Recomendaciones y procedimientos recomendados para Azure Active Directory B2C
Los siguientes procedimientos recomendados y recomendaciones cubren algunos de los aspectos principales de la integración de Azure Active Directory (Azure AD) B2C en entornos de aplicación nuevos o existentes.
Aspectos básicos
| Procedimiento recomendado | Descripción |
|---|---|
| Elección de flujos de usuario para la mayoría de los escenarios | Identity Experience Framework de Azure AD B2C es el punto fuerte del servicio. Las directivas describen totalmente las experiencias de identidad tales como el registro, el inicio de sesión y la edición de perfil. Para ayudarle a configurar las tareas más comunes de identidad, el portal de Azure AD B2C incluye directivas predefinidas y configurables denominadas flujos de usuario. Con los flujos de usuario, puede crear experiencias de usuario excelentes en cuestión de minutos, con unos pocos clics. Obtenga información sobre cuándo usar flujos de usuario frente a directivas personalizadas. |
| Registros de aplicaciones | Las aplicaciones (web, nativa) y API que se protegen deben registrarse en Azure AD B2C. Si una aplicación tiene tanto una versión web como una nativa de iOS y Android, puede registrarse como una aplicación en Azure AD B2C con el mismo id. de cliente. Obtenga información sobre cómo registrar aplicaciones OIDC, SAML, web y nativas. Obtenga más información sobre los tipos de aplicaciones que se pueden usar en Azure AD B2C. |
| Traslado a la facturación de usuarios activos mensuales | Azure AD B2C ha pasado de las autenticaciones activas mensuales a la facturación de usuarios activos mensuales (MAU). La mayoría de los clientes encontrarán este modelo rentable. Obtenga más información sobre la facturación de usuarios activos mensuales. |
Planificación y diseño
Defina la arquitectura de aplicaciones y servicios, los sistemas actuales de inventario y planee la migración a Azure AD B2C.
| Procedimiento recomendado | Descripción |
|---|---|
| Diseño de una solución de un extremo a otro | Incluya todas las dependencias de las aplicaciones al planear una integración de Azure AD B2C. Tenga en cuenta todos los servicios y productos que se encuentran actualmente en su entorno o que podrían tener que agregarse a la solución, por ejemplo, Azure Functions, los sistemas de administración de relaciones con clientes (CRM), Azure API Management Gateway y los servicios de almacenamiento. Tenga en cuenta la seguridad y la escalabilidad de todos los servicios. |
| Documentación de las experiencias de los usuarios | Detalle todos los recorridos del usuario que los clientes pueden experimentar en la aplicación. Incluya todas las pantallas y los flujos de bifurcación que puedan encontrarse al interactuar con los aspectos de la identidad y el perfil de la aplicación. Incluya facilidad de uso, accesibilidad y localización en el planeamiento. |
| Elección del protocolo de autenticación adecuado | Para ver un desglose de los distintos escenarios de aplicación y sus flujos de autenticación recomendados, consulte Escenarios y flujos de autenticación compatibles. |
| Piloto de una experiencia del usuario de un extremo a otro de prueba de concepto (POC) | Comience con los ejemplos de código de Microsoft y ejemplos de la comunidad. |
| Creación de un plan de migración | La planificación previa puede hacer que la migración se realice de forma más fluida. Obtenga más información acerca de la migración de usuarios. |
| Facilidad de uso frente a seguridad | La solución debe lograr el equilibrio adecuado entre la facilidad de uso de la aplicación y el nivel de riesgo aceptable de la organización. |
| Traslado de dependencias locales a la nube | Para ayudar a garantizar una solución resistente, considere la posibilidad de mover las dependencias de aplicaciones existentes a la nube. |
| Migración de aplicaciones existentes a b2clogin.com | La retirada de login.microsoftonline.com se aplicará para todos los inquilinos de Azure AD B2C del 4 de diciembre de 2020. Más información. |
| Uso de Identity Protection y acceso condicional | Use estas funcionalidades para un mayor control sobre las autenticaciones de riesgo y las directivas de acceso. Se requiere Azure AD B2C P2. Más información. |
| Tamaño del inquilino | Debe hacer su planificación con el tamaño del inquilino de Azure AD B2C en mente. De manera predeterminada, el inquilino de Azure AD B2C puede alojar 1,25 millones de objetos (cuentas de usuario y aplicaciones). Puede aumentar este límite a 5,25 millones de objetos agregando un dominio personalizado al inquilino y comprobándolo. Si necesita un tamaño de inquilino mayor, debe ponerse en contacto con el soporte técnico. |
| Uso de Identity Protection y acceso condicional | Use estas funcionalidades para un mayor control sobre las autenticaciones de riesgo y las directivas de acceso. Se requiere Azure AD B2C P2. Más información. |
Implementación
Durante la fase de implementación, tenga en cuenta las siguientes recomendaciones.
| Procedimiento recomendado | Descripción |
|---|---|
| Edición de las directivas personalizadas con la extensión de Azure AD B2C para Visual Studio Code | Descargue Visual Studio Code y esta extensión creada por la comunidad desde Visual Studio Code Marketplace. Aunque no es un producto oficial de Microsoft, la extensión de Azure AD B2C para Visual Studio Code incluye varias características que ayudan a facilitar el trabajo con directivas personalizadas. |
| Más información acerca de cómo solucionar problemas de Azure AD B2C | Obtenga información acerca de cómo solucionar problemas de las directivas personalizadas durante el desarrollo. Obtenga información sobre el aspecto de un flujo de autenticación normal y use herramientas para detectar anomalías y errores. Por ejemplo, use Application Insights para revisar los registros de salida de los recorridos del usuario. |
| Aprovechamiento de nuestra biblioteca de patrones de directivas personalizadas probadas | Busque ejemplos de varios recorridos del usuario de administración de identidades y acceso de clientes (CIAM) mejorados de Azure AD B2C. |
Prueba
Pruebe y automatice la implementación de Azure AD B2C.
| Procedimiento recomendado | Descripción |
|---|---|
| Cuenta para el tráfico global | Use orígenes de tráfico de una dirección global diferente para probar los requisitos de rendimiento y localización. Asegúrese de que todos los HTML, CSS y las dependencias pueden satisfacer sus necesidades de rendimiento. |
| Pruebas funcionales y de interfaz de usuario | Pruebe los flujos de usuario de un extremo a otro. Agregue pruebas sintéticas cada pocos minutos mediante Selenium, VS web Test, etc. |
| Prueba de penetración | Antes de empezar a trabajar con la solución, realice los ejercicios de pruebas de penetración para comprobar que todos los componentes son seguros, incluidas las dependencias de terceros. Compruebe que ha protegido las API con tokens de acceso y que ha usado el protocolo de autenticación adecuado para el escenario de la aplicación. Obtenga más información sobre las pruebas de penetración y las reglas de interacción de pruebas de penetración unificadas de Microsoft Cloud. |
| Pruebas A/B | Pruebe las nuevas características con un pequeño conjunto aleatorio de usuarios antes de implementarlo en todo el rellenado. Con JavaScript habilitado en Azure AD B2C, puede integrarse con herramientas de prueba A/B, como Optimizely, Clarity y otras. |
| Pruebas de carga | Azure AD B2C se puede escalar, pero la aplicación solo se puede escalar si todas sus dependencias se pueden escalar. Pruebe la carga de las API y CDN. Más información sobre Resistencia mediante los procedimientos recomendados para desarrolladores. |
| Limitaciones | Azure AD B2C limita el tráfico si se envían demasiadas solicitudes desde el mismo origen en un breve período de tiempo. Use varios orígenes de tráfico durante las pruebas de carga y controle el código de error AADB2C90229 correctamente en las aplicaciones. |
| Automation | Use canalizaciones de entrega e integración continuas (CI/CD) para automatizar las pruebas y las implementaciones, por ejemplo, Azure DevOps. |
Operaciones
Administre el entorno de Azure AD B2C.
| Procedimiento recomendado | Descripción |
|---|---|
| Creación de múltiples entornos | Para facilitar la implementación de las operaciones e implementaciones, cree entornos independientes para desarrollo, pruebas, preproducción y producción. Cree inquilinos de Azure AD B2C para cada uno. |
| Uso del control de versiones para las directivas personalizadas | Considere la posibilidad de usar GitHub, Azure Repos u otro sistema de control de versiones basado en la nube para las directivas personalizadas de Azure AD B2C. |
| Uso de Microsoft Graph API para automatizar la administración de los inquilinos de B2C | Microsoft Graph API: Administre Identity Experience Framework (directivas personalizadas). Claves Flujos de usuario |
| Integración con Azure DevOps | Una canalización de CI/CD facilita el traslado de código entre distintos entornos y garantiza siempre la preparación de la producción. |
| Implementar una directiva personalizada | Azure AD B2C se basa en el almacenamiento en caché para ofrecer rendimiento a los usuarios finales. Al implementar una directiva personalizada mediante cualquier método, cabe esperar un retraso de hasta 30 minutos para que los usuarios vean los cambios. Como resultado de este comportamiento, tenga en cuenta los procedimientos siguientes al implementar las directivas personalizadas: - Si va a realizar la implementación en un entorno de desarrollo, establezca el atributo DeploymentMode en Development en el elemento <TrustFrameworkPolicy> del archivo de la directiva personalizada. - Implemente los archivos de directiva actualizados en un entorno de producción cuando el tráfico de la aplicación sea bajo. - Al implementar en un entorno de producción para actualizar los archivos de directiva existentes, cargue los archivos actualizados con nuevos nombres y, a continuación, actualice la referencia de la aplicación a los nuevos nombres. Después, puede quitar los archivos de directiva antiguos. - Puede establecer DeploymentMode en Development en un entorno de producción para omitir el comportamiento de almacenamiento en caché. Sin embargo, no se recomienda esta práctica. Si recopila los registros de Azure AD B2C con Application Insights, se recopilan todas las notificaciones enviadas a y desde los proveedores de identidades, lo que supone un riesgo de seguridad y rendimiento. |
| Implementar actualizaciones de registro de aplicación | Al modificar el registro de la aplicación en el inquilino de Azure AD B2C, como actualizar el URI de redirección de la aplicación, se espera un retraso de hasta 2 horas (3600 s) para que los cambios surtan efecto en el entorno de producción. Se recomienda modificar el registro de la aplicación en el entorno de producción cuando el tráfico de la aplicación sea bajo. |
| Integración con Azure Monitor | Los eventos de registro de auditoría solo se conservan durante siete días. Realice la integración con Azure Monitor para conservar los registros para su uso a largo plazo o integrarlos en herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para sacar conclusiones sobre su entorno. |
| Configuración de supervisión y alertas activas | Siga el comportamiento del usuario en Azure AD B2C mediante Application Insights. |
Actualizaciones de compatibilidad y estado
Manténgase al día con el estado del servicio y busque opciones de soporte técnico.
| Procedimiento recomendado | Descripción |
|---|---|
| Actualizaciones del servicio | Manténgase al día con los anuncios y las actualizaciones del producto de Azure AD B2C. |
| Ayuda y soporte técnico de Microsoft | Envíe una solicitud de soporte técnico para problemas técnicos de Azure AD B2C. Se ofrece de forma gratuita soporte técnico para la administración de suscripciones y la facturación. |
| Estado de Azure | Vea el estado de mantenimiento actual de todos los servicios de Azure. |