Az Azure AD B2C egyéni szabályzatának áttekintése

  • Cikk
  • 8 perc alatt elolvasható

Az egyéni szabályzatok olyan konfigurációs fájlok, amelyekkel meghatározható az Azure Active Directory B2C- (Azure AD B2C-) bérlő viselkedése. Bár a felhasználói folyamatok előre definiálva vannak az Azure AD B2C portálon a leggyakoribb identitáskezelési feladatokhoz, az identitásfejlesztők teljes mértékben szerkeszthetik az egyéni szabályzatokat, hogy számos különböző feladatot végezzenek el.

Az egyéni szabályzatok teljes mértékben konfigurálhatók és szabályzatalapúak. Az egyéni szabályzatok a standard protokollok entitásai közötti megbízhatóságot vezénylik. Például OpenID Csatlakozás, OAuth, SAML és néhány nem szabványos is, például REST API-alapú rendszer-rendszer jogcímek cseréje. A keretrendszer felhasználóbarát, fehér címkével ellátott szolgáltatásokat hoz létre.

Az egyéni házirendek egy vagy több XML-formátumú fájlként jelennek meg, amelyek hierarchikus láncban hivatkoznak egymásra. Az XML-elemek határozzák meg az építőelemeket, a felhasználóval és más felekkel való interakciót, valamint az üzleti logikát.

Egyéni szabályzat kezdőcsomagja

Az Azure AD B2C egyéni szabályzat-kezdőcsomagja számos előre elkészített szabályzattal rendelkezik, amelyek segítségével gyorsan el is érheti a pályát. Ezen kezdőcsomagok mindegyike tartalmazza a leírt forgatókönyvek eléréséhez szükséges legkevesebb technikai profilt és felhasználói folyamatot:

  • LocalAccounts – Csak a helyi fiókok használatát engedélyezi.
  • SocialAccounts – Csak közösségi (vagy összevont) fiókok használatát engedélyezi.
  • SocialAndLocalAccounts – Lehetővé teszi a helyi és a közösségi fiókok használatát is. A legtöbb minta erre a szabályzatra vonatkozik.
  • SocialAndLocalAccountsWithMFA – Engedélyezi a közösségi, helyi és többtényezős hitelesítési lehetőségeket.

Az Azure AD B2C-minták GitHub adattárban számos továbbfejlesztett Azure AD B2C egyéni CIAM-felhasználói folyamathoz találhat mintákat. Például a helyi fiókszabályzat fejlesztései, a közösségi fiók házirendjének fejlesztései, az MFA fejlesztései, a felhasználói felület fejlesztései, általános fejlesztések, alkalmazásmigrálás, felhasználói migrálás, feltételes hozzáférés, webes teszt és CI/CD.

Az alapok ismertetése

Jogcímek

A jogcímek ideiglenes adattárolást biztosítanak egy Azure AD B2C-szabályzat végrehajtása során. Tárolhatja a felhasználóval kapcsolatos információkat, például a vezetéknevet, a vezetéknevet vagy a felhasználótól vagy más rendszerektől beszerzett bármely egyéb jogcímet (jogcímcsere). A jogcímséma az a hely, ahol a jogcímeket deklarálja.

A szabályzat futtatásakor az Azure AD B2C jogcímeket küld és fogad belső és külső felektől, majd e jogcímek egy részét elküldi a függő entitás alkalmazásának a jogkivonat részeként. A jogcímek a következő módokon használhatók:

  • A rendszer ment, olvas vagy frissít egy jogcímet a címtár-felhasználói objektumon.
  • A rendszer egy külső identitásszolgáltatótól kap jogcímet.
  • A jogcímek küldése vagy fogadása egyéni REST API-szolgáltatással történik.
  • A rendszer jogcímekként gyűjti az adatokat a felhasználótól a regisztrációs vagy szerkesztési profilfolyamatok során.

A jogcímek módosítása

A jogcímátalakítások előre definiált függvények, amelyekkel egy adott jogcímet egy másikká alakíthat, kiértékelhet egy jogcímet, vagy beállíthat egy jogcímértéket. Például elemet adhat hozzá egy sztringgyűjteményhez, módosíthatja egy sztring esetét, vagy kiértékelhet egy dátum- és időjogcímet. A jogcímátalakítás egy átalakítási módszert határoz meg.

Felhasználói felület testreszabása és honosítása

Ha adatokat szeretne gyűjteni a felhasználóktól egy lap webböngészőben való bemutatásával, használja az önaláért technikai profilt. Az önaláírt műszaki profilt szerkesztheti jogcímek hozzáadásához és a felhasználói bevitel testreszabásához.

Az önaláért technikai profil felhasználói felületének testreszabásához meg kell adnia egy URL-címet a tartalomdefiníciós elemben testreszabott HTML-tartalommal. Az önaláért technikai profilban erre a tartalomdefiníció-azonosítóra mutat.

A nyelvspecifikus sztringek testreszabásához használja a honosítási elemet. A tartalomdefiníciók tartalmazhatnak egy honosítási hivatkozást, amely meghatározza a betöltendő honosított erőforrások listáját. Az Azure AD B2C egyesíti a felhasználói felület elemeit az URL-címből betöltött HTML-tartalommal, majd megjeleníti a lapot a felhasználónak.

Függő entitás házirendjének áttekintése

Egy függő entitásalkalmazás, amely az SAML protokollban szolgáltatóként ismert, meghívja a függő entitás szabályzatát egy adott felhasználói folyamat végrehajtásához. A függő entitás házirendje határozza meg a végrehajtandó felhasználói folyamatot, valamint a jogkivonat által tartalmazott jogcímek listáját.

Diagram showing the policy execution flow

Minden olyan függő entitásalkalmazás, amely ugyanazt a szabályzatot használja, ugyanazokat a jogkivonatjogcímeket kapja meg, és a felhasználó ugyanazon a felhasználói folyamaton megy keresztül.

Felhasználói folyamatok

A felhasználói folyamatok lehetővé teszik az üzleti logika meghatározását az alkalmazáshoz való hozzáféréshez követendő elérési úttal. A felhasználó végigvezeti a felhasználói folyamaton, hogy lekérje az alkalmazásnak bemutatni kívánt jogcímeket. A felhasználói folyamat vezénylési lépések sorozatából épül fel. A jogkivonat beszerzéséhez a felhasználónak el kell érnie az utolsó lépést.

Az alábbi utasítások bemutatják, hogyan adhat vezénylési lépéseket a közösségi és helyi fiók kezdőcsomag-szabályzatához . Íme egy példa a hozzáadott REST API-hívásra.

customized user journey

Vezénylési lépések

A vezénylési lépés egy olyan metódusra hivatkozik, amely megvalósítja a kívánt célt vagy funkciót. Ezt a módszert technikai profilnak nevezzük. Ha a felhasználói folyamatnak elágaztatásra van szüksége az üzleti logika jobb ábrázolásához, a vezénylési lépés az alútra hivatkozik. Az alútcsomag saját vezénylési lépéseket tartalmaz.

A jogkivonat beszerzéséhez a felhasználónak el kell érnie a felhasználói folyamat utolsó vezénylési lépését. Előfordulhat azonban, hogy a felhasználóknak nem kell végigjárnia az összes vezénylési lépést. A vezénylési lépések feltételesen végrehajthatók a vezénylési lépésben meghatározott előfeltételek alapján.

A vezénylési lépés befejezése után az Azure AD B2C a kimeneti jogcímeket a jogcímcsomagban tárolja. A jogcímcsomagban lévő jogcímek a felhasználói folyamat további vezénylési lépéseivel használhatók.

Az alábbi diagram bemutatja, hogy a felhasználói folyamat vezénylési lépései hogyan férhetnek hozzá a jogcímcsomaghoz.

Azure AD B2C user journey

Műszaki profil

A technikai profil olyan felületet biztosít, amellyel különböző típusú felekkel kommunikálhat. A felhasználói folyamat kombinálja a technikai profilok meghívását vezénylési lépéseken keresztül az üzleti logika meghatározásához.

A technikai profilok minden típusa ugyanazzal a koncepcióval rendelkezik. Bemeneti jogcímeket küldhet, jogcímátalakítást futtathat, és kommunikálhat a konfigurált féllel. A folyamat befejezése után a műszaki profil visszaadja a kimeneti jogcímeket a jogcímcsomagnak. További információt a technikai profilok áttekintésében talál.

Érvényesítési műszaki profil

Amikor egy felhasználó interakcióba lép a felhasználói felülettel, érdemes lehet ellenőrizni az összegyűjtött adatokat. A felhasználóval való interakcióhoz önaláért technikai profilt kell használni.

A felhasználói bevitel ellenőrzéséhez a rendszer egy érvényesítési műszaki profilt hív meg az önaláírt műszaki profilból. Az érvényesítési technikai profil egy nem interaktív műszaki profil meghívásának módja. Ebben az esetben a műszaki profil kimeneti jogcímeket vagy hibaüzenetet adhat vissza. A hibaüzenet a képernyőn jelenik meg a felhasználó számára, így a felhasználó újrapróbálkozott.

Az alábbi ábra bemutatja, hogy az Azure AD B2C hogyan használ érvényesítési műszaki profilt a felhasználói hitelesítő adatok érvényesítéséhez.

Validation technical profile diagram

Öröklési modell

Minden kezdőcsomag a következő fájlokat tartalmazza:

  • A legtöbb definíciót tartalmazó alapfájl . A szabályzatok hibaelhárításához és hosszú távú karbantartásához próbálja meg minimalizálni a fájlon végrehajtott módosítások számát.
  • Honosítási fájl, amely a honosítási sztringeket tartalmazza. Ez a házirendfájl az alapfájlból származik. Ezzel a fájllal különböző nyelveket használhat az ügyfél igényeinek megfelelően.
  • Egy bővítményfájl , amely a bérlő egyedi konfigurációs módosításait tartalmazza. Ez a házirendfájl a honosítási fájlból származik. Ezzel a fájllal új funkciókat adhat hozzá, vagy felülbírálhatja a meglévő funkciókat. Ezzel a fájllal például összevonhatja az új identitásszolgáltatókat.
  • Egy függő entitás (RP) fájl, amely az egyetlen feladatközpontú fájl, amelyet közvetlenül a függő entitásalkalmazás hív meg, például a webes, mobil- vagy asztali alkalmazások. Minden egyedi feladathoz, például a regisztrációhoz, a bejelentkezéshez vagy a profil szerkesztéséhez saját függő entitás házirendfájlja szükséges. Ez a házirendfájl a bővítményfájlból származik.

Az öröklési modell a következő:

  • A gyermekházirend bármilyen szinten örökölhető a szülőszabályzattól, és új elemek hozzáadásával kiterjeszthető.
  • Összetettebb forgatókönyvek esetén további öröklési szinteket adhat hozzá (összesen legfeljebb 10-et).
  • További függő entitásokra vonatkozó szabályzatokat is hozzáadhat. Törölheti például a fiókomat, módosíthatja a telefonszámot, az SAML függő entitás szabályzatát stb.

Az alábbi ábrán a szabályzatfájlok és a függő entitások alkalmazásai közötti kapcsolat látható.

Diagram showing the trust framework policy inheritance model

Útmutatás és ajánlott eljárások

Ajánlott eljárások

Az egyéni Azure AD B2C-szabályzatokkal integrálhatja saját üzleti logikáját a szükséges felhasználói élmény kialakításához és a szolgáltatás funkcióinak kiterjesztéséhez. Az első lépésekhez számos ajánlott eljárás és javaslat áll a rendelkezésére.

  • Hozza létre a logikát a bővítményszabályzatban vagy a függő entitás szabályzatában. Hozzáadhat új elemeket, amelyek felülbírálják az alapszabályzatot ugyanazzal az azonosítóval. Ezzel a módszerrel kibővítheti a projektet, és később egyszerűbben frissítheti az alapszabályzatot, ha a Microsoft új kezdőcsomagokat ad ki.
  • Az alapszabályzaton belül erősen ajánlott elkerülni a módosítások elvégzését. Szükség esetén tegye megjegyzésbe a módosításokat.
  • Egy elem, például a műszaki profil metaadatainak felülírásakor kerülje a teljes technikai profil másolását az alapszabályzatból. Ehelyett csak az elem szükséges szakaszát másolja ki. Az e-mail-ellenőrzés letiltása című témakörben talál egy példát a módosítás elvégzésére.
  • A technikai profilok duplikálásának csökkentése érdekében, ahol az alapvető funkciók meg vannak osztva, használjon technikai profilbefoglalást.
  • A bejelentkezés során ne írjon az Azure AD-címtárba, ami szabályozási problémákhoz vezethet.
  • Ha a szabályzat külső függőségekkel, például REST API-kkal rendelkezik, győződjön meg arról, hogy magas rendelkezésre állásúak.
  • A jobb felhasználói élmény érdekében győződjön meg arról, hogy az egyéni HTML-sablonok globálisan üzembe vannak helyezve online tartalomkézbesítéssel. Az Azure Content Delivery Network (CDN) lehetővé teszi a betöltési idő csökkentését, a sávszélesség megtakarítását és a válaszsebesség javítását.
  • Ha módosítani szeretné a felhasználói folyamatot, másolja át a teljes felhasználói folyamatot az alapszabályzatból a bővítményszabályzatba. Adjon meg egy egyedi felhasználói útazonosítót a másolt felhasználói folyamathoz. Ezután a függő entitás házirendjében módosítsa az alapértelmezett felhasználói folyamat elemet úgy, hogy az az új felhasználói folyamatra mutasson.

Hibaelhárítás

Az Azure AD B2C-szabályzatokkal való fejlesztés során hibák vagy kivételek léphetnek fel a felhasználói folyamat végrehajtása során. A vizsgálat az Application Elemzések használatával végezhető el.

Folyamatos integráció

Az Azure Pipelinesban beállított folyamatos integrációs és kézbesítési (CI/CD) folyamat használatával az Egyéni Azure AD B2C-szabályzatokat belefoglalhatja a szoftverkézbesítési és kódvezérlési automatizálásba. A különböző Azure AD B2C-környezetekben, például fejlesztési, tesztelési és éles környezetekben való üzembe helyezés során azt javasoljuk, hogy távolítsa el a manuális folyamatokat, és végezze el az automatizált tesztelést az Azure Pipelines használatával.

A környezet előkészítése

Ismerkedjen meg az Egyéni Azure AD B2C-szabályzattal:

  1. Azure AD B2C bérlő létrehozása
  2. Regisztráljon egy webalkalmazást a Azure Portal, hogy tesztelhesse a szabályzatot.
  3. Adja hozzá a szükséges szabályzatkulcsokat , és regisztrálja az Identity Experience Framework-alkalmazásokat.
  4. Szerezze be az Azure AD B2C-szabályzat kezdőcsomagját , és töltse fel a bérlőbe.
  5. A kezdőcsomag feltöltése után tesztelje a regisztrációs vagy bejelentkezési szabályzatot.
  6. Javasoljuk, hogy töltse le és telepítse Visual Studio Code-ot (VS Code). Visual Studio Code egy egyszerű, de hatékony forráskódszerkesztő, amely az asztalon fut, és Windows, macOS és Linux rendszereken érhető el. A VS Code használatával gyorsan navigálhat és szerkesztheti az Azure AD B2C egyéni szabályzat XML-fájljait a VS Code-hoz készült Azure AD B2C-bővítmény telepítésével

Következő lépések

Az Azure AD B2C-szabályzat beállítása és tesztelése után megkezdheti a szabályzat testreszabását. A következő cikkekből megtudhatja, hogyan: