Felhasználók migrálása az Azure AD B2C-be

  • Cikk

A másik identitásszolgáltatóról az Azure Active Directory B2C-be (Azure AD B2C) való migráláshoz a meglévő felhasználói fiókok áttelepítése is szükséges lehet. Itt két migrálási módszert ismertetünk, a migrálás előtti és a zökkenőmentes migrálást. Mindkét módszer esetében olyan alkalmazást vagy szkriptet kell írnia, amely a Microsoft Graph API használatával hoz létre felhasználói fiókokat Azure AD B2C-ben.

Ebből a videóból megismerheti Azure AD B2C felhasználói migrálási stratégiáit és megfontolandó lépéseit.

Megjegyzés

A migrálás megkezdése előtt győződjön meg arról, hogy a Azure AD B2C-bérlő nem használt kvótája minden áttelepítendő felhasználónak megfelel. Megtudhatja, hogyan szerezheti be a bérlői használatot. Ha növelnie kell a bérlő kvótakorlátját, forduljon Microsoft ügyfélszolgálata.

Migrálás előtti

A migrálás előtti folyamat során az áttelepítési alkalmazás az alábbi lépéseket hajtja végre az egyes felhasználói fiókok esetében:

  1. Olvassa el a felhasználói fiókot a régi identitásszolgáltatótól, beleértve az aktuális hitelesítő adatait (felhasználónév és jelszó).
  2. Hozzon létre egy megfelelő fiókot a Azure AD B2C-címtárban az aktuális hitelesítő adatokkal.

Használja a migrálás előtti folyamatot az alábbi két helyzetben:

  • Hozzáféréssel rendelkezik egy felhasználó egyszerű szöveges hitelesítő adataihoz (a felhasználó felhasználónevéhez és jelszavához).
  • A hitelesítő adatok titkosítva vannak, de visszafejthetők.

További információ a felhasználói fiókok programozott létrehozásáról: Azure AD B2C-felhasználói fiókok kezelése a Microsoft Graphtal.

Zökkenőmentes migrálás

Használja a zökkenőmentes migrálási folyamatot, ha a régi identitásszolgáltató egyszerű szöveges jelszavai nem érhetők el. Például amikor:

  • A jelszó tárolása egyirányú titkosított formátumban történik, például kivonatfüggvényekkel.
  • A jelszót az örökölt identitásszolgáltató tárolja úgy, hogy ön ne férhessen hozzá. Ha például az identitásszolgáltató egy webszolgáltatás meghívásával érvényesíti a hitelesítő adatokat.

A zökkenőmentes migrálási folyamat továbbra is megköveteli a felhasználói fiókok előzetes migrálását, de egyéni szabályzattal lekérdez egy REST API-t (amelyet ön hoz létre) az egyes felhasználók jelszavának első bejelentkezéskor történő beállításához.

A zökkenőmentes migrálási folyamat két fázisból áll: az áttelepítés előtti és a hitelesítő adatok beállításából.

1. fázis: Migrálás előtti

  1. A migrálási alkalmazás beolvassa a felhasználói fiókokat a régi identitásszolgáltatótól.
  2. Az áttelepítési alkalmazás megfelelő felhasználói fiókokat hoz létre a Azure AD B2C-címtárban, de véletlenszerű jelszavakat állít be.

2. fázis: Hitelesítő adatok beállítása

A fiókok előzetes migrálása után az egyéni szabályzat és a REST API a következőt hajtja végre, amikor egy felhasználó bejelentkezik:

  1. Olvassa el a megadott e-mail-címnek megfelelő Azure AD B2C felhasználói fiókot.
  2. Egy logikai bővítményattribútum kiértékelésével ellenőrizze, hogy a fiók migrálásra van-e megjelölve.
    • Ha a bővítményattribútum ad vissza True, hívja meg a REST API-t, hogy ellenőrizze a jelszót az örökölt identitásszolgáltatóval.
      • Ha a REST API megállapítja, hogy a jelszó helytelen, rövid hibaüzenetet ad vissza a felhasználónak.
      • Ha a REST API helyes jelszót állapít meg, írja be a jelszót a Azure AD B2C-fiókba, és módosítsa a logikai bővítmény attribútumát a következőre: False.
    • Ha a logikai bővítmény attribútuma Falsead vissza, folytassa a bejelentkezési folyamatot a szokásos módon.

Az egyéni szabályzatra és a REST API-ra vonatkozó példa megtekintéséhez tekintse meg a GitHubon található közvetlen felhasználói migrálási mintát .

Folyamatábra a felhasználói migrálás zökkenőmentes migrálási megközelítéséről

Biztonság

A zökkenőmentes migrálási módszer a saját egyéni REST API-jával ellenőrzi a felhasználó hitelesítő adatait az örökölt identitásszolgáltatóval szemben.

Meg kell védenie a REST API-t a találgatásos támadásokkal szemben. A támadók több jelszót is beküldhetnek annak reményében, hogy végül kitalálják a felhasználó hitelesítő adatait. Az ilyen támadások legyőzéséhez állítsa le a kérések REST API-nak való kiszolgálását, amikor a bejelentkezési kísérletek száma túllép egy bizonyos küszöbértéket. Emellett biztonságossá teheti a Azure AD B2C és a REST API közötti kommunikációt. A RESTful API-k éles környezetben való védelmének megismeréséhez lásd: Secure RESTful API.

Felhasználói attribútumok

Az örökölt identitásszolgáltató nem minden információját kell áttelepíteni a Azure AD B2C-címtárba. Az áttelepítés előtt azonosítsa a Azure AD B2C-ben tárolandó felhasználói attribútumok megfelelő készletét.

  • DO-tároló Azure AD B2C-ben:
    • Felhasználónév, jelszó, e-mail-címek, telefonszámok, tagsági számok/azonosítók.
    • Adatvédelmi szabályzatok és végfelhasználói licencszerződések hozzájárulási jelölői.
  • NE tárolja Azure AD B2C-ben:
    • Bizalmas adatok, például hitelkártyaszámok, társadalombiztosítási számok (SSN), egészségügyi nyilvántartások vagy a kormányzati vagy iparági megfelelőségi szervek által szabályozott egyéb adatok.
    • Marketing- vagy kommunikációs beállítások, felhasználói viselkedések és megállapítások.

Címtárkarbantartás

A migrálási folyamat megkezdése előtt használja ki a lehetőséget a címtár törlésére.

  • Azonosítsa a Azure AD B2C-ben tárolandó felhasználói attribútumok készletét, és csak azt migrálja, amire szüksége van. Szükség esetén létrehozhat egyéni attribútumokat , hogy több adatot tároljon egy felhasználóról.
  • Ha több hitelesítési forrással rendelkező környezetből migrál (például minden alkalmazásnak saját felhasználói címtára van), migráljon egy egyesített fiókba Azure AD B2C-ben.
  • Ha több alkalmazás eltérő felhasználónevekkel rendelkezik, az identitásgyűjtemény használatával mindet egy Azure AD B2C-felhasználói fiókban tárolhatja. A jelszóval kapcsolatban hagyja, hogy a felhasználó válasszon egyet, és állítsa be a könyvtárban. A zökkenőmentes migrálással például csak a választott jelszót kell tárolni a Azure AD B2C-fiókban.
  • Távolítsa el a nem használt felhasználói fiókokat, vagy ne telepítse át az elavult fiókokat.

Jelszóházirend

Ha az áttelepített fiókok jelszóerősségük gyengébbek, mint a B2C Azure AD által megkövetelt erős jelszóerősség, letilthatja az erős jelszókövetelményt. További információ: Jelszóházirend tulajdonság.

Következő lépések

A azure-ad-b2c/user-migration GitHub adattára egy közvetlen migrálási egyéni szabályzatmintát és REST API-kódmintát tartalmaz:

Közvetlen felhasználói migrálási egyéni szabályzat és REST API-kódminta