Technický přehled a přehled funkcí Azure Active Directory B2C

Doprovodný článek k Azure Active Directory B2Cposkytuje podrobnější úvod do služby. Tady jsou popsané primární prostředky, se kterou ve službě pracujete, a její funkce. Zjistěte, jak tyto funkce umožňují poskytovat zákazníkům ve vašich aplikacích plně vlastní prostředí identit.

Azure AD B2C tenanta

V Azure Active Directory B2C (Azure AD B2C) představuje tenant vaši organizaci a je adresářem uživatelů. Každý tenant Azure AD B2C se odlišuje a je oddělený od jiných tenantů Azure AD B2C. Tenant Azure AD B2C je také jiný než tenant Azure Active Directory, kterého už možná máte.

Primární prostředky, se Azure AD B2C tenantem:

  • Adresář – v adresáři Azure AD B2C přihlašovací údaje uživatelů, data profilu a registrace aplikací.
  • Registrace aplikací – Zaregistrujte své webové, mobilní a nativní aplikace Azure AD B2C a povolte správu identit. Můžete také zaregistrovat libovolná rozhraní API, která chcete chránit pomocí Azure AD B2C.
  • Toky uživatelů a vlastní zásady – Vytváření prostředí identit pro vaše aplikace s integrovanými toky uživatelů a plně konfigurovatelnými vlastními zásadami:
    • Toky uživatelů vám pomůžou rychle povolit běžné úlohy identity, jako je registrace, přihlašování a úpravy profilu.
    • Vlastní zásady umožňují vytvářet komplexní pracovní postupy identit jedinečné pro vaši organizaci, zákazníky, zaměstnance, partnery a občany.
  • Možnosti přihlášení – Azure AD B2C nabízí uživatelům vašich aplikací různé možnosti registrace a přihlášení:
    • Uživatelské jméno, e-mail Azure AD B2C přihlašování telefonem – Nakonfigurujte místní účty Azure AD B2C tak, aby povolují registrace a přihlašování pomocí uživatelského jména, e-mailové adresy, telefonního čísla nebo kombinace metod.
    • Zprostředkovatelé sociálních identit – Federují se s poskytovateli sociálních sítí, jako je Facebook, LinkedIn nebo Twitter.
    • Externí zprostředkovatelé identity – federují se standardními protokoly identity, jako jsou OAuth 2.0, OpenID Připojení a další.
  • Klíče – Přidejte a spravujte šifrovací klíče pro podepisování a ověřování tokenů, tajných kódů klienta, certifikátů a hesel.

Tenant Azure AD B2C je první prostředek, který je potřeba vytvořit, abyste s tímto Azure AD B2C. Naučte se:

Účty v Azure AD B2C

Azure AD B2C definuje několik typů uživatelských účtů. Azure Active Directory, Azure Active Directory B2B a Azure Active Directory B2C tyto typy účtů sdílí.

  • Pracovní účet – uživatelé s pracovními účty mohou spravovat prostředky v tenantovi a s rolí správce mohou také spravovat tenanty. Uživatelé s pracovními účty mohou vytvářet nové uživatelské účty, resetovat hesla, blokovat nebo odblokovat účty a nastavovat oprávnění nebo přiřazovat účet ke skupině zabezpečení.
  • Účet hosta – Externí uživatelé, které pozvete do tenanta jako hosty. Typickým scénářem pro pozvání uživatele hosta do Azure AD B2C tenanta je sdílení zodpovědností správy.
  • Uživatelský účet – účty spravované pomocí Azure AD B2C toků uživatelů a vlastních zásad.

Azure AD B2C správy uživatelů v Azure Portal
Obrázek: Uživatelský adresář v Azure AD B2C tenanta v Azure Portal

Uživatelské účty

Pomocí uživatelského účtu se uživatelé mohou přihlašovat k aplikacím, které jste zabezpečili pomocí Azure AD B2C. Uživatelé, kteří mají uživatelské účty, ale k prostředkům Azure mají přístup, například Azure Portal.

