具復原性的終端使用者體驗
註冊和登入終端使用者體驗是由下列元素所組成:
使用者互動的介面 (例如 CSS、HTML 和 JavaScript)
您所建立的使用者流程和自訂原則 (例如註冊、登入和設定檔編輯)
應用程式的識別提供者 (IDP),例如本機帳戶使用者名稱/密碼、Outlook、Facebook 和 Google
在使用者流程與自訂原則之間進行選擇
為協助您設定最常見的身分識別工作,Azure AD B2C 提供內建的可設定使用者流程。 您也可以建置自己的自訂原則,以為您提供最大的彈性。 不過,建議您只使用自訂原則來處理複雜的案例。
如何在使用者流程與自訂原則之間做決定
請選擇內建的使用者流程 (如果其可符合您的業務需求)。 因為經過 Microsoft 廣泛測試,所以您可以將驗證這些身分識別使用者流程的原則層級功能、效能或規模的測試降至最低。 您仍然需要測試應用程式的功能、效能和規模。
如果您因為業務需求而選擇自訂原則,請務必針對功能、效能或規模執行原則層級測試,以及應用層級測試。
請參閱比較使用者流程和自訂原則的文章,以協助您決定。
選擇多個 IDP
使用外部識別提供者 (例如 Facebook) 時,請務必在外部提供者變成無法使用時,擁有後援方案。
如何設定多個 IDP
做為外部識別提供者註冊程序的一部分,請包含已驗證的身分識別宣告,例如使用者的行動電話號碼或電子郵件地址。 將已驗證的宣告認可至基礎 Azure AD B2C 目錄執行個體。 如果外部提供者無法使用,請還原為已驗證的身分識別宣告,並切換回電話號碼做為驗證方法。 另一個選項是將一次性密碼傳送給使用者以允許使用者登入。
遵循下列步驟來建置替代的驗證路徑:
設定您的註冊原則,以允許本機帳戶和外部 IDP 註冊。
設定設定檔原則,以允許使用者在登入後將其他身分識別連結至其帳戶。
通知並允許使用者在中斷期間切換至替代 IDP。
多重要素驗證的可用性
使用電話語音進行多重要素驗證 (MFA) 時,請務必考慮使用替代服務提供者。 當地的電訊或電話服務提供者可能會在服務中遭遇中斷。
如何選擇替代 MFA
Azure AD B2C 服務會使用內建的電話型 MFA 提供者,以提供限時單次密碼 (OTP)。 它會以語音電話和文字訊息的形式呈現給使用者的預先註冊的電話號碼。 下列替代方法適用於各種案例:
當您使用使用者流程時,有兩種方法可以建置復原能力:
- 變更使用者流程設定:偵測到限時 OTP 傳遞發生中斷時,請將 OTP 傳遞方法從電話型改為電子郵件型,並重新部署使用者流程,使應用程式保持不變。
- 變更應用程式:針對每個身分識別工作 (例如註冊和登入),定義兩組使用者流程。 設定第一組是使用電話型 OTP,第二組則是使用電子郵件型 OTP。 偵測到電話型 OTP 傳遞發生中斷時,請變更並重新部署應用程式,以從第一組使用者流程切換至第二組,讓使用者流程保持不變。
當您使用 [自訂原則] 時,有四種方法可建置復原能力。 以下清單是以複雜性排序,您將需要重新部署更新的原則。
允許使用者選取電話型 OTP 或電子郵件型 OTP:對使用者公開這兩個選項,並讓使用者自行選取其中一個選項。 不需要對原則或應用程式進行變更。
在電話型 OTP 與電子郵件型 OTP 之間動態切換:在註冊時收集電話和電子郵件資訊。 預先定義自訂原則,以在電話中斷期間有條件地切換,從電話型到電子郵件型 OTP 傳遞。 不需要對原則或應用程式進行變更。
使用 Authenticator 應用程式:更新自訂原則以使用 Authenticator 應用程式。 如果您的一般 MFA 是電話型或電子郵件型 OTP,則請重新部署自訂原則,以切換為使用 Authenticator 應用程式。
注意
使用者必須在註冊期間設定 Authenticator 應用程式整合。
- 使用安全性問題:如果上述方法都不適用,請實作安全性問題做為備份。 在上線或設定檔編輯期間設定使用者的安全性問題,並將答案儲存在目錄以外的另一個資料庫中。 此方法不符合「您所擁有的」(例如電話) 的 MFA 需求,但會提供次要「您知道的」。
使用內容傳遞網路
內容傳遞網路 (CDN) 效能較佳,而且比 blob 存放區更便宜,可用於儲存自訂的使用者流程 UI。 網頁內容的傳遞速度比依地理位置散發的高可用性伺服器網路更快。
透過端對端案例和負載測試,定期測試您的 CDN 的可用性和內容發佈效能。 如果您要為即將而來的促銷或假日流量爆量做規劃,請修改您的估計值來進行負載測試。
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應