理和擁有者
• 建立通訊組清單 （DL） 以與 Microsoft 帳戶或工程小組通訊
  • 詢問問題、取得解答及接收通知
• 識別組織外部的合作夥伴或資源以支援您

深入瞭解： 包含正確的項目關係人

通訊

主動和定期與使用者溝通擱置和目前的變更。 告知他們體驗如何變更、變更時，並提供支持聯繫人。

時間表

協助設定實際的期望，並制定應變計劃以符合關鍵里程碑：

• 試驗日期
• 啟動日期
• 影響傳遞的日期
• 相依性

實作 Azure AD B2C 部署

• 部署應用程式和使用者身分 識別 - 部署用戶端應用程式並移轉使用者身分識別
• 用戶端應用程式上線和交付專案 - 將用戶端應用程式上線並測試解決方案
• 安全性 - 增強身分識別解決方案安全性
• 合規性 - 解決法規需求
• 用戶體驗 - 啟用使用者友好的服務

部署驗證和授權

• 應用程式與 Azure AD B2C 互動之前，請在您管理的租用戶中註冊它們
  • 請參閱教學 課程：建立 Azure Active Directory B2C 租使用者
• 如需授權，請使用身分識別體驗架構 （IEF） 範例使用者旅程圖
  • 請參閱 Azure Active Directory B2C：自定義 CIAM 使用者旅程圖
• 針對雲端原生環境使用原則型控件
  • 移至 openpolicyagent.org 以瞭解 開放原則代理程式 （OPA）

深入瞭解 Microsoft 身分識別 PDF、 使用 Azure AD B2C 取得專業知識，這是適用於開發人員的課程。

角色、許可權、委派和通話的檢查清單

• 識別存取您應用程式的角色
• 定義您目前和未來如何管理系統許可權和權利
• 確認您有許可權存放區，以及是否有許可權可新增至目錄
• 定義如何管理委派的系統管理
  • 例如，您的客戶的客戶管理
• 確認您的應用程式呼叫 API 管理員 （APIM）
  • 在發出令牌之前，可能需要從IdP呼叫

部署應用程式和使用者身分識別

Azure AD B2C 專案從一或多個用戶端應用程式開始。

• Azure Active Directory B2C 的新 應用程式註冊 體驗
  • 如需實作，請參閱 Azure Active Directory B2C 程式代碼範例
• 根據自定義使用者流程設定您的使用者旅程圖
  • 比較使用者流程和自定義原則
  • 將識別提供者新增至 Azure Active Directory B2C 租使用者
  • 將使用者遷移至 Azure AD B2C
  • Azure Active Directory B2C：適用於進階案例的 自定義 CIAM 使用者旅程圖

應用程式部署檢查清單

• CIAM 部署中包含的應用程式
• 使用中的應用程式
  • 例如，Web 應用程式、API、單頁 Web 應用程式 （SPA） 或原生行動應用程式
• 使用中的驗證：
  • 例如，與安全性判斷提示標記語言 （SAML） 同盟的窗體，或與 OIDC 同盟的窗體
  • 如果為 OIDC，請確認回應類型：程式代碼或id_token
• 判斷裝載前端和後端應用程式的位置：內部部署、雲端或混合式雲端
• 確認使用中的平台或語言：
  • 例如，ASP.NET、Java 和 Node.js
  • 請參閱快速入門：使用 Azure AD B2C 設定 ASP.NET 應用程式的登入
• 確認儲存用戶屬性的位置
  • 例如，輕量型目錄存取通訊協定 （LDAP） 或資料庫

使用者身分識別部署檢查清單

• 確認存取應用程式的用戶數目
• 判斷所需的 IdP 型態：
  • 例如，Facebook、本機帳戶和 Active Directory 同盟服務 （AD FS）
  • 請參閱，Active Directory 同盟服務
• 概述您的應用程式、Azure AD B2C 和 IdP 適用的宣告架構
  • 請參閱 ClaimsSchema
• 決定登入和註冊期間要收集的資訊
  • 在 Azure Active Directory B2C 中設定註冊和登入流程

用戶端應用程式上線和交付專案

使用下列檢查清單來將應用程式上線

區域	描述
應用程式目標使用者群組	選取終端客戶、商務客戶或數位服務。 判斷員工登入的需求。
應用程式商務價值	瞭解商務需求或目標，以判斷最佳的 Azure AD B2C 解決方案，並與其他用戶端應用程式整合。
您的身分識別群組	將身分識別叢集到具有需求的群組，例如企業對消費者（B2C）、企業對企業（B2B）企業對員工（B2E），以及適用於IoT裝置登入和服務帳戶的企業對機器（B2M）。
識別提供者 （IdP）	請參閱選取 識別提供者。 例如，對於客戶對客戶 （C2C） 行動應用程式，請使用簡單的登入程式。 B2C 與數位服務具有合規性需求。 請考慮電子郵件登入。
法規限制	判斷遠端配置檔或隱私策略的需求。
登入和註冊流程	在註冊期間確認電子郵件驗證或電子郵件驗證。 如需簽出程式，請參閱 其運作方式：Microsoft Entra 多重要素驗證。 請參閱使用 Microsoft Graph API 進行 Azure AD B2C 使用者移轉影片。
應用程式和驗證通訊協定	實作用戶端應用程式，例如 Web 應用程式、單頁應用程式 （SPA） 或原生應用程式。 用戶端應用程式和 Azure AD B2C 的驗證通訊協定：OAuth、OIDC 和 SAML。 請參閱使用 Microsoft Entra ID 保護 Web API 影片。
用戶移轉	確認您是否將 使用者遷移至 Azure AD B2C：Just-In-Time （JIT） 移轉和大容量導入/匯出。 請參閱 Azure AD B2C 使用者移轉策略影片。

