Többfaktoros hitelesítés engedélyezése az Azure Active Directory B2C szolgáltatásban

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Az Azure Active Directory B2C (Azure AD B2C) közvetlenül integrálható a Microsoft Entra többtényezős hitelesítéssel, így egy második biztonsági réteget adhat hozzá a regisztrációhoz és a bejelentkezési élményhez az alkalmazásokban. Egyetlen kódsor írása nélkül engedélyezheti a többtényezős hitelesítést. Ha már létrehozott regisztrációs és bejelentkezési felhasználói folyamatokat, akkor is engedélyezheti a többtényezős hitelesítést.

Ez a funkció segít az alkalmazásoknak az olyan forgatókönyvek kezelésében, mint például:

• Az egyik alkalmazás eléréséhez nincs szükség többtényezős hitelesítésre, de egy másikhoz is hozzá kell férnie. Az ügyfél például bejelentkezhet egy szociális vagy helyi fiókkal rendelkező automatikus biztosítási alkalmazásba, de ellenőriznie kell a telefonszámot, mielőtt hozzáfér az ugyanabban a címtárban regisztrált lakásbiztosítási alkalmazáshoz.
• Egy alkalmazás általános eléréséhez nincs szükség többtényezős hitelesítésre, de ehhez hozzá kell férnie a benne lévő bizalmas részekhez. Az ügyfél például bejelentkezhet egy közösségi vagy helyi fiókkal rendelkező banki alkalmazásba, és ellenőrizheti a számla egyenlegét, de az átutalási kísérlet előtt ellenőriznie kell a telefonszámot.

Előfeltételek

• Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
• Webalkalmazás regisztrálása.

• Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
• Webalkalmazás regisztrálása.

Ellenőrzési módszerek

A feltételes hozzáféréssel a felhasználók az MFA-val kapcsolatban rendszergazdaként meghozott konfigurációs döntések alapján támadhatók meg vagy nem. A többtényezős hitelesítés módszerei a következők:

• E-mail – A bejelentkezés során a rendszer egy egyszeri jelszót (OTP) tartalmazó ellenőrző e-mailt küld a felhasználónak. A felhasználó megadja az e-mailben elküldött OTP-kódot.
• SMS vagy telefonhívás – Az első regisztráció vagy bejelentkezés során a felhasználónak meg kell adnia és ellenőriznie kell a telefonszámot. A későbbi bejelentkezések során a rendszer felkéri a felhasználót, hogy válassza ki a Kód küldése vagy a Hívás me telefonos MFA lehetőséget. A felhasználó választásától függően a rendszer szöveges üzenetet küld, vagy telefonhívást kezdeményez az ellenőrzött telefonszámon a felhasználó azonosítása érdekében. A felhasználó vagy megadja a szöveges üzenetben küldött OTP-kódot, vagy jóváhagyja a telefonhívást.
• csak Telefon hívás – Ugyanúgy működik, mint az SMS vagy a telefonhívás lehetőség, de csak telefonhívás történik.
• CSAK SMS – Ugyanúgy működik, mint az SMS vagy a telefonhívás lehetőség, de a rendszer csak szöveges üzenetet küld.
• Authenticator alkalmazás – TOTP – A felhasználónak olyan hitelesítő alkalmazást kell telepítenie, amely támogatja az időalapú egyszeri jelszó (TOTP) ellenőrzését, például a Microsoft Authenticator alkalmazást egy saját eszközén. Az első regisztráció vagy bejelentkezés során a felhasználó beolvassa a QR-kódot, vagy manuálisan írja be a kódot a hitelesítő alkalmazással. A későbbi bejelentkezések során a felhasználó beszedi a hitelesítő alkalmazásban megjelenő TOTP-kódot. Megtudhatja , hogyan állíthatja be a Microsoft Authenticator alkalmazást.

Fontos

Hitelesítő alkalmazás – A TOTP erősebb biztonságot nyújt, mint az SMS/Telefon, és az e-mail a legkevésbé biztonságos. Az SMS/Telefon-alapú többtényezős hitelesítés külön díjakat von maga után a normál Azure AD B2C MAU díjszabási modelljétől.

Többtényezős hitelesítés beállítása

1. Jelentkezzen be az Azure Portalra.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.

3. A bal oldali menüben válassza az Azure AD B2C-t. Vagy válassza a Minden szolgáltatás lehetőséget, és keresse meg és válassza az Azure AD B2C-t.

4. Válassza ki a felhasználói folyamatokat.

5. Válassza ki azt a felhasználói folyamatot, amelyhez engedélyezni szeretné az MFA-t. Például B2C_1_signinsignup.

6. Select Properties.

7. A Többtényezős hitelesítés szakaszban válassza ki a kívánt metódustípust. Ezután az MFA-kényszerítés alatt válasszon egy lehetőséget:

   • Kikapcsolva – Az MFA soha nem lesz kényszerítve a bejelentkezés során, és a rendszer nem kéri a felhasználókat, hogy regisztráljanak az MFA-ba a regisztráció vagy a bejelentkezés során.

   • Mindig bekapcsolva – Az MFA mindig kötelező, függetlenül a feltételes hozzáférés beállításától. A regisztráció során a rendszer kérni fogja a felhasználókat, hogy regisztráljanak az MFA-ban. A bejelentkezés során, ha a felhasználók még nincsenek regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.

   • Feltételes – A regisztráció és a bejelentkezés során a rendszer arra kéri a felhasználókat, hogy regisztráljanak az MFA-ban (mind az új, mind a meglévő felhasználók, akik nem regisztráltak az MFA-ban). A bejelentkezés során az MFA csak akkor lesz kényszerítve, ha egy aktív feltételes hozzáférési szabályzat kiértékelése megköveteli:

     • Ha az eredmény egy kockázat nélküli MFA-kihívás, az MFA érvénybe lép. Ha a felhasználó még nincs regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.
     • Ha az eredmény egy MFA-kihívás kockázat miatt, és a felhasználó nincs regisztrálva az MFA-ban, a bejelentkezés le lesz tiltva.

   Megjegyzés:

   • Mivel az Azure AD B2C-ben általánosan elérhető a feltételes hozzáférés, a rendszer most arra kéri a felhasználókat, hogy regisztráljanak egy MFA-metódusban a regisztráció során. Az általános rendelkezésre állás előtt létrehozott regisztrációs felhasználói folyamatok nem tükrözik automatikusan ezt az új viselkedést, de a viselkedést új felhasználói folyamatok létrehozásával is felveheti.
   • Ha a Feltételes beállítást választja, feltételes hozzáférést is hozzá kell adnia a felhasználói folyamatokhoz, és meg kell adnia azokat az alkalmazásokat, amelyekre alkalmazni szeretné a szabályzatot.
   • A többtényezős hitelesítés alapértelmezés szerint le van tiltva a regisztrációs felhasználói folyamatok esetében. A telefonos regisztrációval engedélyezheti az MFA-t a felhasználói folyamatokban, de mivel elsődleges azonosítóként telefonszámot használnak, az egyszeri e-mail-jelszó az egyetlen lehetőség, amely elérhető a második hitelesítési tényezőhöz.

8. Válassza a Mentés parancsot. Az MFA most már engedélyezve van ehhez a felhasználói folyamathoz.

A felhasználói folyamat futtatásával ellenőrizheti a felhasználói élményt. Erősítse meg a következő forgatókönyvet:

A többtényezős hitelesítési lépés előtt létrejön egy ügyfélfiók a bérlőben. A lépés során az ügyfélnek meg kell adnia egy telefonszámot, és ellenőriznie kell azt. Ha az ellenőrzés sikeres, a telefonszám a fiókhoz lesz csatolva későbbi használatra. Még akkor is, ha az ügyfél lemondja vagy kiesik, az ügyfél kérheti, hogy ellenőrizze újra a telefonszámot a következő bejelentkezés során, amelyen engedélyezve van a többtényezős hitelesítés.

A többtényezős hitelesítés engedélyezéséhez szerezze be az egyéni szabályzat kezdőcsomagot a GitHubról az alábbiak szerint:

• Töltse le a .zip fájlt , vagy klónozza az adattárat onnan https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack, majd frissítse az XML-fájlokat a SocialAndLocalAccountsWithMFA kezdőcsomagban az Azure AD B2C-bérlő nevével. A SocialAndLocalAccountsWithMFA lehetővé teszi a közösségi és helyi bejelentkezési beállításokat, valamint a többtényezős hitelesítési beállításokat, kivéve az Authenticator alkalmazást – TOTP lehetőséget.
• Az Authenticator alkalmazás – TOTP MFA beállítás támogatásához töltse le az egyéni szabályzatfájlokat innen https://github.com/azure-ad-b2c/samples/tree/master/policies/totp, majd frissítse az XML-fájlokat az Azure AD B2C-bérlő nevével. Ügyeljen arra, hogy a SocialAndLocalAccounts kezdőcsomagból tartalmazzon TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xmlés TrustFrameworkBase.xml XML-fájlokat.
• Frissítse a [lapelrendezést] verzióra 2.1.14. További információ: Lapelrendezés kiválasztása.

Felhasználó regisztrálása a TOTP-ben hitelesítő alkalmazással (végfelhasználók számára)

Ha egy Azure AD B2C-alkalmazás engedélyezi az MFA használatát a TOTP beállítással, a végfelhasználóknak egy hitelesítő alkalmazással kell létrehozniuk a TOTP-kódokat. A felhasználók használhatják a Microsoft Authenticator alkalmazást vagy bármely más hitelesítő alkalmazást, amely támogatja a TOTP-ellenőrzést. Az Azure AD B2C-rendszer rendszergazdájának az alábbi lépések végrehajtásával tájékoztatnia kell a végfelhasználót a Microsoft Authenticator alkalmazás beállítására:

1. Töltse le és telepítse a Microsoft Authenticator alkalmazást Android vagy iOS rendszerű mobileszközére.
2. Nyissa meg azt az alkalmazást, amely megköveteli a TOTP használatát az MFA-hoz, például a Contoso webappot, majd jelentkezzen be vagy regisztráljon a szükséges adatok megadásával.
3. Ha a rendszer arra kéri, hogy regisztrálja fiókját egy QR-kód hitelesítő alkalmazással történő beolvasásával, nyissa meg a Microsoft Authenticator alkalmazást a telefonján, és a jobb felső sarokban válassza a három pontozott menüikont (Android esetén) vagy + a menüikont (IOS esetén).
4. Válassza a + Fiók hozzáadása lehetőséget.
5. Válassza az Egyéb fiók (Google, Facebook stb.) lehetőséget, majd az alkalmazásban megjelenő QR-kód (például Contoso webapp) beolvasásával regisztrálja a fiókját. Ha nem tudja beolvasni a QR-kódot, manuálisan is hozzáadhatja a fiókot:
   1. A telefonon található Microsoft Authenticator alkalmazásban válassza vagy írja be MANUÁLISAN a kódot.
   2. Az alkalmazásban (például a Contoso webappban) válassza a Probléma továbbra is fennáll? lehetőséget. Ekkor megjelenik a fióknév és a titkos kód.
   3. Írja be a Fiók nevét és titkos kódját a Microsoft Authenticator alkalmazásban, majd válassza a FINISH lehetőséget.
6. Az alkalmazásban (például a Contoso webalkalmazásban) válassza a Folytatás lehetőséget.
7. Írja be a kódot, és adja meg a Microsoft Authenticator alkalmazásban megjelenő kódot.
8. Válassza az Ellenőrzés lehetőséget.
9. Az alkalmazásba való későbbi bejelentkezés során írja be a Microsoft Authenticator alkalmazásban megjelenő kódot.

Tudnivalók az OATH szoftverjogkivonatairól

Felhasználó TOTP-hitelesítői regisztrációjának törlése (rendszeradminisztrátorok számára)

Az Azure AD B2C-ben törölheti a felhasználó TOTP-hitelesítő alkalmazásregisztrációját. Ezután a felhasználónak újra regisztrálnia kell a fiókját a TOTP-hitelesítés ismételt használatához. A felhasználók TOTP-regisztrációjának törléséhez használhatja az Azure Portalt vagy a Microsoft Graph API-t.

Megjegyzés:

• Ha törli egy felhasználó TOTP-hitelesítő alkalmazásregisztrációját az Azure AD B2C-ből, az nem távolítja el a felhasználó fiókját a TOTP hitelesítő alkalmazásban. A rendszer rendszergazdájának arra kell irányítania a felhasználót, hogy manuálisan törölje a fiókját a TOTP hitelesítő alkalmazásból, mielőtt újra megpróbálná regisztrálni.
• Ha a felhasználó véletlenül törli a fiókját a TOTP hitelesítő alkalmazásból, értesítenie kell egy rendszergazdát vagy alkalmazástulajdonost, aki törölheti a felhasználó TOTP hitelesítő regisztrációját az Azure AD B2C-ből, hogy a felhasználó újra regisztrálhassa.

TOTP-hitelesítő alkalmazásregisztráció törlése az Azure Portal használatával

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
3. A bal oldali menüben válassza a Felhasználók lehetőséget.
4. Keresse meg és jelölje ki azt a felhasználót, akinél törölni szeretné a TOTP-hitelesítő alkalmazásregisztrációt.
5. A bal oldali menüben válassza a Hitelesítési módszerek lehetőséget.
6. A Használható hitelesítési módszerek területen keresse meg a Software OATH jogkivonatot, majd válassza a mellette lévő három pont menüt. Ha nem látja ezt a felületet, válassza a "Váltás az új felhasználói hitelesítési módszerek felületére! Kattintson ide az új hitelesítési módszerek felületére való váltáshoz.
7. Válassza a Törlés lehetőséget, majd a megerősítéshez válassza az Igen lehetőséget .

TOTP-hitelesítő alkalmazás regisztrációjának törlése a Microsoft Graph API használatával

Megtudhatja, hogyan törölheti a felhasználó Software OATH jogkivonat-hitelesítési módszerét a Microsoft Graph API használatával.

Következő lépések

• További információ a TOTP megjelenítési vezérlőjéről és a Microsoft Entra ID többtényezős hitelesítés technikai profiljáról