Azure Active Directory B2C-Bereitstellungspläne

Azure Active Directory B2C (Azure AD B2C) ist eine Lösung für die Identitäts- und Zugriffsverwaltung, die die Integration in Ihre Infrastruktur vereinfachen kann. Im folgenden Leitfaden werden Anforderungen und Konformitätsaspekte für eine Azure AD B2C-Bereitstellung erläutert.

Planen einer Azure AD B2C-Bereitstellung

Anforderungen

• Bewerten Sie den Hauptgrund für das Deaktivieren von Systemen.
  • Weitere Informationen finden Sie unter Was ist Azure Active Directory B2C?.
• Planen Sie bei einer neuen Anwendung das CIAM-System (Customer Identity Access Management).
  • Weitere Informationen finden Sie unter Planung und Entwurf.
• Ermitteln Sie Kundenstandorte, und erstellen Sie einen Mandanten im entsprechenden Rechenzentrum.
  • Weitere Informationen finden Sie unter Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten.
• Bestätigen Sie Ihre Anwendungstypen und unterstützten Technologien:
  • Übersicht über die Microsoft-Authentifizierungsbibliothek (MSAL)
  • Entwickeln Sie in Azure mit Open-Source-Sprachen, -Frameworks, -Datenbanken und -Tools Ihrer Wahl.
  • Verwenden Sie für Back-End-Dienste den Flow für Clientanmeldeinformationen.
• Migrieren von einem Identitätsanbieter (identity provider, IdP):
  • Nahtlose Migration
  • Besuchen Sie user-migration.
• Wählen Sie Protokolle aus.
  • Wenn Sie Kerberos, Microsoft Windows NT LAN Manager (NTLM) und den Webdiensteverbund (WS-Fed) verwenden, sehen Sie sich das Video Anwendungs- und Identitätsmigration zu Azure AD B2C an

Nach der Migration können Ihre Anwendungen moderne Identitätsprotokolle wie Open Authorization (OAuth) 2.0 und OpenID Connect (OIDC) unterstützen.

Projektbeteiligte

Der Erfolg eines Technologieprojekts hängt vom Umgang mit Erwartungen, Ergebnissen und Zuständigkeiten ab.

• Identifizieren Sie den Anwendungsarchitekten, den technischen Programmleiter und den Besitzer.
• Erstellen einer Verteilerliste für die Kommunikation mit dem Microsoft-Kontoteam oder dem Entwicklungsteam.
  • Stellen Sie Fragen, und erhalten Sie Antworten und Benachrichtigungen.
• Identifizieren Sie einen Partner oder eine Ressource außerhalb Ihrer Organisation, der bzw. die Sie unterstützen kann.

Weitere Informationen finden Sie unter Azure Active Directory-Bereitstellungspläne.

Kommunikation

Kommunizieren Sie proaktiv und regelmäßig mit Ihren Benutzern über anstehende und aktuelle Änderungen. Informieren Sie sie darüber, wie und wann sich die Umgebung ändert, und geben Sie einen Supportkontakt an.

Zeitpläne

Tragen Sie dazu bei, realistische Erwartungen zu etablieren, und erstellen Sie Alternativpläne, um wichtige Meilensteine zu erreichen:

• Pilotdatum
• Startdatum
• Daten, die sich auf die Bereitstellung auswirken
• Abhängigkeiten

Implementieren einer Azure AD B2C-Bereitstellung

• Bereitstellen von Anwendungen und Benutzeridentitäten: Stellen Sie die Clientanwendung bereit, und migrieren Sie Benutzeridentitäten.
• Onboarding der Clientanwendung und Ziele: Führen Sie das Onboarding der Clientanwendung durch, und testen Sie die Lösung.
• Sicherheit: Verbessern Sie die Sicherheit der Identitätslösung.
• Compliance: Erfüllen Sie gesetzliche Anforderungen.
• Benutzerfreundlichkeit: Ermöglichen Sie einen benutzerfreundlichen Dienst.

Bereitstellen von Authentifizierung und Autorisierung

• Damit Ihre Anwendungen mit Azure AD B2C interagieren können, müssen sie in einem von Ihnen verwalteten Mandanten registriert werden.
  • Weitere Informationen finden Sie unter Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten.
• Verwenden Sie für die Autorisierung die exemplarischen IEF-User Journeys (Identity Experience Framework).
  • Weitere Informationen finden Sie unter Azure Active Directory B2C: Benutzerdefinierte CIAM-User Journeys.
• Verwenden Sie für cloudnative Umgebungen eine richtlinienbasierte Steuerung.
  • Informieren Sie sich auf „openpolicyagent.org“ über Open Policy Agent (OPA).

