Sdílet prostřednictvím


Doporučení a osvědčené postupy pro Azure Active Directory B2C

Následující osvědčené postupy a doporučení zahrnují některé z hlavních aspektů integrace Azure Active Directory (Azure AD) B2C do stávajících nebo nových aplikačních prostředí.

Základy

Osvědčený postup Popis
Volba toků uživatelů pro většinu scénářů Základní silnou stránkou služby je architektura prostředí identit Azure AD B2C. Zásady plně popisují prostředí identit, jako je registrace, přihlášení nebo úpravy profilu. Portál Azure AD B2C obsahuje předdefinované konfigurovatelné zásady označované jako toky uživatelů, které vám pomůžou nastavit nejběžnější úlohy identit. Díky tokům uživatelů můžete během několika minut vytvořit skvělé uživatelské prostředí. Stačí pár kliknutí. Zjistěte, kdy používat toky uživatelů a vlastní zásady.
Registrace aplikací Všechny aplikace (webové, nativní) a rozhraní API, které jsou zabezpečené, musí být zaregistrované v Azure AD B2C. Pokud má aplikace webovou i nativní verzi ios a Android, můžete je zaregistrovat jako jednu aplikaci ve službě Azure AD B2C se stejným ID klienta. Naučte se registrovat OIDC, SAML, web a nativní aplikace. Přečtěte si další informace o typech aplikací, které je možné použít v Azure AD B2C.
Přechod na měsíční fakturaci aktivních uživatelů Azure AD B2C se přesunula z měsíčních aktivních ověřování na měsíční fakturaci aktivních uživatelů (MAU). Většina zákazníků najde tento model nákladově efektivní. Přečtěte si další informace o měsíční fakturaci aktivních uživatelů.

Plánování a návrh

Definujte architekturu aplikací a služeb, aktuální systémy inventáře a naplánujte migraci do Azure AD B2C.

Osvědčený postup Popis
Návrh komplexního řešení Při plánování integrace Azure AD B2C zahrňte všechny závislosti vašich aplikací. Zvažte všechny služby a produkty, které jsou aktuálně ve vašem prostředí nebo které můžou být potřeba přidat do řešení (například Azure Functions, systémy správy vztahů se zákazníky (CRM), brána služby Azure API Management a služby úložiště). Vezměte v úvahu zabezpečení a škálovatelnost všech služeb.
Zdokumentujte prostředí uživatelů Podrobně popište všechny cesty uživatelů, které vaši zákazníci můžou ve vaší aplikaci zaznamenat. Zahrňte každou obrazovku a všechny toky větvení, se kterými se můžou setkat při interakci s aspekty identity a profilu vaší aplikace. Do plánování můžete zahrnout použitelnost, přístupnost a lokalizaci.
Volba správného ověřovacího protokolu Rozpis různých scénářů aplikace a jejich doporučených toků ověřování najdete v tématu Scénáře a podporované toky ověřování.
Pilotní prostředí pro testování konceptu (POC) pro koncové uživatele Začněte s ukázkami kódu Microsoftu a ukázkami komunity.
Vytvoření plánu migrace Plánováním dopředu se migrace může usnadnit. Přečtěte si další informace o migraci uživatelů.
Použitelnost vs. zabezpečení Vaše řešení musí zajistit správnou rovnováhu mezi použitelností aplikace a přijatelnou úrovní rizika vaší organizace.
Přesun místních závislostí do cloudu Pokud chcete zajistit odolné řešení, zvažte přesun stávajících závislostí aplikací do cloudu.
Migrace existujících aplikací do b2clogin.com Vyřazení login.microsoftonline.com bude platit pro všechny tenanty Azure AD B2C dne 4. prosince 2020. Další informace.
Použití ochrany identit a podmíněného přístupu Tyto funkce můžete využít k výrazně větší kontrole nad rizikovými ověřováními a zásadami přístupu. Vyžaduje se Azure AD B2C Premium P2. Další informace.
Velikost tenanta Je potřeba naplánovat velikost tenanta Azure AD B2C. Ve výchozím nastavení může tenant Azure AD B2C pojmout 1,25 milionu objektů (uživatelské účty a aplikace). Tento limit můžete zvýšit na 5,25 milionů objektů přidáním vlastní domény do tenanta a jeho ověřením. Pokud potřebujete větší velikost tenanta, musíte kontaktovat podporu.
Použití ochrany identit a podmíněného přístupu Tyto funkce můžete využít k větší kontrole nad rizikovými ověřováními a zásadami přístupu. Vyžaduje se Azure AD B2C Premium P2. Další informace.

Implementace

Během fáze implementace zvažte následující doporučení.

Osvědčený postup Popis
Úprava vlastních zásad pomocí rozšíření Azure AD B2C pro Visual Studio Code Stáhněte si Visual Studio Code a toto komunitní rozšíření z webu Visual Studio Code Marketplace. I když není oficiálním produktem Microsoftu, rozšíření Azure AD B2C pro Visual Studio Code obsahuje několik funkcí, které usnadňují práci s vlastními zásadami.
Informace o řešení potíží s Azure AD B2C Zjistěte, jak řešit potíže s vlastními zásadami během vývoje. Zjistěte, jak normální tok ověřování vypadá, a použijte nástroje pro zjišťování anomálií a chyb. Pomocí Přehledy aplikace můžete například zkontrolovat výstupní protokoly cest uživatelů.
Využití naší knihovny osvědčených vzorů vlastních zásad Projděte si ukázky pro vylepšené cesty uživatelů azure AD B2C pro správu identit a přístupu (CIAM).