使用下列檢查清單傳遞。

區域	描述
通訊協議資訊	收集這兩個變體的基底路徑、原則和元數據 URL。 指定屬性，例如範例登入、用戶端應用程式標識碼、秘密和重新導向。
應用程式範例	請參閱 Azure Active Directory B2C 程式代碼範例。
滲透測試	通知營運小組有關手寫筆測試，然後測試使用者流程，包括 OAuth 實作。 請參閱滲透測試和滲透測試參與規則。
單元測試	單元測試和產生令牌。 請參閱 Microsoft 身分識別平台 和 OAuth 2.0 資源擁有者密碼認證。 如果您達到 Azure AD B2C 令牌限制，請參閱 Azure AD B2C：檔案支援要求。 重複使用令牌以減少對基礎結構的調查。 在 Azure Active Directory B2C 中設定資源擁有者密碼認證流程。
負載測試	瞭解 Azure AD B2C 服務限制。 計算每月預期的驗證和使用者登入。 評估高負載流量持續時間和商務原因：假日、移轉和事件。 判斷註冊、流量和地理分佈的預期尖峰率，例如每秒。

安全性

使用下列檢查清單來增強應用程式安全性。

• 驗證方法，例如多重要素驗證：
  • 針對觸發高價值交易或其他風險事件的用戶，建議使用多重要素驗證。 例如，銀行、金融和簽出程式。
  • 請參閱 Microsoft Entra ID 中有哪些驗證和驗證方法？
• 確認使用反 Bot 機制
• 評估嘗試建立詐騙帳戶或登入的風險
  • 請參閱教學 課程：使用 Azure Active Directory B2C 設定 Microsoft Dynamics 365 Fraud Protection
• 確認需要的條件式狀態，作為登入或註冊的一部分

條件式存取和身分識別保護

• 新式安全性周邊現在延伸至組織網路之外。 周邊包含使用者和裝置身分識別。
  • 請參閱什麼是條件式存取？
• 使用 Microsoft Entra ID Protection 增強 Azure AD B2C 的安全性
  • 請參閱 Azure AD B2C 中的 Identity Protection 和條件式存取

法規遵循

為了協助符合法規需求並增強後端系統安全性，您可以使用虛擬網路（VNet）、IP 限制、Web 應用程式防火牆 等等。 請考慮下列需求：

• 您的法規合規性需求
  • 例如，支付卡產業數據安全性標準 （PCI DSS）
  • 移至 pcisecuritystandards.org 以深入瞭解 PCI安全性標準委員會
• 將數據記憶體放入不同的資料庫存放區
  • 判斷這項資訊是否無法寫入目錄

使用者體驗

使用下列檢查清單來協助定義用戶體驗需求。

• 識別整合以擴充 CIAM 功能並建置順暢的用戶體驗
  • Azure Active Directory B2C 獨立軟體廠商 （ISV） 合作夥伴
• 使用螢幕快照和使用者劇本來顯示應用程式用戶體驗
  • 例如，登入、註冊、註冊/登入 （SUSI）、配置檔編輯和密碼重設的螢幕快照
• 在 CIAM 解決方案中使用查詢字串參數尋找通過的提示
• 針對高用戶體驗自定義，請考慮使用前端開發人員
• 在 Azure AD B2C 中，您可以自訂 HTML 和 CSS
  • 請參閱使用JavaScript的指導方針
• 使用 iframe 支援來實作內嵌體驗：
  • 請參閱內 嵌註冊或登入體驗
  • 針對單頁應用程式，請使用載入元素的第 <iframe> 二個登入 HTML 頁面

監視稽核和記錄

使用下列檢查清單來監視、稽核和記錄。

• 監視
  • 使用 Azure 監視器監視 Azure AD B2C
  • 請參閱使用 Azure 監視器監視和報告 Azure AD B2C 影片
• 稽核和記錄
  • 存取 Azure AD B2C 稽核記錄

資源

• 註冊 Microsoft Graph 應用程式
• 使用 Microsoft Graph 管理 Azure AD B2C
• 使用 Azure Pipelines 部署自定義原則
• 使用 Azure PowerShell 管理 Azure AD B2C 自定義原則

下一步

Azure Active Directory B2C 的建議和最佳做法