Weitere Informationen finden Sie im Microsoft Identity-PDF Fachwissen in Azure AD B2C gewinnen: Ein Kurs für Entwickler.

Prüfliste für Personas, Berechtigungen, Delegierung und Aufrufe

• Identifizieren Sie die Personas, die auf Ihre Anwendung zugreifen.
• Definieren Sie die aktuelle und zukünftige Verwaltung von (System-)Berechtigungen.
• Vergewissern Sie sich, dass Sie über einen Berechtigungsspeicher verfügen, und überprüfen Sie, ob dem Verzeichnis Berechtigungen hinzugefügt werden müssen.
• Definieren Sie die Verwaltung der delegierten Administration.
  • Beispiel: Die Kundenverwaltung Ihrer Kunden
• Vergewissern Sie sich, dass Ihre Anwendung einen API-Manager (APIM) aufruft.
  • Möglicherweise sind Aufrufe vom IdP erforderlich, bevor ein Token für die Anwendung ausgestellt wird.

Bereitstellen von Anwendungen und Benutzeridentitäten

Azure AD B2C-Projekte beginnen mit mindestens einer Clientanwendung.

• Neue Benutzeroberfläche für App-Registrierungen in Azure Active Directory B2C
  • Informationen zur Implementierung finden Sie in den Azure Active Directory B2C-Codebeispielen.
• Richten Sie Ihre User Journey basierend auf benutzerdefinierten Benutzerflows ein.
  • Vergleichen von Benutzerflows mit benutzerdefinierten Richtlinien
  • Hinzufügen eines Identitätsanbieters zu Ihrem Azure Active Directory B2C-Mandanten
  • Migrieren von Benutzern zu Azure AD B2C
  • Erweiterte Szenarien finden Sie unter Azure Active Directory B2C: Benutzerdefinierte CIAM-User Journeys.

Prüfliste für die Anwendungsbereitstellung

• In der CIAM-Bereitstellung enthaltene Anwendungen
• Verwendete Anwendungen
  • Beispielsweise Webanwendungen, APIs, Single-Page-Webanwendungen (SPAs) oder native mobile Anwendungen
• Verwendete Authentifizierung:
  • Formulare, die z. B. mit SAML (Security Assertion Markup Language) oder OIDC verbunden sind
  • Überprüfen Sie bei Verwendung von OIDC den Antworttyp: „code“ oder „id_token“.
• Bestimmen Sie, wo Front-End- und Back-End-Anwendungen gehostet werden: lokal, in der Cloud oder in einer Hybrid Cloud-Umgebung.
• Überprüfen Sie die verwendeten Plattformen oder Programmiersprachen:
  • Beispiele: ASP.NET, Java und Node.js
  • Weitere Informationen finden Sie unter Schnellstart: Einrichten der Anmeldung für eine ASP.NET-Anwendung unter Verwendung von Azure Active Directory B2C.
• Überprüfen Sie, wo Benutzerattribute gespeichert werden.
  • Beispiele: Lightweight Directory Access Protocol (LDAP) oder Datenbanken

Prüfliste für die Bereitstellung von Benutzeridentitäten

• Überprüfen Sie die Anzahl von Benutzern, die auf Anwendungen zugreifen.
• Ermitteln Sie die benötigten IdP-Typen:
  • Beispiele: Facebook, lokales Konto und Active Directory-Verbunddienste (AD FS)
  • Weitere Informationen finden Sie unter Active Directory-Verbunddienste (AD FS).
• Skizzieren Sie das erforderliche Anspruchsschema für Ihre Anwendung, Azure AD B2C und ggf. IdPs.
  • Weitere Informationen finden Sie unter ClaimsSchema.
• Bestimmen Sie die Informationen, die bei der Anmeldung und Registrierung erfasst werden sollen.
  • Einrichten eines Registrierungs- und Anmeldeflows in Azure Active Directory B2C

Onboarding von Clientanwendungen und Ergebnisse

Verwenden Sie die folgende Prüfliste für das Onboarding einer Anwendung:

Bereich	BESCHREIBUNG
Zielbenutzergruppe der Anwendung	Wählen Sie zwischen Endkunden, Geschäftskunden und einem digitalen Dienst. Ermitteln Sie, ob Mitarbeiteranmeldungen benötigt werden.
Geschäftlicher Nutzen der Anwendung	Untersuchen Sie den geschäftlichen Bedarf oder das geschäftliche Ziel, um die beste Azure AD B2C-Lösung und -Integration in andere Clientanwendungen zu ermitteln.
Ihre Identitätsgruppen	Fassen Sie Identitäten für IoT-Geräteanmeldungen und Dienstkonten in Gruppen mit Anforderungen wie B2C (Business-to-Consumer), B2B (Business-to-Business), B2E (Business-to-Employee) und B2M (Business-to-Machine) zusammen.
Identitätsanbieter (Identity Provider, IdP)	Weitere Informationen finden Sie unter Auswählen eines Identitätsanbieters. Verwenden Sie beispielsweise für eine mobile C2C-App (Customer-to-Customer) einen einfachen Anmeldeprozess. Bei B2C mit digitalen Diensten müssen Complianceanforderungen erfüllt werden. Erwägen Sie eine Anmeldung per E-Mail-Adresse.
Gesetzliche Einschränkungen	Ermitteln Sie, ob Remoteprofile oder Datenschutzrichtlinien erforderlich sind.
Anmelde- und Registrierungsflow	Überprüfen Sie die E-Mail-Überprüfung oder die E-Mail-Überprüfung während der Registrierung. Informationen zu Auscheckprozessen finden Sie unter Funktionsweise: Microsoft Entra mehrstufige Authentifizierung. Sehen Sie sich das Video Azure AD B2C-Benutzermigration mithilfe der Microsoft Graph-API an.
Anwendungs- und Authentifizierungsprotokoll	Implementieren Sie Clientanwendungen wie Webanwendungen, Single-Page-Webanwendungen (SPAs) oder native Anwendungen. Authentifizierungsprotokolle für Clientanwendungen und Azure AD B2C: OAuth, OIDC und SAML. Sehen Sie sich das Video Schützen von Web-APIs mit Microsoft Entra-ID an.
Benutzermigration	Überprüfen Sie, ob Sie Benutzer zu Azure AD B2C migrieren: JIT-Migration (Just-In-Time) und Massenimport/-export. Sehen Sie sich das Video Strategien für die Azure AD B2C-Benutzermigration an.

Verwenden Sie die folgende Prüfliste für die Bereitstellung:

Bereich	BESCHREIBUNG
Protokollinformationen	Erfassen Sie Basispfad, Richtlinien und Metadaten-URL beider Varianten. Geben Sie Attribute wie Beispielanmeldung, Clientanwendungs-ID, Geheimnisse und Umleitungen an.
Anwendungsbeispiele	Weitere Informationen finden Sie unter Azure Active Directory B2C-Codebeispiele.
Penetrationstests	Informieren Sie Ihr Betriebsteam über Penetrationstests, und testen Sie dann Benutzerflows (einschließlich der OAuth-Implementierung). Weitere Informationen finden Sie unter Penetrationstests sowie unter Einsatzregeln für Penetrationstests.
Komponententest	Führen Sie Komponententests durch, und generieren Sie Token. Weitere Informationen finden Sie unter Microsoft Identity Platform und OAuth 2.0-Kennwortanmeldeinformationen des Ressourcenbesitzers. Sollte bei Ihnen der Grenzwert für Azure AD B2C-Token erreicht werden, lesen Sie Azure Active Directory B2C: Senden von Supportanfragen. Verwenden Sie Token wieder, um Untersuchungen für Ihre Infrastruktur zu verringern. Einrichten eines Flows für Kennwortanmeldeinformationen von Ressourcenbesitzern in Azure Active Directory B2C Sie sollten den ROPC-Fluss nicht verwenden, um Benutzer in Ihren Apps zu authentifizieren.
Auslastungstests	Informieren Sie sich über Dienstlimits und -einschränkungen für Azure Active Directory B2C. Berechnen Sie die erwarteten Authentifizierungen und Benutzeranmeldungen pro Monat. Bewerten Sie die Dauer von Datenverkehr mit hoher Auslastung sowie geschäftliche Gründe: Feiertage, Migrationen und Veranstaltungen. Bestimmen Sie erwartete Spitzenraten für Registrierungen, Datenverkehr und geografische Verteilung (beispielsweise pro Sekunde).

