Technische und Funktionsübersicht für Azure Active Directory B2CTechnical and feature overview of Azure Active Directory B2C

Als Ergänzung zu Was ist Azure Active Directory B2C? bietet Ihnen dieser Artikel eine ausführlichere Einführung in den Dienst.A companion to About Azure Active Directory B2C, this article provides a more in-depth introduction to the service. Erläutert werden die wichtigsten Ressourcen, mit denen Sie bei diesem Dienst arbeiten, die zugehörigen Funktionen und die Möglichkeiten, die diese bieten, um eine vollständige benutzerdefinierte Identitätsverwaltung für Kunden in Ihren Anwendungen zu ermöglichen.Discussed here are the primary resources you work with in the service, its features, and how these enable you to provide a fully custom identity experience for your customers in your applications.

Azure AD B2C-MandantAzure AD B2C tenant

Ein Mandant in Azure Active Directory B2C (Azure AD B2C) stellt Ihre Organisation dar und ist ein Verzeichnis von Benutzern.In Azure Active Directory B2C (Azure AD B2C), a tenant represents your organization and is a directory of users. Jeder Azure AD B2C-Mandant unterscheidet sich von anderen Azure AD B2C-Mandanten und ist von diesen getrennt.Each Azure AD B2C tenant is distinct and separate from other Azure AD B2C tenants. Der Azure AD B2C-Mandant unterscheidet sich von einem Azure Active Directory-Mandanten, wie Sie ihn möglicherweise bereits verwenden.An Azure AD B2C tenant is different than an Azure Active Directory tenant, which you may already have.

Die wichtigsten Ressourcen, mit denen Sie in einem Azure AD B2C Mandanten arbeiten, sind die folgenden:The primary resources you work with in an Azure AD B2C tenant are:

  • Verzeichnis: Im Verzeichnis werden die Anmeldeinformationen und Profildaten Ihrer Benutzer sowie die Anwendungsregistrierungen von Azure AD B2C gespeichert.Directory - The directory is where Azure AD B2C stores your users' credentials and profile data, as well as your application registrations.
  • Anwendungsregistrierungen: Sie registrieren Ihre Web-, Mobil- und nativen Anwendungen bei Azure AD B2C, um die Identitätsverwaltung zu ermöglichen.Application registrations - You register your web, mobile, and native applications with Azure AD B2C to enable identity management. Außerdem registrieren Sie alle APIs, die Sie mit Azure AD B2C schützen möchten.Also, any APIs you want to protect with Azure AD B2C.
  • Benutzerflows und benutzerdefinierte Richtlinien: Die integrierten (Benutzerflows) und vollständig anpassbaren (benutzerdefinierte Richtlinien) Identitätsfunktionen für Ihre Anwendungen.User flows and custom policies - The built-in (user flows) and fully customizable (custom policies) identity experiences for your applications.
    • Mit Benutzerflows konfigurieren und aktivieren Sie schnell häufige Identitätsaufgaben wie Registrierung, Anmeldung und Bearbeitung des Profils.Use user flows for quick configuration and enablement of common identity tasks like sign up, sign in, and profile editing.
    • Verwenden Sie benutzerdefinierte Richtlinien, um die Benutzerfunktionen für häufige Identitätsaufgaben und darüber hinaus die Unterstützung für komplexe Identitätsworkflows zu ermöglichen, die individuell auf Ihre Organisation, Kunden, Mitarbeiter, Partner und Bürger zugeschnitten sind.Use custom policies to enable user experiences not only for the common identity tasks, but also for crafting support for complex identity workflows unique to your organization, customers, employees, partners, and citizens.
  • Identitätsanbieter: Verbundeinstellungen für:Identity providers - Federation settings for:
    • Identitätsanbieter für soziale Netzwerke wie Facebook, LinkedIn oder Twitter, die in Ihren Anwendungen unterstützt werden sollen.Social identity providers like Facebook, LinkedIn, or Twitter that you want to support in your applications.
    • Externe Identitätsanbieter, die Standardidentitätsprotokolle wie OAuth 2.0, OpenID Connect und viele mehr unterstützen.External identity providers that support standard identity protocols like OAuth 2.0, OpenID Connect, and more.
    • Lokale Konten, die es Benutzern ermöglichen, sich mit einem Benutzernamen (oder einer E-Mail-Adresse oder sonstigen ID) und einem Kennwort zu registrieren und anzumelden.Local accounts that enable users to sign up and sign in with a username (or email address or other ID) and password.
  • Schlüssel: Hinzufügen und Verwalten von Verschlüsselungsschlüsseln zum Signieren und Überprüfen von Token, geheimen Clientschlüsseln, Zertifikaten und Kennwörtern.Keys - Add and manage encryption keys for signing and validating tokens, client secrets, certificates, and passwords.

Ein Azure AD B2C-Mandant ist die erste Ressource, die Sie erstellen müssen, um Azure AD B2C zu verwenden.An Azure AD B2C tenant is the first resource you need to create to get started with Azure AD B2C. Weitere Informationen finden Sie im Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten ausführen.Learn how in Tutorial: Create an Azure Active Directory B2C tenant.