Testování

Otestujte a automatizujte implementaci Azure AD B2C.

Osvědčený postup Popis
Účet pro globální provoz K otestování požadavků na výkon a lokalizaci použijte zdroje provozu z různých globálních adres. Ujistěte se, že všechny soubory HTM, CSS a závislosti splňují vaše požadavky na výkon.
Funkční testování a testování uživatelského rozhraní Otestujte koncové toky uživatelů. Přidejte syntetické testy každých několik minut pomocí Selenium, VS Web Test atd.
Testování perem Než začnete pracovat s vaším řešením, proveďte cvičení penetračního testování, abyste ověřili, že jsou všechny komponenty zabezpečené, včetně závislostí třetích stran. Ověřte, že jste svá rozhraní API zabezpečili pomocí přístupových tokenů a použili správný ověřovací protokol pro váš scénář aplikace. Přečtěte si další informace o penetračním testování a pravidlech jednotného penetračního testování v cloudu Microsoftu.
Testování A/B Před zavedením pro celou populaci zachovejte nové funkce s malou náhodnou sadou uživatelů. S povoleným JavaScriptem v Azure AD B2C můžete integrovat s testovacími nástroji A/B, jako je Optimizely, Clarity a další.
Zátěžové testování Azure AD B2C se může škálovat, ale vaše aplikace se může škálovat jenom v případě, že se můžou škálovat všechny její závislosti. Zátěžový test rozhraní API a CDN Přečtěte si další informace o odolnosti prostřednictvím osvědčených postupů pro vývojáře.
Omezování Azure AD B2C omezuje provoz, pokud se během krátké doby odesílá příliš mnoho požadavků ze stejného zdroje. Během zátěžového testování používejte několik zdrojů provozu a kód chyby v aplikacích řádně zpracujte AADB2C90229 .
Automatizace Pomocí kanálů kontinuální integrace a doručování (CI/CD) můžete automatizovat testování a nasazení, například Azure DevOps.

Operace

Správa prostředí Azure AD B2C

Osvědčený postup Popis
Vytvoření více prostředí Pro snadnější provoz a nasazení vytvořte samostatná prostředí pro vývoj, testování, předprodukční a produkční prostředí. Vytvořte tenanty Azure AD B2C pro každou z nich.
Použití správy verzí pro vlastní zásady Zvažte použití GitHubu, Azure Repos nebo jiného cloudového systému správy verzí pro vlastní zásady Azure AD B2C.
Použití rozhraní Microsoft Graph API k automatizaci správy tenantů B2C Rozhraní Microsoft Graph API:
Správa architektury Identity Experience Framework (vlastní zásady)
Klíče
Toky uživatele
Integrace s Azure DevOps Kanál CI/CD usnadňuje přesouvání kódu mezi různými prostředími a zajišťuje připravenost produkčního prostředí vždy.
Nasazení vlastních zásad Azure AD B2C spoléhá na ukládání do mezipaměti pro zajištění výkonu koncovým uživatelům. Když nasadíte vlastní zásadu pomocí libovolné metody, můžete očekávat zpoždění až 30 minut , než se uživatelům změny zobrazí. V důsledku tohoto chování zvažte následující postupy při nasazování vlastních zásad:
– Pokud nasazujete do vývojového prostředí, nastavte DeploymentMode atribut do Development elementu <TrustFrameworkPolicy> souboru vlastních zásad.
– Nasaďte aktualizované soubory zásad do produkčního prostředí, když je provoz v aplikaci nízký.
– Když nasadíte do produkčního prostředí, abyste aktualizovali existující soubory zásad, nahrajte aktualizované soubory s novými názvy a pak aktualizujte odkaz aplikace na nové názvy. Potom můžete staré soubory zásad odebrat.
– Můžete nastavit DeploymentMode , aby Development se chování ukládání do mezipaměti vynechala v produkčním prostředí. Tento postup ale nedoporučujeme. Pokud s využitím služby Application Přehledy shromažďujete protokoly Azure AD B2C, shromažďují se všechny deklarace identity odesílané do zprostředkovatelů identit a z těchto zprostředkovatelů identity, což je riziko zabezpečení a výkonu.
Nasazení aktualizací registrace aplikací Při úpravě registrace aplikace v tenantovi Azure AD B2C, jako je například aktualizace identifikátoru URI přesměrování aplikace, můžete očekávat zpoždění až 2 hodiny (3600s), aby se změny projevily v produkčním prostředí. Pokud je provoz v aplikaci nízký, doporučujeme upravit registraci aplikace v produkčním prostředí.
Integrace se službou Azure Monitor Události protokolu auditu se uchovávají pouze sedm dní. Integrujte se službou Azure Monitor a zachovejte protokoly pro dlouhodobé použití nebo integrujte s nástroji pro správu událostí a informací o zabezpečení (SIEM) třetích stran, abyste získali přehled o vašem prostředí.
Nastavení aktivního upozorňování a monitorování Sledování chování uživatelů v Azure AD B2C pomocí Přehledy aplikací

Aktualizace podpory a stavu

Mějte přehled o stavu služby a najděte možnosti podpory.

Osvědčený postup Popis
Aktualizace služby Mějte přehled o aktualizacích a oznámeních o produktech Azure AD B2C.
podpora Microsoftu Vytvořte žádost o podporu pro technické problémy Azure AD B2C. Podpora k fakturaci a správě předplatného se poskytuje zadarmo.
Stav Azure Umožňuje zobrazit aktuální stav všech služeb Azure.