Tutorial zum Konfigurieren von Nevis mit Azure Active Directory B2C für die kennwortlose Authentifizierung

In diesem Tutorial erfahren Sie, wie Sie die kennwortlose Authentifizierung in Azure Active Directory B2C (Azure AD B2C) mit der Nevis Access-App aktivieren, um die Kundenauthentifizierung zu aktivieren und die Transaktionsanforderungen der Zahlungsdienstrichtlinie 2 (Payment Services Directive 2, PSD2) zu erfüllen. PSD2 ist eine Richtlinie der Europäischen Union (EU), die von der Europäischen Kommission (Generaldirektion Binnenmarkt) verwaltet wird, um Zahlungsdienste und Zahlungsdienstleister in der gesamten EU und im Europäischen Wirtschaftsraum (EWR) zu regulieren.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Nevis-Demokonto
  • Wechseln Sie zu nevis.net für Nevis + Microsoft Azure AD B2C, um ein Konto anzufordern.

• Ein Azure-Abonnement

  • Wenn Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto anfordern.

• Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist.

Hinweis

Um Nevis in Ihren Registrierungsrichtlinienflow zu integrieren, konfigurieren Sie die Azure AD B2C-Umgebung für die Verwendung benutzerdefinierter Richtlinien.
Siehe das Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C.

Beschreibung des Szenarios

Fügen Sie Ihrer Back-End-Anwendung die Access-App mit Branding für die kennwortlose Authentifizierung hinzu. Die Lösung besteht aus den folgenden Komponenten:

• Azure AD B2C-Mandant mit einer kombinierten Richtlinie für Anmeldung und Registrierung für Ihr Back-End
• Nevis-Instanz mit REST-API zur Erweiterung von Azure AD B2C
• Ihre Access-App mit Branding

Diagramm der Implementierung

1. Ein Benutzer versucht, sich mit einer Azure AD B2C-Richtlinie bei einer Anwendung anzumelden oder sich zu registrieren.
2. Während der Registrierung wird die Access-App mithilfe eines QR-Codes auf dem Benutzergerät registriert. Ein privater Schlüssel wird auf dem Benutzergerät generiert und zum Signieren von Benutzeranforderungen verwendet.
3. Azure AD B2C verwendet ein technisches RESTful-Profil, um die Anmeldung bei der Nevis-Lösung zu starten.
4. Die Anmeldeanforderung wird als Pushnachricht, QR-Code oder Deep-Link an Access gesendet.
5. Der Benutzer genehmigt den Anmeldeversuch mit seinen Biometriedaten. Eine Nachricht wird an Nevis gesendet, mit der die Anmeldung mit dem gespeicherten öffentlichen Schlüssel überprüft wird.
6. Azure AD B2C sendet eine Anforderung an Nevis, um zu bestätigen, dass die Anmeldung abgeschlossen ist.
7. Dem Benutzer wird der Zugriff auf die Anwendung mit einer Erfolgs- oder Fehlermeldung von Azure AD B2C gewährt oder verweigert.

Integrieren Ihres Azure AD B2C-Mandanten

Anfordern eines Nevis-Kontos

1. Wechseln Sie zu nevis.net für Nevis + Microsoft Azure AD B2C.
2. Verwenden Sie das Formular, um ein Konto anzufordern.
3. Es gehen zwei E-Mails ein:

• Eine Benachrichtigung vom Verwaltungskonto
• Eine Einladung für die mobile App

Hinzufügen Ihres Azure AD B2C-Mandanten zu Ihrem Nevis-Konto

1. Kopieren Sie Ihren Verwaltungsschlüssel aus der E-Mail des Verwaltungstestkontos.
2. Öffnen Sie https://console.nevis.cloud/ in einem Browser.
3. Verwenden Sie den Verwaltungsschlüssel, um sich bei der Verwaltungskonsole anzumelden.
4. Wählen Sie Instanz hinzufügen aus.
5. Wählen Sie die erstellte Instanz aus.
6. Wählen Sie in der seitlichen Navigation Benutzerdefinierte Integrationen aus.
7. Wählen Sie Add custom integration (Benutzerdefinierte Integration hinzufügen) aus.
8. Geben Sie als Integrationsnamen Ihren Azure AD B2C-Mandantennamen ein.
9. Geben Sie als URL/Domäne den Wert https://yourtenant.onmicrosoft.com ein.
10. Wählen Sie Weiter aus.
11. Wählen Sie Fertigaus.