Sicherheit

Verwenden Sie die folgende Prüfliste, um die Anwendungssicherheit zu verbessern:

• Authentifizierungsmethode wie etwa die Multi-Faktor-Authentifizierung:
  • Multi-Faktor-Authentifizierung wird für Benutzer empfohlen, die hochwertige Transaktionen oder andere Risikoereignisse auslösen. Beispiele wären etwa Bank-, Finanz- und Auscheckprozesse.
  • Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?
• Vergewissern Sie sich, dass Anti-Bot-Mechanismen verwendet werden.
• Bewerten Sie das Risiko von Versuchen, betrügerische Konten oder Anmeldedaten zu erstellen.
  • Weitere Informationen finden Sie unter Tutorial: Konfigurieren von Microsoft Dynamics 365 Fraud Protection mit Azure Active Directory B2C.
• Überprüfen Sie den Bedarf für bedingte Status im Rahmen von Anmeldungen oder Registrierungen.

Bedingter Zugriff und Identitätsschutz

• Der moderne Sicherheitsperimeter geht jetzt über das Netzwerk einer Organisation hinaus und schließt Benutzer- und Geräteidentitäten ein.
  • Lesen Sie auch Was ist bedingter Zugriff?
• Verbessern der Sicherheit von Azure AD B2C mit Microsoft Entra ID Protection
  • Weitere Informationen finden Sie unter Identity Protection und bedingter Zugriff in Azure AD B2C.

Kompatibilität

Um gesetzliche Anforderungen zu erfüllen und die Sicherheit des Back-End-Systems zu verbessern, können Sie unter anderem virtuelle Netzwerke (VNets), IP-Einschränkungen, Web Application Firewall (WAF) usw. verwenden. Berücksichtigen Sie folgende Anforderungen:

• Die Anforderungen zur Einhaltung gesetzlicher Bestimmungen
  • Beispiel: PCI-DSS (Payment Card Industry Data Security Standard)
  • Weitere Informationen zum PCI Security Standards Council finden Sie auf „pcisecuritystandards.org“.
• Datenspeicherung in einem separaten Datenbankspeicher
  • Ermitteln Sie, ob diese Informationen in das Verzeichnis geschrieben werden können.

Benutzerfreundlichkeit

Verwenden Sie die folgende Prüfliste, um die Anforderungen im Zusammenhang mit der Benutzerfreundlichkeit zu definieren:

• Identifizieren Sie Integrationen, um die CIAM-Funktionen zu erweitern und nahtlose Endbenutzererfahrungen zu schaffen.
  • Unabhängiger Softwarehersteller für Azure Active Directory B2C
• Verwenden Sie Screenshots und User Storys, um die Endbenutzererfahrung für die Anwendung zu veranschaulichen.
  • Beispielsweise Screenshots für Anmeldung, Registrierung, kombinierte Registrierung/Anmeldung (sign-up/sign-in, SUSI), Profilbearbeitung und Kennwortzurücksetzung
• Suchen Sie mithilfe von Abfragezeichenfolgenparametern in Ihrer CIAM-Lösung nach übergebenen Hinweisen.
• Verwenden Sie für eine übergeordnete Anpassung der Benutzererfahrung ggf. einen Front-End-Entwickler.
• In Azure AD B2C können HTML und CSS angepasst werden.
  • Weitere Informationen finden Sie unter Richtlinien für die Verwendung von JavaScript.
• Implementieren Sie eine eingebettete Umgebung unter Verwendung von iFrame-Unterstützung:
  • Weitere Informationen finden Sie unter Eingebettetes Registrierungs- oder Anmeldeverfahren.
  • Verwenden Sie bei einer Single-Page-Webanwendung eine zweite HTML-Anmeldeseite, die in das Element <iframe> geladen wird.

Überwachung, Überprüfung und Protokollierung

Verwenden Sie die folgende Prüfliste für die Überwachung, Überprüfung und Protokollierung:

• Überwachung
  • Überwachen von Azure AD B2C mit Azure Monitor
  • Sehen Sie sich das Video Überwachung und Berichterstellung für Azure AD B2C mithilfe von Azure Monitor an
• Überwachung und Protokollierung
  • Zugriff auf Active Directory B2C-Überwachungsprotokolle

Ressourcen

• Registrieren einer Microsoft Graph-Anwendung
• Verwalten von Azure AD B2C mit Microsoft Graph
• Bereitstellen benutzerdefinierter Richtlinien mit Azure Pipelines
• Verwalten von benutzerdefinierten Azure AD B2C-Richtlinien mit Azure PowerShell

Nächste Schritte

Empfehlungen und bewährte Methoden für Azure Active Directory B2C