Kurz: Konfigurace bezklíčového kódu pomocí Azure Active Directory B2C

  • Článek

Zjistěte, jak nakonfigurovat Azure Active Directory B2C (Azure AD B2C) pomocí řešení bez hesla Sift Keyless. Se Azure AD B2C jako zprostředkovatel identity (IdP) a integrujte bezklíčové ověřování se zákaznickými aplikacemi, abyste mohli poskytovat ověřování bez hesla. Bezklíčový Zero-Knowledge Biometric (ZKB) je vícefaktorové ověřování bez hesla, které pomáhá eliminovat podvody, útoky phishing a opakované použití přihlašovacích údajů a současně zlepšuje uživatelské prostředí a chrání soukromí.

Přejděte na keyless.io, kde najdete informace o:

Požadavky

Abyste mohli začít, budete potřebovat:

Popis scénáře

Integrace bez klíčů zahrnuje následující komponenty:

  • Azure AD B2C – autorizační server, který ověřuje přihlašovací údaje uživatele. Označuje se také jako zprostředkovatele identity.
  • Webové a mobilní aplikace – mobilní nebo webové aplikace k ochraně bez klíčů a Azure AD B2C
  • Mobilní aplikace Authenticator bez klíčů – mobilní aplikace Sift pro ověřování v aplikacích s podporou Azure AD B2C

Následující diagram architektury znázorňuje implementaci.

Obrázek znázorňující diagram architektury bez klíčů

  1. Uživatel se zobrazí na přihlašovací stránce. Uživatel vybere přihlášení/registraci a zadá uživatelské jméno.
  2. Aplikace odesílá atributy uživatele do Azure AD B2C k ověření identity.
  3. Azure AD B2C odesílá atributy uživatele do funkce Keyless k ověření.
  4. Bez klíčů odešle nabízené oznámení na mobilní zařízení zaregistrované uživatelem k ověření– biometrické skenování obličeje.
  5. Uživatel odpoví na nabízené oznámení a má udělený nebo odepřený přístup.

Přidání zprostředkovatele identity, konfigurace zprostředkovatele identity a vytvoření zásady toku uživatele

V následujících částech můžete přidat zprostředkovatele identity, nakonfigurovat zprostředkovatele identity a vytvořit zásady toku uživatele.

Přidání nového zprostředkovatele identity

Přidání nového zprostředkovatele identity:

  1. Přihlaste se k Azure Portal jako globální správce tenanta Azure AD B2C.
  2. Vyberte Adresáře a předplatná.
  3. Na stránce Nastavení portálu, Adresáře a předplatná najděte v seznamu Název adresáře svůj adresář Azure AD B2C.
  4. Vyberte Přepnout.
  5. V levém horním rohu Azure Portal vyberte Všechny služby.
  6. Vyhledejte a vyberte Azure AD B2C.
  7. Přejděte na Řídicí panel>Zprostředkovatelé identityAzure Active Directory B2C>.
  8. Vyberte Zprostředkovatelé identity.
  9. Vyberte Přidat.

Konfigurace zprostředkovatele identity

Konfigurace zprostředkovatele identity:

  1. Vyberte Typ >zprostředkovatele identityOpenID Connect (Preview).
  2. V části Název vyberte Bez klíčů.
  3. Do pole Adresa URL metadat vložte identifikátor URI hostované aplikace ověřování bez klíčů následovaný cestou, například https://keyless.auth/.well-known/openid-configuration.
  4. V části Tajný klíč klienta vyberte tajný klíč přidružený k instanci ověřování bez klíčů. Tajný klíč se použije později v konfiguraci kontejneru bez klíčů.
  5. Jako ID klienta vyberte ID klienta. ID klienta se použije později v konfiguraci kontejneru bez klíčů.
  6. V části Obor vyberte openid.
  7. Jako Typ odpovědi vyberte id_token.
  8. V části Režim odpovědi vyberte form_post.
  9. Vyberte OK.
  10. Vyberte Mapovat deklarace identity tohoto zprostředkovatele identity.
  11. Jako UserID (ID uživatele) vyberte From subscription (Z předplatného).
  12. Jako Zobrazovaný název vyberte Z předplatného.
  13. V části Režim odpovědi vyberte Z předplatného.
  14. Vyberte Uložit.

Vytvoření zásady toku uživatele

Bez klíčů se zobrazí jako nový zprostředkovatel identity OpenID Connect (OIDC) se zprostředkovateli identity B2C.

  1. Otevřete tenanta Azure AD B2C.
  2. V části Zásady vyberte Toky uživatelů.
  3. Vyberte Nový tok uživatele.
  4. Vyberte Zaregistrovat se a přihlásit se.
  5. Vyberte verzi.
  6. Vyberte Vytvořit.
  7. Zadejte Název zásady.
  8. V části Zprostředkovatelé identity vyberte vytvořeného zprostředkovatele identity bez klíčů.
  9. Zadejte název.
  10. Vyberte zprostředkovatele identity, který jste vytvořili.
  11. Přidejte e-mailovou adresu. Azure nepřesměruje přihlášení na bezklíčové řešení. zobrazí se obrazovka s možností uživatele.
  12. Ponechte pole Multi-Factor Authentication .
  13. Vyberte Vynutit zásady podmíněného přístupu.
  14. V části Atributy uživatele a deklarace identity tokenů v možnosti Shromáždit atribut vyberte Email Adresa.
  15. Přidejte atributy uživatele, Microsoft Entra ID shromažďuje s deklaracemi identity, Azure AD B2C vrátí do klientské aplikace.
  16. Vyberte Vytvořit.
  17. Vyberte nový tok uživatele.
  18. Na levém panelu vyberte Deklarace identity aplikací.
  19. V části Možnosti zaškrtněte políčko e-mail .
  20. Vyberte Uložit.

Testování toku uživatele

  1. Otevřete tenanta Azure AD B2C.
  2. V části Zásady vyberte Architektura prostředí identit.
  3. Vyberte vytvořený SignUpSignIn.
  4. Vyberte Spustit tok uživatele.
  5. V části Aplikace vyberte zaregistrovanou aplikaci (příklad je JWT).
  6. Jako Adresa URL odpovědi vyberte adresu URL pro přesměrování.
  7. Vyberte Spustit tok uživatele.
  8. Dokončete tok registrace a vytvořte účet.
  9. Po vytvoření atributu uživatele je během toku volána funkce Keyless.

Pokud je tok neúplný, ověřte, že uživatel je nebo není uložený v adresáři.

Další kroky