Hinweis

Sie benötigen das Nevis-Zugriffstoken später.

Installieren von Nevis Access auf Ihrem Smartphone

1. Öffnen Sie in der E-Mail von Nevis mit der Einladung für die mobile App die Einladung Flight-App testen.
2. Installieren Sie die App.

Integrieren von Azure AD B2C mit Nevis

1. Melden Sie sich beim Azure-Portal an.
2. Wechseln Sie zu Ihrem Azure AD B2C-Mandanten. Hinweis: Der Azure AD B2C-Mandant befindet sich in der Regel in einem separaten Mandanten.
3. Wählen Sie im Menü Identity Experience Framework (IEF) aus.
4. Wählen Sie Richtlinienschlüssel aus.
5. Wählen Sie Hinzufügen.
6. Erstellen Sie einen neuen Schlüssel.
7. Wählen Sie unter Optionen den Eintrag Manuell aus.
8. Wählen Sie unter Name die Option AuthCloudAccessToken aus.
9. Fügen Sie unter Geheimnis das gespeicherte Nevis-Zugriffstoken ein.
10. Wählen Sie als Schlüsselverwendung die Option Verschlüsselung aus.
11. Klicken Sie auf Erstellen.

Konfigurieren und Hochladen der Datei „nevis.html“ in Azure Blob Storage

1. Wechseln Sie in Ihrer Identitätsumgebung (IDE) zum Ordner /master/samples/Nevis/policy.
2. Öffnen Sie in /samples/Nevis/policy/nevis.html die datei „nevis.html“.
3. Ersetzen Sie die authentication_cloud_url durch die URL der Nevis-Administratorkonsole: https://<instance_id>.mauth.nevis.cloud.
4. Wählen Sie Speichern aus.
5. Erstellen Sie ein Azure Blob Storage-Konto.
6. Laden Sie die Datei „nevis.html“ in Ihre Azure Blob Storage-Instanz hoch.
7. Konfigurieren von CORS.
8. Aktivieren Sie CORS (Cross-Origin Resource Sharing) für die Datei.
9. Wählen Sie in der Liste die Datei nevis.html aus.
10. Wählen Sie auf der Registerkarte Übersicht neben der URL das Symbol Link kopieren aus.
11. Öffnen Sie den Link auf einer neuen Browserregisterkarte, um sicherzustellen, dass ein graues Feld angezeigt wird.

Hinweis

Sie benötigen den Bloblink zu einem späteren Zeitpunkt.

Anpassen von „TrustFrameworkBase.xml“

1. Wechseln Sie in Ihrer IDE zum Ordner /samples/Nevis/policy.
2. Öffnen Sie TrustFrameworkBase.xml.
3. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter TenantId.
4. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter PublicPolicyURI.
5. Ersetzen Sie alle Vorkommen von authentication_cloud_url durch die URL der Nevis-Administratorkonsole.
6. Wählen Sie Speichern aus.

Anpassen von „TrustFrameworkExtensions.xml“

1. Wechseln Sie in Ihrer IDE zum Ordner /samples/Nevis/policy.
2. Öffnen Sie TrustFrameworkExtensions.xml.
3. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter TenantId.
4. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter PublicPolicyURI.
5. Ersetzen Sie unter BasePolicy in TenantId ebenfalls your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten.
6. Ersetzen Sie unter BuildingBlocks den LoadUri durch die Bloblink-URL von „nevis.html“ in Ihrem Blob Storage-Konto.
7. Wählen Sie Speichern aus.