Konten in Azure AD B2CAccounts in Azure AD B2C

Azure AD B2C definiert mehrere Typen von Benutzerkonten.Azure AD B2C defines several types of user accounts. In Azure Active Directory, Azure Active Directory B2B und Azure Active Directory B2C können dieselben Arten von Benutzerkonten verwendet werden.Azure Active Directory, Azure Active Directory B2B, and Azure Active Directory B2C share these account types.

  • Geschäftskonto: Benutzer mit Geschäftskonten können Ressourcen in einem Mandanten verwalten und zudem Mandanten verwalten, wenn sie über eine Administratorrolle verfügen.Work account - Users with work accounts can manage resources in a tenant, and with an administrator role, can also manage tenants. Benutzer mit Geschäftskonten können neue Consumerkonten erstellen, Kennwörter zurücksetzen, Konten sperren/entsperren und Berechtigungen festlegen oder ein Konto einer Sicherheitsgruppe zuweisen.Users with work accounts can create new consumer accounts, reset passwords, block/unblock accounts, and set permissions or assign an account to a security group.
  • Gastkonto: Externe Benutzer, die Sie als Gäste zu Ihrem Mandanten einladen.Guest account - External users you invite to your tenant as guests. Ein typisches Szenario für das Einladen von Gastbenutzern in Ihren Azure AD B2C-Mandanten ist das Teilen von Systemadministratoraufgaben.A typical scenario for inviting a guest user to your Azure AD B2C tenant is to share administration responsibilities.
  • Consumerkonto: Consumerkonten sind die Konten, die in Ihrem Azure AD B2C-Verzeichnis erstellt werden, wenn Benutzer die Registrierungs-User Journey in einer Anwendung ausführen, die Sie in Ihrem Mandanten registriert haben.Consumer account - Consumer accounts are the accounts created in your Azure AD B2C directory when users complete the sign-up user journey in an application you've registered in your tenant.

Azure AD B2C-Seite „Benutzerverwaltung“ im Azure-PortalAzure AD B2C user management page in the Azure portal
Abbildung: Benutzerverzeichnis in einem Azure AD B2C-Mandanten im Azure-PortalFigure: User directory within an Azure AD B2C tenant in the Azure portal

ConsumerkontenConsumer accounts

Mit einem Consumerkonto können sich Benutzer bei den mit Azure AD B2C gesicherten Anwendungen anmelden.With a consumer account, users can sign in to the applications that you've secured with Azure AD B2C. Benutzer mit Consumerkonten können jedoch nicht auf Azure-Ressourcen zugreifen, z. B. auf das Azure-Portal.Users with consumer accounts can't, however, access Azure resources, for example the Azure portal.

Einem Consumerkonto kann den folgenden Identitätstypen zugeordnet werden:A consumer account can be associated with these identity types:

  • Lokale Identität, wobei der Benutzername und das Kennwort lokal im Azure AD B2C-Verzeichnis gespeichert werden.Local identity, with the username and password stored locally in the Azure AD B2C directory. Diese Identitäten werden häufig als „lokale Konten“ bezeichnet.We often refer to these identities as "local accounts."
  • Identitäten für soziale Netzwerke oder Unternehmen, bei denen die Identität des Benutzers von einem Verbundidentitätsanbieter wie Facebook, Microsoft, ADFS oder Salesforce verwaltet wird.Social or enterprise identities, where the identity of the user is managed by a federated identity provider like Facebook, Microsoft, ADFS, or Salesforce.

Ein Benutzer mit einem Consumerkonto kann sich mit mehreren Identitäten anmelden, z. B. Benutzername, E-Mail-Adresse, Mitarbeiter-ID oder Ausweis.A user with a consumer account can sign in with multiple identities, for example username, email, employee ID, government ID, and others. Ein einzelnes Konto kann über mehrere Identitäten verfügen. Dabei kann es sich um lokale Identitäten und Identitäten für soziale Netzwerke handeln.A single account can have multiple identities, both local and social.

Identitäten von ConsumerkontenConsumer account identities
Abbildung: Ein einzelnes Consumerkonto mit mehreren Identitäten in Azure AD B2CFigure: A single consumer account with multiple identities in Azure AD B2C

Mit Azure AD B2C können Sie allgemeine Attribute von Consumerkontoprofilen wie Anzeigename, Nachname, Vorname und Stadt verwalten.Azure AD B2C lets you manage common attributes of consumer account profiles like display name, surname, given name, city, and others. Sie können auch das Azure AD-Schema erweitern, um zusätzliche Informationen zu Ihren Benutzern zu speichern.You can also extend the Azure AD schema to store additional information about your users. Beispiele: Land/Region oder Wohnsitz, bevorzugte Sprache und Voreinstellungen, z. B. ob Sie einen Newsletter abonnieren oder die mehrstufige Authentifizierung aktivieren möchten.For example, their country/region or residency, preferred language, and preferences like whether they want to subscribe to a newsletter or enable multi-factor authentication.

Weitere Informationen zu den Benutzerkontotypen in Azure AD B2C finden Sie unter Übersicht über Benutzerkonten in Azure Active Directory B2C.Learn more about the user account types in Azure AD B2C in Overview of user accounts in Azure Active Directory B2C.

Externe IdentitätsanbieterExternal identity providers

Sie können Azure AD B2C so konfigurieren, dass Benutzer sich bei Ihrer Anwendung mit Anmeldeinformationen von externen Identitätsanbietern (Identity Provider, IdP) für soziale Netzwerke oder Unternehmen anmelden können.You can configure Azure AD B2C to allow users to sign in to your application with credentials from external social or enterprise identity providers (IdP). Azure AD B2C unterstützt externe Identitätsanbieter wie Facebook, Microsoft-Konto, Google, Twitter und alle Identitätsanbieter, die OAuth 1.0, OAuth 2.0, OpenID Connect und SAML-Protokolle unterstützen.Azure AD B2C supports external identity providers like Facebook, Microsoft account, Google, Twitter, and any identity provider that supports OAuth 1.0, OAuth 2.0, OpenID Connect, and SAML protocols.

Externe Identitätsanbieter

Mit dem Verbund für externe Identitätsanbieter können Sie Ihren Kunden die Möglichkeit bieten, sich mit ihren vorhandenen Konten für soziale Netzwerke oder Unternehmen anzumelden, ohne dass sie ein neues Konto nur für Ihre Anwendung erstellen müssen.With external identity provider federation, you can offer your consumers the ability to sign in with their existing social or enterprise accounts, without having to create a new account just for your application.

Azure AD B2C bietet auf der Registrierungs- oder Anmeldeseite eine Liste externer Identitätsanbieter an, die der Benutzer für die Anmeldung auswählen kann.On the sign-up or sign-in page, Azure AD B2C presents a list of external identity providers the user can choose for sign-in. Nachdem sie einen der externen Identitätsanbieter ausgewählt haben, werden sie auf die Website des ausgewählten Anbieters weitergeleitet, um den Anmeldevorgang abzuschließen.Once they select one of the external identity providers, they're taken (redirected) to the selected provider's website to complete the sign in process. Nachdem sich der Benutzer erfolgreich angemeldet hat, kehrt er zurück zu Azure AD B2C, um das Konto in Ihrer Anwendung zu authentifizieren.After the user successfully signs in, they're returned to Azure AD B2C for authentication of the account in your application.

Beispiel für die mobile Anmeldung mit einem Konto für soziale Netzwerke (Facebook)

Weitere Informationen zum Hinzufügen von Identitätsanbietern in Azure AD B2C finden Sie unter Tutorial: Hinzufügen von Identitätsanbietern zu Ihren Anwendungen in Azure Active Directory B2C.To see how to add identity providers in Azure AD B2C, see Tutorial: Add identity providers to your applications in Azure Active Directory B2C.

Identitätsverwaltung: Benutzerflows oder benutzerdefinierte RichtlinienIdentity experiences: user flows or custom policies

Das erweiterbare Richtlinienframework ist der größte Vorteil von Azure AD B2C.The extensible policy framework of Azure AD B2C is its core strength. Richtlinien beschreiben Benutzerfunktionen im Zusammenhang mit der Identität, z. B. Registrierung, Anmeldung oder Profilbearbeitung.Policies describe your users' identity experiences such as sign up, sign in, and profile editing.

In Azure AD B2C gibt es zwei primäre Pfade, mit denen Sie diese Identitätsfunktionen bereitstellen können: Benutzerflows und benutzerdefinierte Richtlinien.In Azure AD B2C, there are two primary paths you can take to provide these identity experiences: user flows and custom policies.

  • Benutzerflows sind vordefinierte, integrierte und konfigurierbare Richtlinien, die zur Verfügung gestellt werden, damit Sie in wenigen Minuten Umgebungen zur Registrierung, Anmeldung und Profilbearbeitung erstellen können.User flows are predefined, built-in, configurable policies that we provide so you can create sign-up, sign-in, and policy editing experiences in minutes.

  • Benutzerdefinierte Richtlinien ermöglichen es Ihnen, eigene User Journeys für komplexe Identitätsszenarios zu erstellen.Custom policies enable you to create your own user journeys for complex identity experience scenarios.

Sowohl Benutzerflows als auch benutzerdefinierte Richtlinien basieren auf dem Identity Experience Framework, der Orchestrierungs-Engine für Richtlinien in Azure AD B2C.Both user flows and custom policies are powered by the Identity Experience Framework, Azure AD B2C's policy orchestration engine.

BenutzerflowUser flow

Um Ihnen die schnelle Einrichtung der gängigsten Identitätsaufgaben zu erleichtern, enthält das Azure-Portal verschiedene vordefinierte und konfigurierbare Richtlinien, die als Benutzerflows bezeichnet werden.To help you quickly set up the most common identity tasks, the Azure portal includes several predefined and configurable policies called user flows.

Sie können Benutzerfloweinstellungen wie die folgenden konfigurieren, um das Verhalten von Identitäten in Ihren Anwendungen zu steuern:You can configure user flow settings like these to control identity experience behaviors in your applications:

  • Kontotypen für die Anmeldung, z. B. Konten für soziale Netzwerke wie Facebook oder lokale Konten, die eine E-Mail-Adresse und ein Kennwort für die Anmeldung verwendenAccount types used for sign-in, such as social accounts like a Facebook, or local accounts that use an email address and password for sign-in
  • Attribute, die vom Consumer abgefragt werden, z. B. Vorname, Postleitzahl oder Land/Region des WohnsitzesAttributes to be collected from the consumer, such as first name, postal code, or country/region of residency
  • Azure AD Multi-Factor Authentication (MFA)Azure AD Multi-Factor Authentication (MFA)
  • Anpassung der BenutzeroberflächeCustomization of the user interface
  • Eine Reihe von Ansprüchen in einem Token, die Ihre Anwendung empfängt, nachdem der Benutzer den Benutzerflow abgeschlossen hatSet of claims in a token that your application receives after the user completes the user flow
  • SitzungsverwaltungSession management
  • ... und vieles mehr....and more.

Die häufigsten Identitätsszenarien für die meisten Mobil-, Webanwendungen und Single-Page-Anwendungen können mit Benutzerflows effizient definiert und implementiert werden.Most common identity scenarios for the majority of mobile, web, and single-page applications can be defined and implemented effectively with user flows. Es wird empfohlen, die integrierten Benutzerflows zu verwenden, es sei denn, Sie benötigen für komplexe User Journey-Szenarien die hohe Flexibilität von benutzerdefinierten Richtlinien.We recommend that you use the built-in user flows unless you have complex user journey scenarios that require the full flexibility of custom policies.

Weitere Informationen über Benutzerflows finden Sie unter Benutzerflows in Azure Active Directory B2C.Learn more about user flows in User flows in Azure Active Directory B2C.

Benutzerdefinierte RichtlinieCustom policy

Über benutzerdefinierte Richtlinien schöpfen Sie alle Möglichkeiten der IEF-Orchestrierungs-Engine (Identity Experience Framework) aus.Custom policies unlock access to the full power of the Identity Experience Framework (IEF) orchestration engine. Mit benutzerdefinierten Richtlinien können Sie IEF verwenden, um nahezu jede erdenkliche Funktion zur Authentifizierung, Benutzerregistrierung oder Profilbearbeitung zu erstellen.With custom policies, you can leverage IEF to build almost any authentication, user registration, or profile editing experience that you can imagine.

Das Identity Experience Framework erlaubt es Ihnen, User Journeys zu entwickeln, die beliebige Schritte umfassen.The Identity Experience Framework gives you the ability to construct user journeys with any combination of steps. Beispiel:For example:

  • Verbund mit anderen IdentitätsanbieternFederate with other identity providers
  • Abfragen für Erst- und Drittanbieterlösungen für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA)First- and third-party multi-factor authentication (MFA) challenges
  • Beliebige Benutzereingaben erfassenCollect any user input
  • Integration in externe Systeme mithilfe der REST-API-KommunikationIntegrate with external systems using REST API communication

Jede dieser User Journeys wird durch eine Richtlinie definiert, und Sie können so viele oder wenige Richtlinien erstellen, wie Sie benötigen, um die optimale Benutzererfahrung für Ihre Organisation zu ermöglichen.Each such user journey is defined by a policy, and you can build as many or as few policies as you need to enable the best user experience for your organization.

Diagramm mit einem Beispiel für eine durch IEF ermöglichte komplexe User Journey

Benutzerdefinierte Richtlinien werden durch mehrere Dateien im XML-Format definiert, die in einer hierarchischen Kette aufeinander verweisen.A custom policy is defined by several XML files that refer to each other in a hierarchical chain. Die XML-Elemente definieren das Anspruchsschema, Anspruchstransformationen, Inhaltsdefinitionen, Anspruchsanbieter, technische Profile, Schritte zur Orchestrierung von User Journeys und weitere Aspekte der Identitätsverwaltung.The XML elements define the claims schema, claims transformations, content definitions, claims providers, technical profiles, user journey orchestration steps, and other aspects of the identity experience.

Die leistungsstarke Flexibilität von benutzerdefinierten Richtlinien ist am besten geeignet, wenn Sie komplexe Identitätsszenarien erstellen müssen.The powerful flexibility of custom policies is most appropriate for when you need to build complex identity scenarios. Entwickler, die benutzerdefinierte Richtlinien konfigurieren, müssen die vertrauenswürdigen Beziehungen im Detail definieren, um Metadatenendpunkte und genaue Anspruchsaustauschdefinitionen einzuschließen und bei Bedarf zudem Geheimnisse, Schlüssel und Zertifikate durch die einzelnen Identitätsanbieter zu konfigurieren.Developers configuring custom policies must define the trusted relationships in careful detail to include metadata endpoints, exact claims exchange definitions, and configure secrets, keys, and certificates as needed by each identity provider.

Weitere Informationen über benutzerdefinierte Richtlinien finden Sie unter Benutzerdefinierte Richtlinien in Azure Active Directory B2C.Learn more about custom policies in Custom policies in Azure Active Directory B2C.

Protokolle und TokenProtocols and tokens

  • Für Anwendungen unterstützt Azure AD B2C die Protokolle OAuth 2.0, OpenID Connect und SAML für User Journeys.For applications, Azure AD B2C supports the OAuth 2.0, OpenID Connect, and SAML protocols for user journeys. Ihre Anwendung startet die User Journey, indem sie Authentifizierungsanforderungen an Azure AD B2C stellt.Your application starts the user journey by issuing authentication requests to Azure AD B2C. Das Ergebnis einer an Azure AD B2C gerichteten Anforderung ist ein Sicherheitstoken (z. B. ein ID-Token, Zugriffstoken oder SAML-Token).The result of a request to Azure AD B2C is a security token, such as an ID token, access token, or SAML token. Dieses Sicherheitstoken definiert die Identität des Benutzers in der Anwendung.This security token defines the user's identity within the application.

  • Bei externen Identitäten unterstützt Azure AD B2C den Verbund mit allen OAuth 1.0-, OAuth 2.0-, OpenID Connect- und SAML-Identitätsanbietern.For external identities, Azure AD B2C supports federation with any OAuth 1.0, OAuth 2.0, OpenID Connect, and SAML identity providers.

Das folgende Diagramm zeigt, wie Azure AD B2C mithilfe verschiedener Protokolle innerhalb desselben Authentifizierungsablaufs kommunizieren kann:The following diagram shows how Azure AD B2C can communicate using a variety of protocols within the same authentication flow:

Diagramm der OIDC-basierten Client-App im Verbund mit einem SAML-basierten IdP

  1. Die anspruchsbasierte Anwendung initiiert eine Autorisierungsanforderung an Azure AD B2C mithilfe von OpenID Connect.The relying party application initiates an authorization request to Azure AD B2C using OpenID Connect.
  2. Wenn sich ein Benutzer der Anwendung mit einem externen Identitätsanbieter anmeldet, der das SAML-Protokoll verwendet, ruft Azure AD B2C das SAML-Protokoll für die Kommunikation mit dem Identitätsanbieter auf.When a user of the application chooses to sign in using an external identity provider that uses the SAML protocol, Azure AD B2C invokes the SAML protocol to communicate with that identity provider.
  3. Nachdem der Benutzer den Anmeldevorgang mit dem externen Identitätsanbieter abgeschlossen hat, gibt Azure AD B2C das Token mithilfe von OpenID Connect an die anspruchsbasierte Anwendung zurück.After the user completes the sign-in operation with the external identity provider, Azure AD B2C then returns the token to the relying party application using OpenID Connect.

AnwendungsintegrationApplication integration

Wenn sich ein Benutzer bei Ihrer Anwendung anmelden möchte, bei der es sich gleichermaßen um eine Web-, Mobil-, Desktop- oder Single-Page-Anwendung (SPA) handeln kann, initiiert die Anwendung eine Autorisierungsanforderung an einen Benutzerflow-Endpunkt oder einen von der benutzerdefinierten Richtlinie bereitgestellten Endpunkt.When a user wants to sign in to your application, whether it's a web, mobile, desktop, or single-page application (SPA), the application initiates an authorization request to a user flow- or custom policy-provided endpoint. Der Benutzerflow oder die benutzerdefinierte Richtlinie definiert und steuert die Funktionalität für die Benutzer.The user flow or custom policy defines and controls the user's experience. Wenn Sie einen Benutzerflow ausführen, z. B. den Flow für Registrierung oder Anmeldung, generiert Azure AD B2C ein Token und leitet den Benutzer dann wieder zurück zur Anwendung um.When they complete a user flow, for example the sign-up or sign-in flow, Azure AD B2C generates a token, then redirects the user back to your application.

Mobile App mit Pfeilen, die den Flow zur Azure AD B2C-Anmeldeseite darstellen

Mehrere Anwendungen können den gleichen Benutzerflow oder die gleiche benutzerdefinierte Richtlinie verwenden.Multiple applications can use the same user flow or custom policy. Jede Anwendung kann mehrere Benutzerflows oder benutzerdefinierte Richtlinien verwenden.A single application can use multiple user flows or custom policies.

Beispielsweise kann die Anwendung den Benutzerflow Registrieren oder anmelden für die Anmeldung bei einer Anwendung verwenden.For example, to sign in to an application, the application uses the sign up or sign in user flow. Wenn sich der Benutzer angemeldet hat und nun sein Profil bearbeiten möchte, initiiert die Anwendung eine weitere Autorisierungsanforderung, dieses Mal unter Verwendung des Benutzerflows Profilbearbeitung.After the user has signed in, they may want to edit their profile, so the application initiates another authorization request, this time using the profile edit user flow.

Nahtlose BenutzererfahrungSeamless user experiences

In Azure AD B2C können Sie die Identitätsfunktionen für Benutzer so gestalten, dass sich die angezeigten Seiten nahtlos in das Design Ihrer Marke einfügen.In Azure AD B2C, you can craft your users' identity experiences so that the pages they're shown blend seamlessly with the look and feel of your brand. Sie hab die fast vollständige Kontrolle über HTML- und CSS-Inhalte, die Ihren Benutzern beim Durchlaufen der Identitäts-User Journeys in Ihrer Anwendung angezeigt werden.You get nearly full control of the HTML and CSS content presented to your users when they proceed through your application's identity journeys. Dank dieser Flexibilität können Sie die Konsistenz von Marken und visuellen Elementen zwischen Ihrer Anwendung und Azure AD B2C sicherstellen.With this flexibility, you can maintain brand and visual consistency between your application and Azure AD B2C.

Screenshots einer an die Marke angepassten Registrierungs-/Anmeldeseite

Weitere Informationen über die Anpassung der Benutzeroberfläche finden Sie unter Informationen zur Anpassung der Benutzeroberfläche (UI) in Azure Active Directory B2C.For information on UI customization, see About user interface customization in Azure Active Directory B2C.

LokalisierungLocalization

Die Sprachanpassung in Azure AD B2C ermöglicht es Ihnen, verschiedene Sprachen zu unterstützen, um auf die Anforderungen Ihrer Kunden einzugehen.Language customization in Azure AD B2C allows you to accommodate different languages to suit your customer needs. Microsoft stellt Übersetzungen für 36 Sprachen bereit. Sie können aber auch eigene Übersetzungen für beliebige Sprachen bereitstellen.Microsoft provides the translations for 36 languages, but you can also provide your own translations for any language. Auch wenn Ihre Benutzeroberfläche nur für eine einzelne Sprache bestimmt ist, können Sie beliebigen Text auf den Seiten anpassen.Even if your experience is provided for only a single language, you can customize any text on the pages.

Drei Anmeldeseiten für die Registrierung mit Benutzeroberflächentext in verschiedenen Sprachen

Weitere Informationen zur Funktionsweise der Lokalisierung finden Sie unter Sprachanpassung in Azure Active Directory B2C.See how localization works in Language customization in Azure Active Directory B2C.

Hinzufügen Ihrer eigenen GeschäftslogikAdd your own business logic

Wenn Sie benutzerdefinierte Richtlinien verwenden, können Sie eine RESTful-API in eine User Journey integrieren, um der Journey ihre eigene Geschäftslogik hinzuzufügen.If you choose to use custom policies, you can integrate with a RESTful API in a user journey to add your own business logic to the journey. Beispielsweise können mit Azure AD B2C Daten mit einem RESTful-Dienst ausgetauscht werden, um Folgendes zu erreichen:For example, Azure AD B2C can exchange data with a RESTful service to:

  • Anzeigen eigener benutzerfreundlicher Fehlermeldungen.Display custom user-friendly error messages.
  • Überprüfen von Benutzereingabedaten, um zu verhindern, dass falsch formatierte Daten im Benutzerverzeichnis gespeichert werden.Validate user input to prevent malformed data from persisting in your user directory. Beispielsweise können Sie die Daten ändern, die vom Benutzer eingegeben wurden, z. B. die Groß-/Kleinschreibung des Vornamens, wenn er in Kleinbuchstaben eingegeben wurde.For example, you can modify the data entered by the user, such as capitalizing their first name if they entered it in all lowercase.
  • Erweitern der Benutzerdaten, indem Sie sie stärker in die Branchenanwendung des Unternehmens integrieren.Enrich user data by further integrating with your corporate line-of-business application.
  • Mit RESTful-Aufrufen können Sie Pushbenachrichtigungen senden, Unternehmensdatenbanken aktualisieren, einen Benutzermigrationsprozess ausführen, Berechtigungen verwalten, Datenbanken überwachen und andere Aktionen ausführen.Using RESTful calls, you can send push notifications, update corporate databases, run a user migration process, manage permissions, audit databases, and more.

Treueprogramme sind ein weiteres Szenario, das durch die Azure AD B2C-Unterstützung für Aufrufe von Rest-APIs ermöglicht wird.Loyalty programs are another scenario enabled by Azure AD B2C's support for calling REST APIs. Ihr RESTful-Dienst kann z. B. die E-Mail-Adresse des Benutzers empfangen, die Kundendatenbank abfragen und die Treuenummer des Benutzers an Azure AD B2C zurückgeben.For example, your RESTful service can receive a user's email address, query your customer database, then return the user's loyalty number to Azure AD B2C. Die Rückgabedaten können in Azure AD B2C im Verzeichniskonto des Benutzers gespeichert werden. Anschließend werden sie in den nachfolgenden Schritten der Richtlinie weiter ausgewertet oder in das Zugriffstoken eingebunden.The return data can be stored in the user's directory account in Azure AD B2C, then be further evaluated in subsequent steps in the policy, or be included in the access token.

Branchenintegration in einer mobilen Anwendung

Sie können einen Rest-API-Aufruf in jedem Schritt der User Journey hinzufügen, die durch eine benutzerdefinierte Richtlinie definiert ist.You can add a REST API call at any step in the user journey defined by a custom policy. Beispielsweise können Sie in folgenden Schritten eine Rest-API aufrufen:For example, you can call a REST API:

  • Während der Anmeldung, kurz bevor Azure AD B2C die Anmeldeinformationen überprüftDuring sign-in, just before Azure AD B2C validates the credentials
  • Unmittelbar nach der AnmeldungImmediately after sign-in
  • Bevor Azure AD B2C ein neues Konto im Verzeichnis erstelltBefore Azure AD B2C creates a new account in the directory
  • Nachdem Azure AD B2C ein neues Konto im Verzeichnis erstellt hatAfter Azure AD B2C creates a new account in the directory
  • Bevor Azure AD B2C ein Zugriffstoken ausgibtBefore Azure AD B2C issues an access token

Informationen zum Verwenden benutzerdefinierter Richtlinien für die RESTful-API-Integration in Azure AD B2C finden Sie unter Integrieren von REST-API-Anspruchsaustauschvorgängen in Ihre benutzerdefinierte Azure AD B2C-Richtlinie.To see how to use custom policies for RESTful API integration in Azure AD B2C, see Integrate REST API claims exchanges in your Azure AD B2C custom policy.

Schützen von KundenidentitätenProtect customer identities

In Azure AD B2C werden die im Microsoft Azure Trust Center beschriebenen Sicherheits-, Datenschutz- und sonstigen Anforderungen erfüllt.Azure AD B2C complies with the security, privacy, and other commitments described in the Microsoft Azure Trust Center.

Sitzungen werden als verschlüsselte Daten modelliert, wobei der Entschlüsselungsschlüssel nur dem Azure AD B2C-Sicherheitstokendienst bekannt ist.Sessions are modeled as encrypted data, with the decryption key known only to the Azure AD B2C Security Token Service. Es wird ein starker Verschlüsselungsalgorithmus (AES-192) verwendet.A strong encryption algorithm, AES-192, is used. Alle Kommunikationspfade werden für Vertraulichkeit und Integrität durch TLS geschützt.All communication paths are protected with TLS for confidentiality and integrity. Unser Sicherheitstokendienst verwendet ein Zertifikat für die erweiterte Validierung (Extended Validation, EV) für TLS.Our Security Token Service uses an Extended Validation (EV) certificate for TLS. Im Allgemeinen verringert der Sicherheitstokendienst die Möglichkeit von XSS-Angriffen (Cross-Site-Scripting), indem nicht vertrauenswürdigen Eingaben nicht gerendert werden.In general, the Security Token Service mitigates cross-site scripting (XSS) attacks by not rendering untrusted input.

Diagramm sicherer Daten während der Übertragung und im Ruhezustand

Zugriff auf BenutzerdatenAccess to user data

Azure AD B2C-Mandanten weisen viele Merkmale auf, die auch Unternehmens-Azure Active Directory-Mandanten besitzen, die für Mitarbeiter und Partner verwendet werden.Azure AD B2C tenants share many characteristics with enterprise Azure Active Directory tenants used for employees and partners. Zu den gemeinsamen Aspekten gehören Mechanismen zum Anzeigen von Administratorrollen, Zuweisen von Rollen und Überwachen von Aktivitäten.Shared aspects include mechanisms for viewing administrative roles, assigning roles, and auditing activities.

Sie können Rollen zuweisen, um zu steuern, wer bestimmte administrative Aktionen in Azure AD B2C ausführen kann, einschließlich:You can assign roles to control who can perform certain administrative actions in Azure AD B2C, including:

  • Erstellen und Verwalten aller Aspekte von BenutzerflowsCreate and manage all aspects of user flows
  • Erstellen und Verwalten des Attributschemas für alle BenutzerflowsCreate and manage the attribute schema available to all user flows
  • Konfigurieren von Identitätsanbietern für die Verwendung in einem direkten VerbundConfigure identity providers for use in direct federation
  • Erstellen und Verwalten von Vertrauensframework-Richtlinien im Identity Experience Framework (benutzerdefinierte Richtlinien)Create and manage trust framework policies in the Identity Experience Framework (custom policies)
  • Verwalten von Geheimnissen für Verbund und Verschlüsselung im Identity Experience Framework (benutzerdefinierte Richtlinien)Manage secrets for federation and encryption in the Identity Experience Framework (custom policies)

Weitere Informationen zu Azure AD-Rollen, einschließlich Unterstützung für Azure AD B2C-Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information about Azure AD roles, including Azure AD B2C administration role support, see Administrator role permissions in Azure Active Directory.

Multi-Factor Authentication (MFA)Multi-factor authentication (MFA)

Azure AD B2C Multi-Factor Authentication (MFA) trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und ist dabei für Ihre Benutzer einfach zu verwenden.Azure AD B2C multi-factor authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for your users. Indem eine zweite Form der Authentifizierung verlangt wird, bietet das Verfahren zusätzliche Sicherheit und eine zuverlässige Authentifizierung, indem verschiedene benutzerfreundliche Authentifizierungsmethoden zur Verfügung gestellt werden.It provides additional security by requiring a second form of authentication, and delivers strong authentication by offering a range of easy-to-use authentication methods. Sie als Administrator können über die Konfiguration festlegen, ob Ihre Benutzer aufgefordert werden, die MFA zu verwenden.Your users may or may not be challenged for MFA based on configuration decisions that you can make as an administrator.

Weitere Informationen zum Aktivieren der MFA in Benutzerflows finden Sie unter Aktivieren der Multi-Factor Authentication in Azure Active Directory B2C.See how to enable MFA in user flows in Enable multi-factor authentication in Azure Active Directory B2C.

Intelligente KontosperrungSmart account lockout

Um Brute-Force-Versuche zum Erraten von Kennwörtern zu verhindern, verwendet Azure AD B2C eine ausgereifte Strategie zum Sperren von Konten auf der Grundlage der IP-Adresse der Anforderung, der eingegebenen Kennwörter und verschiedener anderer Faktoren.To prevent brute-force password guessing attempts, Azure AD B2C uses a sophisticated strategy to lock accounts based on the IP of the request, the passwords entered, and several other factors. Die Dauer der Sperre wird basierend auf dem Risiko und der Anzahl der Versuche automatisch ausgedehnt.The duration of the lockout is automatically increased based on risk and the number of attempts.

