Többfaktoros hitelesítés engedélyezése az Azure Active Directory B2C szolgáltatásban
Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.
Az Azure Active Directory B2C (Azure AD B2C) közvetlenül integrálható a Microsoft Entra többtényezős hitelesítéssel, így egy második biztonsági réteget adhat hozzá a regisztrációhoz és a bejelentkezési élményhez az alkalmazásokban. Egyetlen kódsor írása nélkül engedélyezheti a többtényezős hitelesítést. Ha már létrehozott regisztrációs és bejelentkezési felhasználói folyamatokat, akkor is engedélyezheti a többtényezős hitelesítést.
Ez a funkció segít az alkalmazásoknak az olyan forgatókönyvek kezelésében, mint például:
- Az egyik alkalmazás eléréséhez nincs szükség többtényezős hitelesítésre, de egy másikhoz is hozzá kell férnie. Az ügyfél például bejelentkezhet egy szociális vagy helyi fiókkal rendelkező automatikus biztosítási alkalmazásba, de ellenőriznie kell a telefonszámot, mielőtt hozzáfér az ugyanabban a címtárban regisztrált lakásbiztosítási alkalmazáshoz.
- Egy alkalmazás általános eléréséhez nincs szükség többtényezős hitelesítésre, de ehhez hozzá kell férnie a benne lévő bizalmas részekhez. Az ügyfél például bejelentkezhet egy közösségi vagy helyi fiókkal rendelkező banki alkalmazásba, és ellenőrizheti a számla egyenlegét, de az átutalási kísérlet előtt ellenőriznie kell a telefonszámot.
Előfeltételek
- Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
- Webalkalmazás regisztrálása.
- Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
- Webalkalmazás regisztrálása.
Ellenőrzési módszerek
A feltételes hozzáféréssel a felhasználók az MFA-val kapcsolatban rendszergazdaként meghozott konfigurációs döntések alapján támadhatók meg vagy nem. A többtényezős hitelesítés módszerei a következők:
- E-mail – A bejelentkezés során a rendszer egy egyszeri jelszót (OTP) tartalmazó ellenőrző e-mailt küld a felhasználónak. A felhasználó megadja az e-mailben elküldött OTP-kódot.
- SMS vagy telefonhívás – Az első regisztráció vagy bejelentkezés során a felhasználónak meg kell adnia és ellenőriznie kell a telefonszámot. A későbbi bejelentkezések során a rendszer felkéri a felhasználót, hogy válassza ki a Kód küldése vagy a Hívás me telefonos MFA lehetőséget. A felhasználó választásától függően a rendszer szöveges üzenetet küld, vagy telefonhívást kezdeményez az ellenőrzött telefonszámon a felhasználó azonosítása érdekében. A felhasználó vagy megadja a szöveges üzenetben küldött OTP-kódot, vagy jóváhagyja a telefonhívást.
- csak Telefon hívás – Ugyanúgy működik, mint az SMS vagy a telefonhívás lehetőség, de csak telefonhívás történik.
- CSAK SMS – Ugyanúgy működik, mint az SMS vagy a telefonhívás lehetőség, de a rendszer csak szöveges üzenetet küld.
- Authenticator alkalmazás – TOTP – A felhasználónak olyan hitelesítő alkalmazást kell telepítenie, amely támogatja az időalapú egyszeri jelszó (TOTP) ellenőrzését, például a Microsoft Authenticator alkalmazást egy saját eszközén. Az első regisztráció vagy bejelentkezés során a felhasználó beolvassa a QR-kódot, vagy manuálisan írja be a kódot a hitelesítő alkalmazással. A későbbi bejelentkezések során a felhasználó beszedi a hitelesítő alkalmazásban megjelenő TOTP-kódot. Megtudhatja , hogyan állíthatja be a Microsoft Authenticator alkalmazást.
Fontos
Hitelesítő alkalmazás – A TOTP erősebb biztonságot nyújt, mint az SMS/Telefon, és az e-mail a legkevésbé biztonságos. Az SMS/Telefon-alapú többtényezős hitelesítés külön díjakat von maga után a normál Azure AD B2C MAU díjszabási modelljétől.
Többtényezős hitelesítés beállítása
Jelentkezzen be az Azure Portalra.
Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
A bal oldali menüben válassza az Azure AD B2C-t. Vagy válassza a Minden szolgáltatás lehetőséget, és keresse meg és válassza az Azure AD B2C-t.
Válassza ki a felhasználói folyamatokat.
Válassza ki azt a felhasználói folyamatot, amelyhez engedélyezni szeretné az MFA-t. Például B2C_1_signinsignup.
Select Properties.
A Többtényezős hitelesítés szakaszban válassza ki a kívánt metódustípust. Ezután az MFA-kényszerítés alatt válasszon egy lehetőséget:
Kikapcsolva – Az MFA soha nem lesz kényszerítve a bejelentkezés során, és a rendszer nem kéri a felhasználókat, hogy regisztráljanak az MFA-ba a regisztráció vagy a bejelentkezés során.
Mindig bekapcsolva – Az MFA mindig kötelező, függetlenül a feltételes hozzáférés beállításától. A regisztráció során a rendszer kérni fogja a felhasználókat, hogy regisztráljanak az MFA-ban. A bejelentkezés során, ha a felhasználók még nincsenek regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.
Feltételes – A regisztráció és a bejelentkezés során a rendszer arra kéri a felhasználókat, hogy regisztráljanak az MFA-ban (mind az új, mind a meglévő felhasználók, akik nem regisztráltak az MFA-ban). A bejelentkezés során az MFA csak akkor lesz kényszerítve, ha egy aktív feltételes hozzáférési szabályzat kiértékelése megköveteli:
- Ha az eredmény egy kockázat nélküli MFA-kihívás, az MFA érvénybe lép. Ha a felhasználó még nincs regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.
- Ha az eredmény egy MFA-kihívás kockázat miatt, és a felhasználó nincs regisztrálva az MFA-ban, a bejelentkezés le lesz tiltva.
Megjegyzés:
- Mivel az Azure AD B2C-ben általánosan elérhető a feltételes hozzáférés, a rendszer most arra kéri a felhasználókat, hogy regisztráljanak egy MFA-metódusban a regisztráció során. Az általános rendelkezésre állás előtt létrehozott regisztrációs felhasználói folyamatok nem tükrözik automatikusan ezt az új viselkedést, de a viselkedést új felhasználói folyamatok létrehozásával is felveheti.
- Ha a Feltételes beállítást választja, feltételes hozzáférést is hozzá kell adnia a felhasználói folyamatokhoz, és meg kell adnia azokat az alkalmazásokat, amelyekre alkalmazni szeretné a szabályzatot.
- A többtényezős hitelesítés alapértelmezés szerint le van tiltva a regisztrációs felhasználói folyamatok esetében. A telefonos regisztrációval engedélyezheti az MFA-t a felhasználói folyamatokban, de mivel elsődleges azonosítóként telefonszámot használnak, az egyszeri e-mail-jelszó az egyetlen lehetőség, amely elérhető a második hitelesítési tényezőhöz.
Válassza a Mentés parancsot. Az MFA most már engedélyezve van ehhez a felhasználói folyamathoz.
A felhasználói folyamat futtatásával ellenőrizheti a felhasználói élményt. Erősítse meg a következő forgatókönyvet:
A többtényezős hitelesítési lépés előtt létrejön egy ügyfélfiók a bérlőben. A lépés során az ügyfélnek meg kell adnia egy telefonszámot, és ellenőriznie kell azt. Ha az ellenőrzés sikeres, a telefonszám a fiókhoz lesz csatolva későbbi használatra. Még akkor is, ha az ügyfél lemondja vagy kiesik, az ügyfél kérheti, hogy ellenőrizze újra a telefonszámot a következő bejelentkezés során, amelyen engedélyezve van a többtényezős hitelesítés.
A többtényezős hitelesítés engedélyezéséhez szerezze be az egyéni szabályzat kezdőcsomagot a GitHubról az alábbiak szerint:
- Töltse le a .zip fájlt , vagy klónozza az adattárat onnan
https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
, majd frissítse az XML-fájlokat a SocialAndLocalAccountsWithMFA kezdőcsomagban az Azure AD B2C-bérlő nevével. A SocialAndLocalAccountsWithMFA lehetővé teszi a közösségi és helyi bejelentkezési beállításokat, valamint a többtényezős hitelesítési beállításokat, kivéve az Authenticator alkalmazást – TOTP lehetőséget. - Az Authenticator alkalmazás – TOTP MFA beállítás támogatásához töltse le az egyéni szabályzatfájlokat innen
https://github.com/azure-ad-b2c/samples/tree/master/policies/totp
, majd frissítse az XML-fájlokat az Azure AD B2C-bérlő nevével. Ügyeljen arra, hogy a SocialAndLocalAccounts kezdőcsomagból tartalmazzonTrustFrameworkExtensions.xml
,TrustFrameworkLocalization.xml
ésTrustFrameworkBase.xml
XML-fájlokat. - Frissítse a [lapelrendezést] verzióra
2.1.14
. További információ: Lapelrendezés kiválasztása.
Felhasználó regisztrálása a TOTP-ben hitelesítő alkalmazással (végfelhasználók számára)
Ha egy Azure AD B2C-alkalmazás engedélyezi az MFA használatát a TOTP beállítással, a végfelhasználóknak egy hitelesítő alkalmazással kell létrehozniuk a TOTP-kódokat. A felhasználók használhatják a Microsoft Authenticator alkalmazást vagy bármely más hitelesítő alkalmazást, amely támogatja a TOTP-ellenőrzést. Az Azure AD B2C-rendszer rendszergazdájának az alábbi lépések végrehajtásával tájékoztatnia kell a végfelhasználót a Microsoft Authenticator alkalmazás beállítására:
- Töltse le és telepítse a Microsoft Authenticator alkalmazást Android vagy iOS rendszerű mobileszközére.
- Nyissa meg azt az alkalmazást, amely megköveteli a TOTP használatát az MFA-hoz, például a Contoso webappot, majd jelentkezzen be vagy regisztráljon a szükséges adatok megadásával.
- Ha a rendszer arra kéri, hogy regisztrálja fiókját egy QR-kód hitelesítő alkalmazással történő beolvasásával, nyissa meg a Microsoft Authenticator alkalmazást a telefonján, és a jobb felső sarokban válassza a három pontozott menüikont (Android esetén) vagy + a menüikont (IOS esetén).
- Válassza a + Fiók hozzáadása lehetőséget.
- Válassza az Egyéb fiók (Google, Facebook stb.) lehetőséget, majd az alkalmazásban megjelenő QR-kód (például Contoso webapp) beolvasásával regisztrálja a fiókját. Ha nem tudja beolvasni a QR-kódot, manuálisan is hozzáadhatja a fiókot:
- A telefonon található Microsoft Authenticator alkalmazásban válassza vagy írja be MANUÁLISAN a kódot.
- Az alkalmazásban (például a Contoso webappban) válassza a Probléma továbbra is fennáll? lehetőséget. Ekkor megjelenik a fióknév és a titkos kód.
- Írja be a Fiók nevét és titkos kódját a Microsoft Authenticator alkalmazásban, majd válassza a FINISH lehetőséget.
- Az alkalmazásban (például a Contoso webalkalmazásban) válassza a Folytatás lehetőséget.
- Írja be a kódot, és adja meg a Microsoft Authenticator alkalmazásban megjelenő kódot.
- Válassza az Ellenőrzés lehetőséget.
- Az alkalmazásba való későbbi bejelentkezés során írja be a Microsoft Authenticator alkalmazásban megjelenő kódot.
Tudnivalók az OATH szoftverjogkivonatairól
Felhasználó TOTP-hitelesítői regisztrációjának törlése (rendszeradminisztrátorok számára)
Az Azure AD B2C-ben törölheti a felhasználó TOTP-hitelesítő alkalmazásregisztrációját. Ezután a felhasználónak újra regisztrálnia kell a fiókját a TOTP-hitelesítés ismételt használatához. A felhasználók TOTP-regisztrációjának törléséhez használhatja az Azure Portalt vagy a Microsoft Graph API-t.
Megjegyzés:
- Ha törli egy felhasználó TOTP-hitelesítő alkalmazásregisztrációját az Azure AD B2C-ből, az nem távolítja el a felhasználó fiókját a TOTP hitelesítő alkalmazásban. A rendszer rendszergazdájának arra kell irányítania a felhasználót, hogy manuálisan törölje a fiókját a TOTP hitelesítő alkalmazásból, mielőtt újra megpróbálná regisztrálni.
- Ha a felhasználó véletlenül törli a fiókját a TOTP hitelesítő alkalmazásból, értesítenie kell egy rendszergazdát vagy alkalmazástulajdonost, aki törölheti a felhasználó TOTP hitelesítő regisztrációját az Azure AD B2C-ből, hogy a felhasználó újra regisztrálhassa.
TOTP-hitelesítő alkalmazásregisztráció törlése az Azure Portal használatával
- Jelentkezzen be az Azure Portalra.
- Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
- A bal oldali menüben válassza a Felhasználók lehetőséget.
- Keresse meg és jelölje ki azt a felhasználót, akinél törölni szeretné a TOTP-hitelesítő alkalmazásregisztrációt.
- A bal oldali menüben válassza a Hitelesítési módszerek lehetőséget.
- A Használható hitelesítési módszerek területen keresse meg a Software OATH jogkivonatot, majd válassza a mellette lévő három pont menüt. Ha nem látja ezt a felületet, válassza a "Váltás az új felhasználói hitelesítési módszerek felületére! Kattintson ide az új hitelesítési módszerek felületére való váltáshoz.
- Válassza a Törlés lehetőséget, majd a megerősítéshez válassza az Igen lehetőséget .
TOTP-hitelesítő alkalmazás regisztrációjának törlése a Microsoft Graph API használatával
Megtudhatja, hogyan törölheti a felhasználó Software OATH jogkivonat-hitelesítési módszerét a Microsoft Graph API használatával.