Účet příjemce může být přidružený k těmto typům identit:

  • Místní identita s uživatelským jménem a heslem uloženým místně v Azure AD B2C adresáři. Tyto identity se často označují jako "místní účty".
  • Sociální nebo podnikové identity, kde identitu uživatele spravuje federovaný zprostředkovatel identity. Například Facebook, Google, Microsoft, ADFS nebo Salesforce.

Uživatel s účtem příjemce se může přihlásit pomocí více identit. Například uživatelské jméno, e-mail, ID zaměstnance, ID státní správy a další. Jeden účet může mít více identit, místních i sociálních.

Identity uživatelských účtů.
Obrázek: Jeden uživatelský účet s více identitami v Azure AD B2C

Další informace najdete v tématu Přehled uživatelských účtů v Azure Active Directory B2C.

Možnosti přihlášení k místnímu účtu

Azure AD B2C nabízí různé způsoby, jak mohou uživatelé ověřovat uživatele. Uživatelé se mohou přihlásit k místnímu účtu pomocí uživatelského jména a hesla a ověření telefonem (označuje se také jako ověřování bez hesla). Registrace e-mailu je ve výchozím nastavení povolená v nastavení zprostředkovatele identity místního účtu.

Přečtěte si další informace o možnostech přihlášení nebo o tom, jak nastavit zprostředkovatele identity místního účtu.

Atributy profilu uživatele

Azure AD B2C umožňuje spravovat běžné atributy profilů účtů uživatelů. Například zobrazované jméno, příjmení, k dispozici jméno, město a další.

Schéma Azure AD můžete také rozšířit tak, aby ukládal další informace o uživatelích. Například země nebo oblast rezidence, preferovaný jazyk a předvolby, jako je například to, jestli se chtějí přihlásit k odběru bulletinu nebo povolit vícefaktorové ověřování. Další informace naleznete v tématu:

Přihlášení pomocí externích zprostředkovatelů identity

Můžete nakonfigurovat, Azure AD B2C uživatelům povolit přihlášení k vaší aplikaci pomocí přihlašovacích údajů od zprostředkovatelů sociálních a podnikových identit. Azure AD B2C federovat s zprostředkovateli identit, kteří podporují protokoly OAuth 1.0, OAuth 2.0, OpenID Připojení a SAML. Například Facebook, účet Microsoft, Google, Twitter a AD-FS.

Externí zprostředkovatelé identity.

Díky federaci externího zprostředkovatele identity můžete svým zákazníkům nabídnout možnost přihlásit se pomocí svých stávajících účtů sociálních sítí nebo podnikových účtů, aniž byste museli vytvářet nový účet jenom pro vaši aplikaci.

Na přihlašovací nebo přihlašovací stránce Azure AD B2C seznam externích zprostředkovatelů identity, které může uživatel zvolit pro přihlášení. Jakmile vyberou jednoho z externích zprostředkovatelů identity, převezou se (přesměrují) na web vybraného zprostředkovatele, aby se dokončil proces přihlášení. Po úspěšném přihlášení se uživatel vrátí do Azure AD B2C ověření účtu ve vaší aplikaci.

Příklad mobilního přihlášení pomocí účtu na sociálních sítích (Facebook).

Pokud chcete vidět, jak přidat zprostředkovatele identity v Azure AD B2C, najdete v tématu Přidání zprostředkovatelů identity do aplikací v Azure Active Directory B2C.

Prostředí identit: toky uživatelů nebo vlastní zásady

V Azure AD B2C můžete definovat obchodní logiku, podle které uživatelé získají přístup k vaší aplikaci. Můžete například určit posloupnost kroků, které uživatelé postupují při přihlášení, přihlášení, úpravě profilu nebo resetování hesla. Po dokončení sekvence uživatel získá token a získá přístup k vaší aplikaci.

V Azure AD B2C existují dva způsoby, jak poskytnout uživatelské prostředí identit:

  • Toky uživatelů jsou předdefinované a konfigurovatelné zásady, které poskytujeme, abyste mohli během několika minut vytvořit prostředí pro registrace, přihlašování a úpravy zásad.

  • Vlastní zásady umožňují vytvářet vlastní cesty uživatelů pro scénáře komplexního prostředí identit.

Následující snímek obrazovky ukazuje uživatelské rozhraní pro nastavení toku uživatele a konfigurační soubory vlastních zásad.

Snímek obrazovky s uživatelským uživatelským rozhraním pro nastavení toku a konfiguračními soubory vlastních zásad

Přečtěte si článek Přehled toků uživatelů a vlastních zásad. Poskytuje přehled o tocích uživatelů a vlastních zásadách a pomáhá rozhodnout, která metoda bude nejlépe fungovat pro vaše obchodní potřeby.

Uživatelské rozhraní

V Azure AD B2C si můžete vytvořit prostředí identity uživatelů, aby se stránky bez problémů prolly s vzhledem a pocitem vaší značky. Máte skoro plnou kontrolu nad obsahem HTML a CSS, který se uživatelům prezentuje, když procházou cesty identity vaší aplikace. Díky této flexibilitě můžete zachovat konzistenci značky a vizuální konzistence mezi vaší aplikací a Azure AD B2C.

Snímky obrazovky s přihlašovací stránkou přizpůsobenou značkou

Informace o přizpůsobení uživatelského rozhraní najdete v těchto tématu:

Vlastní doména

V adresách URL pro Azure AD B2C pro přesměrování můžete upravit svou doménu Azure AD B2C. Vlastní doména umožňuje vytvořit bezproblémové prostředí, aby se zobrazené stránky bez problémů prolly s názvem domény vaší aplikace.

Snímky obrazovky Azure AD B2C vlastní domény

Z pohledu uživatele zůstanou během procesu přihlášení ve vaší doméně a místo přesměrování na Azure AD B2C domény .b2clogin.com. Další informace najdete v tématu Povolení vlastních domén.

Lokalizace

Přizpůsobení jazyka v Azure AD B2C umožňuje přizpůsobení různých jazyků vašim potřebám zákazníků. Společnost Microsoft poskytuje překlady pro jazyky 36, ale můžete také zadat vlastní překlady pro libovolný jazyk. I v případě, že je vaše prostředí k dispozici pouze pro jeden jazyk, můžete přizpůsobit libovolný text na stránkách.

Tři přihlašovací stránky pro přihlášení zobrazující text uživatelského rozhraní v různých jazycích

podívejte se, jak lokalizace funguje v přizpůsobení jazyka v Azure Active Directory B2C.

Ověření e-mailem

Azure AD B2C zajišťuje platné e-mailové adresy tím, že je vyžaduje, aby je uživatelé během registrace a resetování hesel ověřili. Zabraňuje také škodlivým aktérům v použití automatizovaných procesů ke generování podvodných účtů ve vašich aplikacích.

Snímky obrazovky Azure AD B2C ověření e-mailu

E-mail můžete přizpůsobit uživatelům, kteří se registrují k používání vašich aplikací. Pomocí poskytovatele e-mailu od jiného výrobce můžete použít vlastní e-mailovou šablonu a z těchto umístění: adresa a předmět a také lokalizaci podpory a vlastní nastavení JEDNORÁZOVého hesla. Další informace naleznete v tématu:

Přidání vlastní obchodní logiky

Pokud se rozhodnete použít vlastní zásady, můžete integrovat s rozhraním RESTful API v cestě uživatele a přidat tak vlastní obchodní logiku do cesty. Azure AD B2C například může vyměňovat data se službou RESTful k těmto akcím:

  • Zobrazit vlastní uživatelsky přívětivé chybové zprávy.
  • Ověřte vstup uživatele, aby nedocházelo k uchování poškozených dat ve vašem uživatelském adresáři. Můžete například změnit data zadaná uživatelem, jako je například velká písmena jejich křestní jméno, pokud je zadáte malými písmeny.
  • Rozšiřte uživatelská data o další integraci s podnikovou firemní aplikací.
  • Pomocí volání RESTful můžete odesílat nabízená oznámení, aktualizovat podnikové databáze, spouštět proces migrace uživatelů, spravovat oprávnění, auditovat databáze a další.

Věrnostní programy jsou jiným scénářem, který podpora Azure AD B2C's podporuje pro volání rozhraní REST API. Například vaše služba RESTful může obdržet e-mailovou adresu uživatele, zadat dotaz na databázi zákazníků a pak pro Azure AD B2C vrátit věrnostní číslo uživatele.

Návratová data mohou být uložena v adresářovém účtu uživatele v Azure AD B2C. Data pak můžete dále vyhodnotit v dalších krocích v zásadě nebo je zahrnout do přístupového tokenu.

Integrace obchodních aplikací v mobilní aplikaci.

Můžete přidat REST API volání v jakémkoli kroku v cestě uživatele definované vlastními zásadami. Například můžete volat REST API:

  • Během přihlašování těsně před Azure AD B2C ověří přihlašovací údaje.
  • Hned po přihlášení
  • Před vytvořením nového účtu v adresáři Azure AD B2C
  • Po Azure AD B2C vytvoří nový účet v adresáři.
  • Než Azure AD B2C vydá přístupový token

Pokud chcete zjistit, jak používat vlastní zásady pro integraci rozhraní RESTful API v Azure AD B2C, přečtěte si téma integrace REST API výměn deklarací identity ve vlastních zásadách Azure AD B2C.

Protokoly a tokeny

  • pro aplikace Azure AD B2C podporuje protokoly OAuth 2,0, Připojení, OpenIDa SAML pro cesty uživatelů. Vaše aplikace spouští cestu uživatele tím, že vydává žádosti o ověření Azure AD B2C. Výsledkem požadavku na Azure AD B2C je token zabezpečení, jako je token ID, přístupový tokennebo token SAML. Tento token zabezpečení definuje identitu uživatele v rámci aplikace.

  • pro externí identity Azure AD B2C podporuje federaci s libovolnými zprostředkovateli identity oauth 1,0, oauth 2,0, OpenID Připojení a SAML.

Následující diagram znázorňuje, jak Azure AD B2C může komunikovat s různými protokoly v rámci stejného toku ověřování:

Diagram klientské aplikace založené na OIDC federování s IdPem založeným na SAML

  1. aplikace předávající strany spustí žádost o autorizaci, která Azure AD B2C pomocí Připojení OpenID.
  2. Když se uživatel aplikace rozhodne přihlásit pomocí externího zprostředkovatele identity, který používá protokol SAML, Azure AD B2C vyvolá protokol SAML ke komunikaci s tímto poskytovatelem identity.
  3. až uživatel dokončí operaci přihlášení s externím zprostředkovatelem identity, Azure AD B2C pak vrátí token do aplikace předávající strany pomocí Připojení OpenID.

Integrace aplikací

Když se uživatel chce přihlašovat k aplikaci, aplikace zahájí žádost o autorizaci koncovému bodu uživatele nebo vlastního koncového bodu zadaného zásadami. Tok uživatele nebo vlastní zásady definují a řídí uživatelské prostředí. Když uživatel dokončí tok uživatele, například tok registrace nebo přihlašování , Azure AD B2C vygeneruje token a pak přesměruje uživatele zpět do vaší aplikace.