Benutzerdefinierte intelligente Sperre

Informationen zur Verwaltung von Kennwortschutzeinstellungen finden Sie unter Verwalten von Bedrohungen für Ressourcen und Daten in Azure Active Directory B2C.For more information about managing password protection settings, see Manage threats to resources and data in Azure Active Directory B2C.

KennwortkomplexitätPassword complexity

Bei der Registrierung oder dem Zurücksetzen des Kennworts müssen Ihre Benutzer ein Kennwort angeben, das die Regeln für die Komplexität erfüllt.During sign up or password reset, your users must supply a password that meets complexity rules. Standardmäßig erzwingt Azure AD B2C eine Richtlinie für sichere Kennwörter.By default, Azure AD B2C enforces a strong password policy. Azure AD B2C bietet auch Konfigurationsoptionen zum Angeben der Komplexitätsanforderungen an Kennwörter, die von ihren Kunden verwendet werden.Azure AD B2C also provides configuration options for specifying the complexity requirements of the passwords your customers use.

Sie können die Anforderungen an die Kennwortkomplexität sowohl in Benutzerflows als auch in benutzerdefinierten Richtlinien konfigurieren.You can configure password complexity requirements in both user flows and custom policies.

Überwachung und ProtokollierungAuditing and logs

Azure AD B2C gibt Überwachungsprotokolle aus, die Aktivitätsinformationen über Ressourcen, ausgestellte Token und Administratorzugriff enthalten.Azure AD B2C emits audit logs containing activity information about its resources, issued tokens, and administrator access. Sie können diese Überwachungsprotokolle verwenden, um Plattformaktivitäten zu verfolgen und Probleme zu diagnostizieren.You can use these audit logs to understand platform activity and diagnose issues. Überwachungsprotokolleinträge sind kurz nach Eintreten der Aktivität verfügbar, die das Ereignis generiert hat.Audit log entries are available soon after the activity that generated the event occurs.

In einem Überwachungsprotokoll, das für Ihren Azure AD B2C-Mandanten oder für einen bestimmten Benutzer verfügbar ist, finden Sie Informationen wie die folgenden:In an audit log, which is available for your Azure AD B2C tenant or for a particular user, you can find information including:

  • Aktivitäten, die die Autorisierung eines Benutzers für den Zugriff auf B2C-Ressourcen betreffen (z.B. ein Administrator, der auf eine Liste von B2C-Richtlinien zugreift).Activities concerning the authorization of a user to access B2C resources (for example, an administrator accessing a list of B2C policies)
  • Aktivitäten im Zusammenhang mit Verzeichnisattributen, die abgerufen werden, wenn sich ein Administrator über das Azure-Portal anmeldet.Activities related to directory attributes retrieved when an administrator signs in using the Azure portal
  • Erstellungs-, Lese-, Aktualisierungs- und Löschvorgänge (Create, Read, Update, Delete, CRUD) für B2C-AnwendungenCreate, read, update, and delete (CRUD) operations on B2C applications
  • CRUD-Vorgänge für in einem B2C-Schlüsselcontainer gespeicherte SchlüsselCRUD operations on keys stored in a B2C key container
  • CRUD-Vorgänge für B2C-Ressourcen (z.B. Richtlinien und Identitätsanbieter)CRUD operations on B2C resources (for example, policies and identity providers)
  • Überprüfung der Anmeldeinformationen des Benutzers und TokenausstellungValidation of user credentials and token issuance

Überwachungsprotokoll für einzelne Benutzer im Azure-Portal

Weitere Informationen zu Überwachungsprotokollen finden Sie unter Zugriff auf Active Directory B2C-Überwachungsprotokolle.For additional details on audit logs, see Accessing Azure AD B2C audit logs.

NutzungsinformationenUsage insights

Über Azure AD B2C können Sie ermitteln, wann Benutzer sich bei Ihrer Web-App registrieren oder anmelden, wo sie sich befinden und welche Browser und Betriebssysteme sie verwenden.Azure AD B2C allows you to discover when people sign up or sign in to your web app, where your users are located, and what browsers and operating systems they use. Durch die Integration von Azure Application Insights in Azure AD B2C mithilfe von benutzerdefinierten Richtlinien erhalten Sie Informationen über Registrierung, Anmeldung, Zurücksetzen von Kennwörtern und Profilbearbeitung.By integrating Azure Application Insights into Azure AD B2C by using custom policies, you can gain insight into how people sign up, sign in, reset their password or edit their profile. Mit diesem Wissen können Sie datengesteuerte Entscheidungen über die zukünftigen Entwicklungszyklen treffen.With such knowledge, you can make data-driven decisions for your upcoming development cycles.

Weitere Informationen über die Nutzungsanalyse finden Sie unter Nachverfolgen des Benutzerverhaltens in Azure Active Directory B2C mithilfe von Application Insights.Find out more about usage analytics in Track user behavior in Azure Active Directory B2C using Application Insights.

Nächste SchritteNext steps

Nachdem Sie sich nun ausführlicher mit den Features und technischen Aspekten von Azure Active Directory B2C befasst haben, legen Sie mit dem Tutorial zum Erstellen eines Azure Active Directory B2C-Mandanten los.Now that you have deeper view into the features and technical aspects of Azure Active Directory B2C, get started with our tutorial for creating an Azure Active Directory B2C tenant.