Customize SignUpOrSignin.xml

1. Wechseln Sie in Ihrer IDE zum Ordner /samples/Nevis/policy.
2. Öffnen Sie die Datei SignUpOrSignin.xml.
3. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter TenantId.
4. Ersetzen Sie your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten unter PublicPolicyUri.
5. Ersetzen Sie unter BasePolicy in TenantId ebenfalls your tenant (Ihr Mandant) durch den Kontonamen Ihres Azure-Mandanten.
6. Wählen Sie Speichern aus.

Hochladen benutzerdefinierter Richtlinien in Azure AD B2C

1. Öffnen Sie im Azure-Portal Ihren Azure AD B2C-Mandanten.
2. Wählen Sie Framework für die Identitätsfunktion aus.
3. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus.
4. Wählen Sie die Datei TrustFrameworkBase.xml aus, die Sie geändert haben.
5. Aktivieren Sie das Kontrollkästchen Overwrite the custom policy if it already exists (Benutzerdefinierte Richtlinie überschreiben, sofern vorhanden).
6. Wählen Sie die Option Hochladen.
7. Wiederholen Sie die Schritte 5 und 6 für TrustFrameworkExtensions.xml.
8. Wiederholen Sie die Schritte 5 und 6 für SignUpOrSignin.xml.

Testen des Benutzerflows

Testen der Kontoerstellung und der Einrichtung von Access

1. Öffnen Sie im Azure-Portal Ihren Azure AD B2C-Mandanten.
2. Wählen Sie Framework für die Identitätsfunktion aus.
3. Scrollen Sie nach unten zu Benutzerdefinierte Richtlinien, und wählen Sie B2C_1A_signup_signin aus.
4. Wählen Sie Jetzt ausführen aus.
5. Wählen Sie in dem Fenster Jetzt registrieren aus.
6. Fügen Sie Ihre E-Mail-Adresse hinzu.
7. Wählen Sie Überprüfungscode senden aus.
8. Kopieren Sie den Überprüfungscode aus der E-Mail.
9. Wählen Sie Überprüfenaus.
10. Füllen Sie das Formular mit Ihrem neuen Kennwort und Anzeigenamen aus.
11. Klicken Sie auf Erstellen.
12. Die Seite zum Scannen von QR-Codes wird angezeigt.
13. Öffnen Sie auf Ihrem Smartphone die Nevis Access-App.
14. Wählen Sie Face ID (Gesichtserkennung) aus.
15. Der Bildschirm Authentifikator-Registrierung war erfolgreich wird angezeigt.
16. Wählen Sie Weiter.
17. Authentifizieren Sie sich bei Ihrem Smartphone mit Ihrem Gesicht.
18. Die Begrüßungsseite von jwt.ms wird mit Ihren decodierten Tokendetails angezeigt.

Testen der kennwortlosen Anmeldung

1. Wählen Sie unter Identity Experience Framework den Eintrag B2C_1A_signup_signin aus.
2. Wählen Sie Jetzt ausführen aus.
3. Wählen Sie in dem Fenster Kennwortlose Authentifizierung aus.
4. Geben Sie Ihre E-Mail-Adresse ein.
5. Wählen Sie Weiter.
6. Wählen Sie auf Ihrem Smartphone in „Benachrichtigungen“ (Mitteilungen) Benachrichtigung der Nevis Access-App aus.
7. Authentifizieren Sie sich mit Ihrem Gesicht.
8. Die Begrüßungsseite von jwt.ms wird mit Ihren Token angezeigt.

Nächste Schritte

• Benutzerdefinierte Richtlinien in Azure AD B2C
• Erste Schritte mit benutzerdefinierten Richtlinien in Azure AD B2C