Mobilní aplikace se šipkami ukazující tok mezi Azure AD B2C přihlašovací stránkou

Stejný tok uživatele nebo vlastní zásady můžou používat víc aplikací. Jedna aplikace může používat více uživatelských toků nebo vlastních zásad.

Například pro přihlášení k aplikaci používá aplikace tok uživatele registrace nebo přihlášení . Až se uživatel přihlásí, může chtít upravit svůj profil, takže aplikace zahájí jinou žádost o autorizaci, tentokrát pomocí profilu upravit tok uživatele.

Multi-Factor Authentication (MFA)

Azure AD B2C Multi-Factor Authentication (MFA) pomáhá chránit přístup k datům a aplikacím a současně zachovává jednoduchost vašich uživatelů. Poskytuje dodatečné zabezpečení tím, že vyžaduje druhou formu ověřování a poskytuje silné ověřování tím, že nabízí řadu snadno použitelných metod ověřování.

Uživatelé můžou nebo nemusí být v rámci VÍCEFAKTOROVÉHO ověřování vyučeni na základě rozhodnutí týkajících se konfigurace, která můžete nastavit jako správce.

přečtěte si, jak povolit vícefaktorové ověřování v tocích uživatelů v tématu povolení vícefaktorového ověřování v Azure Active Directory B2C.

Podmíněný přístup

Azure AD Identity Protection funkce pro detekci rizik, včetně rizikových uživatelů a rizikových přihlášení, se automaticky zjistí a zobrazí ve vašem tenantovi Azure AD B2C. Můžete vytvořit zásady podmíněného přístupu, které používají tyto detekce rizik k určení nápravných akcí a vynutili zásady organizace.

Podmíněný tok přístupu

Azure AD B2C vyhodnotí každou událost přihlášení a zajistí, že před udělením přístupu uživatele budou splněné všechny požadavky zásad. Rizikové uživatele nebo přihlášení mohou být blokovány nebo s konkrétní nápravou, jako je vícefaktorové ověřování (MFA). Další informace najdete v tématu Identita Protection a podmíněný přístup.

Složitost hesla

Při registraci nebo resetování hesla musí vaši uživatelé zadávat heslo, které splňuje pravidla složitosti. Ve výchozím nastavení Azure AD B2C vynutila zásady silného hesla. Azure AD B2C taky nabízí možnosti konfigurace pro určení požadavků na složitost hesel, která vaši zákazníci používají.

Snímek obrazovky s uživatelským prostředím s složitostí hesla

Další informace najdete v tématu Konfigurace požadavků na složitost pro hesla v Azure AD B2C.

Vynutit resetování hesla

Jako správce tenanta Azure AD B2C můžete resetovat heslo uživatele , pokud uživatel zapomene heslo. Nebo byste chtěli vynutit, aby se heslo pravidelně obnovilo. Další informace najdete v tématu nastavení vynucení toku resetování hesla.

Vynutit tok resetování hesla.

Uzamčení inteligentního účtu

Aby se zabránilo pokusům o vyhlašování nepřímých vynucení hesla, Azure AD B2C používá důmyslnou strategii k uzamčení účtů na základě IP adresy, zadaných hesel a několika dalších faktorů. Doba uzamčení se automaticky zvyšuje na základě rizika a počtu pokusů.

Inteligentní uzamčení účtu

Další informace o správě nastavení ochrany heslem najdete v tématu zmírnění útoků s přihlašovacími údaji v Azure AD B2C.

Ochrana prostředků a zákaznických identit

Azure AD B2C v souladu se zabezpečením, ochranou osobních údajů a dalšími závazky popsanými v centru pro Microsoft Azure Trust.

Relace se modelují jako zašifrovaná data a dešifrovací klíč je známý jenom pro Azure AD B2C službu tokenů zabezpečení. Používá se silný šifrovací algoritmus AES-192. Všechny komunikační cesty jsou chráněny protokolem TLS pro zajištění důvěrnosti a integrity. Naše služba tokenů zabezpečení používá certifikát rozšířené validace (EV) pro TLS. Obecně platí, že služba tokenů zabezpečení snižuje útoky skriptováním mezi weby (XSS) tím, že nevykresluje nedůvěryhodný vstup.

Diagram zabezpečených dat při přenosu a v klidovém režimu.

Přístup k uživatelským datům

klienti Azure AD B2C sdílejí mnoho vlastností s klienty Azure Active Directory klientů, kteří se používají pro zaměstnance a partnery. Mezi sdílené aspekty patří mechanismy pro zobrazení rolí pro správu, přiřazování rolí a auditování aktivit.

Role můžete přiřadit k řízení toho, kdo může provádět určité akce správy v Azure AD B2C, včetně:

  • Vytváření a správa všech aspektů toků uživatelů
  • Vytvoření a Správa schématu atributů dostupného pro všechny toky uživatelů
  • Konfigurace zprostředkovatelů identity pro použití v přímé federaci
  • Vytvoření a Správa zásad pro pravidla důvěryhodnosti v architektuře prostředí identity (vlastní zásady)
  • Správa tajných kódů federace a šifrování v architektuře prostředí identity (vlastní zásady)

Další informace o rolích služby Azure AD, včetně podpory rolí Azure AD B2C správy, najdete v tématu oprávnění role správce v Azure Active Directory.

Auditování a protokoly

Azure AD B2C generuje protokoly auditu obsahující informace o aktivitách, vydané tokeny a přístup správce. Protokoly auditu můžete použít k pochopení aktivity platformy a diagnostiky problémů. Položky protokolu auditu jsou k dispozici brzy po aktivitě, která událost vygenerovala.

V protokolu auditu, který je k dispozici pro vašeho tenanta Azure AD B2C nebo konkrétního uživatele, můžete najít informace, například:

  • Aktivity týkající se autorizace uživatele pro přístup k prostředkům B2C (například správce, který přistupuje k seznamu zásad B2C)
  • Aktivity týkající se atributů adresáře načtené, když se správce přihlásí pomocí Azure Portal
  • Operace vytvoření, čtení, aktualizace a odstranění (CRUD) v aplikacích B2C
  • Operace CRUD na klíčích uložených v kontejneru klíčů B2C
  • Operace CRUD na B2Cch prostředcích (například zásady a zprostředkovatelé identity)
  • Ověření přihlašovacích údajů uživatele a vystavení tokenu

Protokol auditu jednotlivých uživatelů zobrazený v Azure Portal

Další informace o protokolech auditu najdete v tématu přístup k protokolům auditu Azure AD B2C.

Analýza využití

Azure AD B2C vám umožní zjistit, kdy se uživatelé přihlásí nebo přihlásí do vaší aplikace, kde se nacházejí, a jaké prohlížeče a operační systémy používají.

integrací Azure Application Insights do Azure AD B2C vlastních zásad, můžete získat přehled o tom, jak se uživatelé registrují, přihlašovat, resetovat heslo nebo upravovat svůj profil. Díky takovému vědomí můžete provádět rozhodování na základě dat pro nadcházející vývojové cykly.

další informace najdete v tématu sledování chování uživatelů v Azure Active Directory B2C pomocí Application Insights.

Automatizace pomocí rozhraní Microsoft Graph API

Ke správě adresáře Azure AD B2C použijte rozhraní MS Graph API. Můžete také vytvořit adresář Azure AD B2C sám sebe. Můžete spravovat uživatele, zprostředkovatele identity, toky uživatelů, vlastní zásady a spoustu dalších.

Přečtěte si další informace o tom, jak Azure AD B2C spravovat pomocí Microsoft Graph.

Omezení a omezení služby Azure AD B2C

Další informace o limitech a omezeních služby Azure AD B2C

Další kroky

teď, když máte hlubší přehled o funkcích a technických aspektech Azure Active Directory B2C: