復原使用者體驗
註冊和登入使用者體驗是由下列元素所組成:
使用者與之互動的介面,例如 CSS、HTML 和 JavaScript
您建立的使用者流程和自訂原則 – 例如註冊、登入和設定檔編輯
應用程式的識別提供者 (IDP) - 例如本機帳戶使用者名稱/密碼、Outlook、Facebook 和 Google
在使用者流程和自訂原則之間選擇
為了協助您設定最常見的身分識別工作,Azure AD B2C 提供內建的可設定 使用者流程 。 您也可以建置自己的 自訂原則 ,以提供最大的彈性。 不過,建議只使用自訂原則來解決複雜的案例。
如何決定使用者流程和自訂原則
如果您的商務需求可由其符合,請選擇內建使用者流程。 由於 Microsoft 已廣泛測試,因此您可以將驗證原則層級功能、效能或調整這些身分識別使用者流程所需的測試降到最低。 您仍然需要測試應用程式的功能、效能和規模。
如果您 因為業務需求而選擇自訂原則 ,請確定除了應用層級測試之外,還要執行功能、效能或調整的原則層級測試。
請參閱比較使用者流程和自訂原則 以協助您決定的文章 。
選擇多個 IDP
使用 Facebook 之類的外部身分識別提供者 時,請務必有後援方案,以防外部提供者無法使用。
如何設定多個 IDP
作為外部識別提供者註冊程式的一部分,請包含已驗證的身分識別宣告,例如使用者的行動電話號碼或電子郵件地址。 將已驗證的宣告認可至基礎 Azure AD B2C 目錄實例。 如果外部提供者無法使用,請還原為已驗證的身分識別宣告,並回復為電話號碼作為驗證方法。 另一個選項是將一次性密碼傳送給使用者,以允許使用者登入。
請遵循下列步驟來 建置替代的驗證路徑 :
設定您的註冊原則,以允許本機帳戶和外部 IDP 註冊。
設定設定檔原則,以允許使用者 在登入後,將其他身分識別連結至其帳戶 。
通知並允許使用者 在中斷期間切換至替代 IDP 。
Multi-Factor Authentication 的可用性
使用 電話語音進行 Multi-Factor Authentication (MFA) 時,請務必考慮替代服務提供者。 當地電信或電話服務提供者可能會遇到其服務中斷。
如何選擇替代 MFA
Azure AD B2C 服務會使用內建電話型 MFA 提供者來傳遞以時間為基礎的單次密碼(OTP)。 它的形式是語音通話和簡訊給使用者預先註冊的電話號碼。 下列替代方法適用于各種案例:
當您使用 使用者流程 時,有兩種方法可建置復原功能:
- 變更使用者流程設定 :偵測到電話型 OTP 傳遞中斷時,將 OTP 傳遞方法從電話型變更為以電子郵件為基礎,並重新部署使用者流程,讓應用程式保持不變。
- 變更應用程式 :針對每個身分識別工作,例如註冊和登入,請定義兩組使用者流程。 將第一個設定為使用電話型 OTP,第二個設定為以電子郵件為基礎的 OTP。 在偵測電話型 OTP 傳遞中斷時,請變更並重新部署應用程式,以從第一組使用者流程切換至第二組,讓使用者流程保持不變。
當您使用 自訂原則 時,有四種方法可建置復原能力。 下列清單是複雜度的順序,您必須重新部署更新的原則。
啟用使用者選取電話型 OTP 或以電子郵件為基礎的 OTP :向使用者公開這兩個選項,並讓使用者自行選取其中一個選項。 不需要變更原則或應用程式。
在電話型 OTP 與以電子郵件為基礎的 OTP 之間動態切換:在註冊時收集電話和電子郵件資訊。 預先定義自訂原則,以在電話中斷期間有條件地切換,從電話型 OTP 傳遞到以電子郵件為基礎的 OTP 傳遞。 不需要變更原則或應用程式。
使用 Authenticator 應用程式 :更新自訂原則以使用 Authenticator 應用程式 。 如果您的一般 MFA 是電話型或以電子郵件為基礎的 OTP,請重新部署您的自訂原則以切換為使用 Authenticator 應用程式。
注意
使用者必須在註冊期間設定 Authenticator 應用程式整合。
- 使用安全性問題 :如果上述方法都不適用,請實作安全性問題做為備份。 在上線或設定檔編輯期間,為使用者設定安全性問題,並將答案儲存在目錄以外的個別資料庫中。 這個方法不符合「您擁有的專案」的 MFA 需求,例如電話,但提供次要「您知道的東西」。
使用內容傳遞網路
內容傳遞網路 (CDN) 比儲存自訂使用者流程 UI 的 Blob 存放區更好且成本更低。 網頁內容可從地理位置分散的高可用性伺服器網路更快傳遞。
定期測試 CDN 的可用性,以及透過端對端案例和負載測試的內容發佈效能。 如果您計畫因促銷或假日流量而即將到來的激增,請修改負載測試的估計值。