Tutorial: Mengonfigurasi Perlindungan Penipuan Microsoft Dynamics 365 dengan Azure Active Directory B2C

Dalam tutorial sampel ini, pelajari cara mengintegrasikan Microsoft Dynamics 365 Fraud Protection (DFP) dengan Azure Active Directory (AD) B2C.

Microsoft DFP memberi kemampuan kepada organisasi untuk menilai risiko upaya membuat akun penipuan dan log-in. Penilaian Microsoft DFP dapat digunakan oleh pelanggan untuk memblokir atau menantang upaya mencurigakan yang mencoba membuat akun palsu baru atau mengancam akun yang ada.

Contoh ini menunjukkan cara memasukkan sidik jari perangkat Microsoft DFP dan pembuatan akun serta endpoint API penilaian masuk ke dalam kebijakan kustom Azure AD B2C.

Prasyarat

Untuk memulai, Anda akan memerlukan:

Penjelasan Skenario

Integrasi Microsoft DFP mencakup komponen-komponen berikut:

  • Penyewa Azure AD B2C: Mengautentikasi pengguna dan bertindak sebagai klien Microsoft DFP. Host skrip sidik jari mengumpulkan identifikasi dan data diagnostik setiap pengguna yang menjalankan kebijakan target. Blokir atau tantangan selanjutnya dalam upaya masuk atau pendaftaran berdasarkan hasil evaluasi aturan yang dikembalikan oleh Microsoft DFP.

  • Templat UI kustom: Digunakan untuk mengkustomisasi konten HTML halaman yang dirender oleh Azure AD B2C. Halaman ini termasuk cuplikan JavaScript yang diperlukan untuk sidik jari Microsoft DFP

  • Layanan sidik jari Microsoft DFP:Skrip yang disematkan secara dinamis, yang mencatat telemetri perangkat dan detail pengguna yang ditegaskan sendiri untuk membuat sidik jari yang dapat diidentifikasi secara unik agar pengguna dapat digunakan nanti dalam proses pengambilan keputusan.

  • Titik akhir Microsoft DFP API: Menyediakan hasil keputusan dan menerima status akhir yang mencerminkan operasi yang dilakukan oleh aplikasi klien. Azure AD B2C berkomunikasi langsung dengan endpoint Microsoft DFP menggunakan konektor REST API. Autentikasi API terjadi melalui client_credentials yang diberikan ke penyewa Microsoft Azure AD tempat Microsoft DFP diberi lisensi dan diinstal untuk mendapatkan token pembawa.

Diagram arsitektur berikut menunjukkan penerapannya.

Gambar memperlihatkan diagram arsitektur perlindungan penipuan Microsoft Dynamics365

Langkah Deskripsi
1. Pengguna tiba di halaman masuk. Pengguna memilih opsi daftar untuk membuat akun baru dan memasukkan informasi ke halaman. Azure AD B2C mengumpulkan atribut pengguna.
2. Azure AD B2C memanggil Microsoft DFP API dan meneruskan atribut pengguna.
3. Setelah Microsoft DFP API menggunakan informasi dan memprosesnya, Microsoft DFP API mengembalikan hasilnya ke Azure AD B2C.
4. Azure AD B2C menerima kembali informasi dari Microsoft DFP API. Jika respons Kegagalan ditampilkan, pesan kesalahan akan ditampilkan kepada pengguna. Jika respons Sukses ditampilkan, pengguna akan diautentikasi dan dicatat ke dalam direktori.

Menyiapkan solusi

  1. Buat aplikasi Facebook yang dikonfigurasi untuk memungkinkan federasi ke Azure AD B2C.
  2. Tambahkan rahasia Facebook yang Anda buat sebagai kunci kebijakan Kerangka Pengalaman Identitas.

Mengonfigurasi aplikasi Anda di bawah Microsoft DFP

Siapkan penyewa Azure AD Anda untuk menggunakan Microsoft DFP.

Masukkan domain kustom Anda

Di lingkungan produksi, Anda harus menggunakan domain kustom untuk Azure AD B2C untuk layanan sidik jari Microsoft DFP. Domain untuk kedua layanan harus berada di zona DNS root yang sama untuk mencegah pengaturan privasi browser memblokir cookie lintas domain, tidak diperlukan di lingkungan non-produksi.

