Azure Active Directory B2C 部署計劃
Azure Active Directory B2C (Azure AD B2C) 是一種身分識別和存取權管理解決方案,可輕鬆與您的基礎結構整合。 請使用下列指導,了解整個 Azure AD B2C 部署過程的需求和合規性。
- 評定關閉系統的主要原因
- 若是新的應用程式,請規劃客戶身分識別存取管理 (CIAM) 系統的設計
- 識別客戶的位置,並在對應的資料中心內建立租用戶
- 確認您的應用程式類型和支援的技術:
- 從識別提供者 (IdP) 移轉:
- 選取通訊協定
移轉之後,您的應用程式即可支援新式身分識別通訊協定,例如 Open Authorization (OAuth) 2.0 和 OpenID Connect (OIDC)。
技術專案的成功取決於如何管理期望、結果和責任。
- 識別應用程式架構師、技術專案經理和負責人
- 建立通訊群組清單 (DL) 以與 Microsoft 帳戶或工程團隊通訊
- 識別組織外部可支援您的合作夥伴或資源
深入了解:加入正確的專案關係人
主動並定期與使用者溝通待決和目前的變更。 通知他們體驗將如何變更、何時變更,並提供尋求支援的連絡對象。
協助建立切實可行的預期,並制定達成關鍵里程碑的應變計劃:
- 部署應用程式和使用者身分識別 - 部署用戶端應用程式並移轉使用者身分識別
- 用戶端應用程式上線和交付項目 - 將用戶端應用程式上線,並測試解決方案
- 安全性 - 增強身分識別解決方案的安全性
- 合規性 - 滿足法規需求
- 使用者體驗 - 提供方便使用的服務
- 先在您管理的租用戶中註冊應用程式,方可與 Azure AD B2C 互動
- 針對授權,請使用 Identity Experience Framework (IEF) 範例使用者旅程圖
- 對雲端原生環境使用原則式控制
若要深入了解,請參閱適用於開發人員的課程:取得 Azure AD B2C 專業知識 Microsoft 身分識別 PDF。
- 識別存取應用程式的角色
- 定義您目前和未來如何管理系統權限和權利
- 確認您有權限存放區,以及是否有權限要新增到目錄中
- 定義如何管理委派管理
- 驗證您的應用程式會呼叫 API 管理員 (APIM)
- 向應用程式發出權杖之前,可能需要來自 IdP 的呼叫
AAD B2C 專案從一個或多個用戶端應用程式開始。
- CIAM 部署中包含的應用程式
- 使用中的應用程式
- 例如:網頁應用程式、API、單頁應用程式 (SPA) 或原生行動應用程式
- 使用中的驗證:
- 例如:與安全性聲明標記語言 (SAML) 或 OIDC 同盟的表單
- 如果是 OIDC,請確認回應類型:code 或 id_token
- 決定前端和後端應用程式的託管位置:內部部署、雲端或混合式雲端
- 確認使用中的平台或語言:
- 驗證儲存使用者屬性的位置
- 例如:輕量型目錄存取通訊協定 (LDAP) 或資料庫
- 確認存取應用程式的使用者數目
- 判斷需要的 IdP 類型:
- 列出您的應用程式、Azure AD B2C 和 IdP 需要的宣告結構描述 (如果適用)
- 決定登入和註冊期間要收集的資訊
請使用下列檢查清單將應用程式上線
下列檢查清單適用於交付項目。
請使用下列檢查清單來增強應用程式安全性。
- 驗證方法,例如多重要素驗證:
- 確認使用反 Bot 機制
- 評定嘗試建立詐騙帳戶或登入的風險
- 確認登入或註冊過程中需要的條件式態勢
條件式存取和 Microsoft Entra ID Protection
- 現代的安全界限已延伸到組織的網路之外。 周邊包括使用者和裝置身分識別。
- 使用 Microsoft Entra ID Protection 增強 Azure AD B2C 的安全性
為了協助滿足法規需求,並增強後端系統安全性,您可以使用虛擬網路 (VNet)、IP 限制、Web 應用程式防火牆等等。 請考量下列需求:
- 您的法規合規性需求
- 例如:支付卡產業資料安全性標準 (PCI DSS)
- 請前往 pcisecuritystandards.org 以深入了解 PCI 安全性標準委員會
- 將資料儲存體放入不同的資料庫存放區
請使用下列檢查清單來定義使用者體驗需求。
- 識別整合對象,以擴充 CIAM 功能並建立順暢的終端使用者體驗
- 使用螢幕擷取畫面和使用者案例,展示應用程式終端使用者體驗
- 例如:登入、註冊、註冊/登入 (SUSI)、設定檔編輯和密碼重設的螢幕擷取畫面
- 在 CIAM 解決方案中,尋找使用查詢字串參數傳遞的提示
- 為打造自訂程度高的使用者體驗,請考慮使用前端開發人員
- 在 Azure AD B2C 中,您可以自訂 HTML 和 CSS
- 使用 iframe 支援實作內嵌體驗:
- 請參閱內嵌的註冊或登入體驗
- 若是單頁應用程式,請使用會載入
<iframe>
元素中的第二個登入 HTML 頁面
請在監視、稽核和記錄時使用下列檢查清單。
Azure Active Directory B2C 的建議和最佳做法