kurz: konfigurace ochrany proti podvodům v Microsoft Dynamics 365 pomocí Azure Active Directory B2C

v tomto ukázkovém kurzu se dozvíte, jak integrovat ochranu proti podvodům (DFP) Microsoft Dynamics 365 pomocí služby Azure Active Directory (AD) B2C.

Microsoft DFP poskytuje organizacím možnost posoudit riziko pokusů o vytvoření podvodných účtů a přihlášení. Společnost Microsoft DFP Assessment může být používána zákazníkem k blokování nebo výzvě podezřelých pokusů o vytvoření nových falešných účtů nebo k ohrožení stávajících účtů.

Tato ukázka předvádí, jak zahrnout otisky prstů zařízení Microsoft DFP a vytváření účtů a koncové body rozhraní API pro vyhodnocení přihlašování do vlastních zásad Azure AD B2C.

Požadavky

Abyste mohli začít, budete potřebovat:

Popis scénáře

Integrace Microsoft DFP zahrnuje tyto komponenty:

  • Azure AD B2C tenant: ověřuje uživatele a funguje jako klient služby Microsoft DFP. Hostuje skript pro otisky prstů shromažďováním identifikačních a diagnostických dat každého uživatele, který spouští cílovou zásadu. Pozdější bloky nebo výzvy k přihlášení nebo pokusy o registraci na základě výsledku vyhodnocení pravidla vráceného Microsoft DFPem.

  • Vlastní šablony uživatelského rozhraní: slouží k přizpůsobení obsahu HTML stránek vygenerovaných Azure AD B2C. Tyto stránky zahrnují fragment kódu JavaScriptu vyžadovaný pro otisky prstů Microsoft DFP.

  • Služba Microsoft DFP otisků prstů: dynamicky vložený skript, který zapisuje telemetrii zařízení a podrobnosti uživatele s vlastním uplatněním k vytvoření jednoznačně identifikovatelného otisku prstu pro uživatele, který se použije později v procesu rozhodování.

  • Koncové body rozhraní API pro Microsoft DFP: poskytuje výsledek rozhodnutí a přijímá konečný stav odrážející operaci prováděnou klientskou aplikací. Azure AD B2C komunikuje přímo s koncovými body Microsoft DFP pomocí konektorů REST API. K ověřování rozhraní API dochází prostřednictvím client_credentials udělení klientovi služby Azure AD, ve kterém je Microsoft DFP licencovaný a nainstalovaný, aby získal nosný token.

V následujícím diagramu architektury se zobrazuje implementace.

Obrázek znázorňuje diagram architektury ochrany před podvody Microsoft dynamics365

Krok Description
1. Uživatel dostane přihlašovací stránku. Uživatelé si vyberou přihlášení a vytvoří nový účet a na stránce se zadají informace. Azure AD B2C shromažďuje atributy uživatele.
2. Azure AD B2C volá rozhraní Microsoft DFP API a předá atributy uživatele.
3. Když rozhraní Microsoft DFP API tyto informace spotřebuje a zpracuje, vrátí výsledek do Azure AD B2C.
4. Azure AD B2C přijímá informace zpět z rozhraní Microsoft DFP API. Pokud se zobrazí reakce na selhání, zobrazí se uživateli chybová zpráva. Pokud se zobrazí odpověď úspěšnosti, je uživatel ověřen a zapsán do adresáře.

Nastavení řešení

  1. Vytvořte aplikaci Facebooku nakonfigurovanou tak, aby povolovala Azure AD B2C federaci.
  2. Přidejte tajný klíč Facebooku , který jste vytvořili jako klíč zásad rozhraní identity Experience Framework.

Konfigurace aplikace v rámci Microsoft DFP

Nastavte tenanta Azure AD tak, aby používal Microsoft DFP.

Nastavení vlastní domény

V produkčním prostředí musíte použít vlastní doménu pro Azure AD B2C a službu Microsoft DFP otisků prstů. Doména pro obě služby by měla být ve stejné kořenové zóně DNS, aby nastavení ochrany osobních údajů v prohlížeči neblokovala soubory cookie mezi doménami, není nutné v neprodukčním prostředí.

Tady je příklad:

Prostředí Služba Doména
Vývoj Azure AD B2C contoso-dev.b2clogin.com
Vývoj Otisky prstů Microsoft DFP fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Otisky prstů Microsoft DFP fpt.dfp.microsoft.com
Výroba Azure AD B2C login.contoso.com
Výroba Otisky prstů Microsoft DFP fpt.login.contoso.com

Nasazení šablon uživatelského rozhraní

  1. Nasaďte poskytnuté Azure AD B2C šablony uživatelského rozhraní do veřejné internetové hostitelské služby, jako je Azure Blob Storage.

  2. Hodnotu nahraďte https://<YOUR-UI-BASE-URL>/ kořenovou adresou URL pro umístění nasazení.

Poznámka

Později budete potřebovat základní adresu URL ke konfiguraci zásad Azure AD B2C.

  1. V ui-templates/js/dfp.js souboru nahraďte <YOUR-DFP-INSTANCE-ID> ID instance Microsoft DFPe.

  2. Ujistěte se, že je pro váš Azure AD B2C název domény povolený CORS https://{your_tenant_name}.b2clogin.com your custom domain .

Další informace najdete v dokumentaci k přizpůsobení uživatelského rozhraní .

Konfigurace Azure AD B2C

Přidání klíčů zásad pro ID a tajný kód aplikace pro klienta Microsoft DFP

  1. V tenantovi Azure AD, kde se nastavuje Microsoft DFP, vytvořte aplikaci Azure AD a udělte souhlas správce.
  2. Vytvořte tajnou hodnotu pro registraci této aplikace a poznamenejte si ID klienta a hodnotu tajného klíče klienta aplikace.
  3. Uložte ID klienta a tajné hodnoty klienta jako klíče zásad ve vašem tenantovi Azure AD B2C.

Poznámka

Později budete potřebovat klíče zásad ke konfiguraci zásad Azure AD B2C.

Nahraďte konfigurační hodnoty.

V části poskytnuté vlastní zásadyvyhledejte následující zástupné symboly a nahraďte je odpovídajícími hodnotami z vaší instance.

Zástupný symbol Nahradit hodnotou Poznámky
{Nastavení:P roduction} Jestli se mají zásady nasadit v provozním režimu true nebo false
{Nastavení: Tenant} Krátký název tenanta your-tenant – z your-tenant.onmicrosoft.com
{Nastavení:D eploymentmode} režim nasazení Application Insights, který se má použít Production nebo Development
{Nastavení:D evelopermode} bez ohledu na to, jestli se mají zásady nasadit v režimu Application Insights developer true nebo false
{Nastavení: AppInsightsInstrumentationKey} klíč instrumentace instance Application Insights * 01234567-89ab-cdef-0123-456789abcdef
{Nastavení: IdentityExperienceFrameworkAppId} ID aplikace IdentityExperienceFramework nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{Nastavení:P roxyidentityexperienceframeworkappid} ID aplikace ProxyIdentityExperienceFramework nakonfigurované ve vašem tenantovi Azure AD B2C 01234567-89ab-cdef-0123-456789abcdef
{Nastavení: FacebookClientId} ID aplikace pro Facebook, kterou jste nakonfigurovali pro federaci s B2C 000000000000000
{Nastavení: FacebookClientSecretKeyContainer} Název klíče zásad, ve kterém jste uložili tajný kód aplikace Facebook B2C_1A_FacebookAppSecret
{Nastavení: ContentDefinitionBaseUri} Koncový bod, ve kterém jste nasadili soubory uživatelského rozhraní https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Nastavení:D fpapibaseurl} Základní cesta instance rozhraní API pro DFP – nalezená na portálu DFP https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Nastavení:D fpapiauthscope} Obor client_credentials pro službu API DFP https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Nastavení:D fptenantid} ID tenanta Azure AD (ne B2C), ve kterém je DFP licencovaná a nainstalovaná 01234567-89ab-cdef-0123-456789abcdef nebo consoto.onmicrosoft.com
{Nastavení:D fpappclientidkeycontainer} Název klíče zásad, ve kterém uložíte ID klienta DFP B2C_1A_DFPClientId
{Nastavení:D fpappclientsecretkeycontainer} Název klíče zásad, ve kterém uložíte tajný klíč klienta DFP B2C_1A_DFPClientSecret

Poznámka

Přidejte oznámení o souhlasu na stránku kolekce atributů. Informujte, že se budou zaznamenávat informace o telemetrie uživatelů a identitě uživatelů pro účely ochrany účtů.

Konfigurace zásad Azure AD B2C

  1. Ve složce policies (zásady) vyberte zásady Azure AD B2C .

  2. Pomocí tohoto dokumentu stáhněte LocalAccounts Starter Pack .

  3. Nakonfigurujte zásady pro klienta Azure AD B2C.

Poznámka

Aktualizujte zásady, které se mají vztahovat k vašemu konkrétnímu tenantovi.

Testování toku uživatele

  1. Otevřete Azure AD B2C tenant a v části zásady vyberte Architektura prostředí identity.

  2. Vyberte dříve vytvořenou SignUpSignIn.

  3. Vyberte Spustit tok uživatele a vyberte nastavení:

    a. Aplikace: vyberte registrovanou aplikaci (ukázka je JWT).

    b. Adresa URL odpovědi: vyberte adresu URL pro přesměrování .

    c. Vyberte Spustit tok uživatele.

  4. Projděte si registrační tok a vytvořte účet.

  5. Po vytvoření atributu uživatele bude v průběhu toku volána služba Microsoft DFP. Pokud tok není úplný, ověřte, že uživatel není uložen v adresáři.

Poznámka

Aktualizujte pravidla přímo na portálu Microsoft DFP, pokud používáte modul pravidel Microsoft DFP.

Další kroky

Další informace najdete v následujících článcích: