Felhasználók migrálása az Azure AD B2C-be

  • Cikk
  • 3 perc alatt elolvasható

Egy másik identitásszolgáltatóról Azure Active Directory B2C-re (Azure AD B2C) való migráláshoz szükség lehet a meglévő felhasználói fiókok migrálására is. Itt két migrálási módszert ismertetünk, a migrálás előtti és a zökkenőmentes migrálást. Mindkét módszerrel olyan alkalmazást vagy szkriptet kell írnia, amely a Microsoft Graph API használatával hoz létre felhasználói fiókokat az Azure AD B2C-ben.

Ebből a videóból megismerheti az Azure AD B2C felhasználói migrálási stratégiáit és megfontolandó lépéseit.

Migrálás előtti

A migrálás előtti folyamatban a migrálási alkalmazás az alábbi lépéseket hajtja végre az egyes felhasználói fiókok esetében:

  1. Olvassa el a felhasználói fiókot a régi identitásszolgáltatótól, beleértve az aktuális hitelesítő adatait (felhasználónevet és jelszót).
  2. Hozzon létre egy megfelelő fiókot az Azure AD B2C-címtárban az aktuális hitelesítő adatokkal.

A migrálás előtti folyamatot a következő két helyzetben használhatja:

  • Hozzáféréssel rendelkezik a felhasználó egyszerű szöveges hitelesítő adataihoz (a felhasználó felhasználónevéhez és jelszavához).
  • A hitelesítő adatok titkosítva vannak, de visszafejthetők.

További információ a felhasználói fiókok programozott létrehozásával kapcsolatban: Azure AD B2C felhasználói fiókok kezelése a Microsoft Graph.

Zökkenőmentes migrálás

Használja a zökkenőmentes migrálási folyamatot, ha a régi identitásszolgáltató egyszerű szöveges jelszavai nem érhetők el. Például amikor:

  • A jelszó tárolása egyirányú titkosított formátumban történik, például kivonatoló függvénnyel.
  • A jelszót a régi identitásszolgáltató tárolja úgy, hogy Ön ne férhessen hozzá. Ha például az identitásszolgáltató egy webszolgáltatás meghívásával érvényesíti a hitelesítő adatokat.

A zökkenőmentes áttelepítési folyamathoz továbbra is szükség van a felhasználói fiókok előzetes migrálására, de egyéni szabályzattal lekérdez egy REST API-t (amelyet Ön hoz létre) az egyes felhasználók jelszavának első bejelentkezéskor történő beállításához.

A zökkenőmentes migrálási folyamat két fázisból áll: a migrálás előtti és a hitelesítő adatok beállításából.

1. fázis: Migrálás előtti

  1. Az áttelepítési alkalmazás beolvassa a felhasználói fiókokat a régi identitásszolgáltatótól.
  2. A migrálási alkalmazás létrehozza a megfelelő felhasználói fiókokat az Azure AD B2C-címtárban, de véletlenszerű jelszavakat állít be .

2. fázis: Hitelesítő adatok beállítása

A fiókok előzetes migrálása után az egyéni szabályzat és a REST API a következőket hajtja végre, amikor egy felhasználó bejelentkezik:

  1. Olvassa el a megadott e-mail-címnek megfelelő Azure AD B2C felhasználói fiókot.
  2. Logikai bővítményattribútum kiértékelésével ellenőrizze, hogy a fiók migrálásra van-e megjelölve.
    • Ha a bővítményattribútum Truevisszatér, hívja meg a REST API-t, hogy érvényesítse a jelszót a régi identitásszolgáltatóval.
      • Ha a REST API azt állapítja meg, hogy a jelszó helytelen, rövid hibaüzenetet ad vissza a felhasználónak.
      • Ha a REST API helyesnek találja a jelszót, írja be a jelszót az Azure AD B2C-fiókba, és módosítsa a logikai bővítmény attribútumát a következőre False: .
    • Ha a logikai bővítmény attribútuma visszaadja False, folytassa a bejelentkezési folyamatot a szokásos módon.

Az egyéni szabályzatra és a REST API-ra vonatkozó példa megtekintéséhez tekintse meg a GitHub zökkenőmentes felhasználói migrálási mintáját.

Flowchart diagram of the seamless migration approach to user migration
Ábra: Zökkenőmentes migrálási folyamat

Biztonság

A zökkenőmentes migrálási módszer a saját egyéni REST API-jával ellenőrzi a felhasználó hitelesítő adatait a régi identitásszolgáltatóval.

Meg kell védenie a REST API-t a találgatásos támadásokkal szemben. A támadók több jelszót is beküldhetnek abban a reményben, hogy végül kitalálják a felhasználó hitelesítő adatait. Az ilyen támadások elhárításához ne küldjön kéréseket a REST API-nak, amikor a bejelentkezési kísérletek száma meghalad egy bizonyos küszöbértéket. Emellett biztonságossá teheti az Azure AD B2C és a REST API közötti kommunikációt. A RESTful API-k éles környezetben való védelmének megismeréséhez tekintse meg a Biztonságos RESTful API-t.

Felhasználói attribútumok

Az örökölt identitásszolgáltató nem minden adatát kell migrálni az Azure AD B2C-címtárba. A migrálás előtt azonosítsa az Azure AD B2C-ben tárolni kívánt felhasználói attribútumok megfelelő készletét.

  • DO-tároló az Azure AD B2C-ben
    • Felhasználónév, jelszó, e-mail-címek, telefonszámok, tagsági számok/azonosítók.
    • Az adatvédelmi szabályzat és a végfelhasználói licencszerződések hozzájárulásjelölői.
  • NE tárolja az Azure AD B2C-ben
    • Bizalmas adatok, például hitelkártyaszámok, társadalombiztosítási számok (SSN), orvosi nyilvántartások vagy más, kormányzati vagy iparági megfelelőségi szervek által szabályozott adatok.
    • Marketing- vagy kommunikációs beállítások, felhasználói viselkedések és elemzések.

Címtárkarbantartó

A migrálási folyamat megkezdése előtt törölje a címtárat.

  • Azonosítsa az Azure AD B2C-ben tárolandó felhasználói attribútumok készletét, és csak azt migrálja, amire szüksége van. Szükség esetén létrehozhat egyéni attribútumokat , hogy több adatot tároljon egy felhasználóról.
  • Ha több hitelesítési forrással rendelkező környezetből migrál (például minden alkalmazás saját felhasználói címtárral rendelkezik), migráljon egy egységes fiókba az Azure AD B2C-ben.
  • Ha több alkalmazás eltérő felhasználónévvel rendelkezik, az identitásgyűjtemény használatával mindegyiket tárolhatja egy Azure AD B2C-felhasználói fiókban. A jelszóval kapcsolatban hagyja, hogy a felhasználó válasszon egyet, és állítsa be a címtárban. A zökkenőmentes migrálással például csak a választott jelszót szabad az Azure AD B2C-fiókban tárolni.
  • Távolítsa el a nem használt felhasználói fiókokat, vagy ne telepítse át az elavult fiókokat.

Jelszóházirend

Ha az áttelepíteni kívánt fiókok jelszava gyengébb, mint az Azure AD B2C által megkövetelt erős jelszóerősség , letilthatja az erős jelszókövetelményt. További információ: Jelszóházirend tulajdonság.

Következő lépések

A GitHub azure-ad-b2c/user-migration adattára egy közvetlen migrálási egyéni szabályzatpéldát és EGY REST API-kódmintát tartalmaz:

Közvetlen felhasználói migrálás egyéni szabályzat & REST API-kódmintája