Berikut ini adalah contohnya:

Lingkungan Layanan Domain
Pengembangan Azure AD B2C contoso-dev.b2clogin.com
Pengembangan Sidik Jari Microsoft DFP fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Sidik Jari Microsoft DFP fpt.dfp.microsoft.com
Produksi Azure AD B2C login.contoso.com
Produksi Sidik Jari Microsoft DFP fpt.login.contoso.com

Menyebarkan templat UI

  1. Sebarkan templat UI Azure AD B2C yang disediakan untuk layanan hosting internet publik seperti Azure Blob Storage.

  2. Ganti nilai https://<YOUR-UI-BASE-URL>/ dengan URL root untuk lokasi penyebaran Anda.

Catatan

Anda nantinya memerlukan URL dasar untuk mengonfigurasi kebijakan Azure AD B2C.

  1. Dalam file ui-templates/js/dfp.js, ganti <YOUR-DFP-INSTANCE-ID> dengan ID instans Microsoft DFP Anda.

  2. Pastikan CORS diaktifkan untuk nama domain Azure AD B2C Anda https://{your_tenant_name}.b2clogin.com atau your custom domain.

Lihat dokumentasi kustomisasi UI untuk mempelajari selengkapnya.

Batas konfigurasi Azure Active Directory B2C

Menambahkan kunci kebijakan untuk ID aplikasi klien Microsoft DFP dan rahasia Anda

  1. Di penyewa Microsoft Azure AD tempat Microsoft DFP disiapkan, buat aplikasi Microsoft Azure AD dan berikan persetujuan admin.
  2. Buat nilai rahasia untuk pendaftaran aplikasi ini dan catat ID klien aplikasi serta nilai rahasia klien.
  3. Simpan ID klien dan nilai rahasia klien sebagai kunci kebijakan di penyewa Azure AD B2C Anda.

Catatan

Anda nantinya memerlukan kunci kebijakan untuk mengonfigurasi kebijakan Azure AD B2C Anda.

Mengganti nilai konfigurasi

Pada kebijakan kustom yang disediakan, temukan tempat penampung berikut dan ganti dengan nilai terkait dari instans Anda.

Tempat penampung Ganti dengan Catatan
{Settings:Production} Apakah menyebarkan kebijakan dalam mode produksi true atau false
{Settings:Tenant} Nama pendek penyewa Anda your-tenant - dari your-tenant.onmicrosoft.com
{Settings:DeploymentMode} Mode penyebaran Application Insights untuk digunakan Production atau Development
{Settings:DeveloperMode} Apakah akan menyebarkan kebijakan dalam mode pengembang Application Insights true atau false
{Settings:AppInsightsInstrumentationKey} Kunci instrumentasi instans Application Insights Anda* 01234567-89ab-cdef-0123-456789abcdef
{Settings:IdentityExperienceFrameworkAppId} ID Aplikasi IdentityExperienceFramework yang dikonfigurasi di penyewa Azure AD B2C Anda 01234567-89ab-cdef-0123-456789abcdef
{Settings:ProxyIdentityExperienceFrameworkAppId} ID Aplikasi ProxyIdentityExperienceFramework yang dikonfigurasi di penyewa Azure AD B2C Anda 01234567-89ab-cdef-0123-456789abcdef
{Settings:FacebookClientId} ID aplikasi dari aplikasi Facebook yang Anda konfigurasi untuk federasi dengan B2C 000000000000000
{Settings:FacebookClientSecretKeyContainer} Nama kunci kebijakan tempat Anda menyimpan rahasia aplikasi Facebook B2C_1A_FacebookAppSecret
{Settings:ContentDefinitionBaseUri} Titik akhir tempat Anda menyebarkan file UI https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Settings:DfpApiBaseUrl} Jalur dasar untuk instans DFP API Anda - ditemukan di portal DFP https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Settings:DfpApiAuthScope} Cakupan client_credentials untuk layanan DFP API https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Settings:DfpTenantId} ID penyewa Microsoft Azure AD (bukan B2C) tempat DFP diberi lisensi dan diinstal 01234567-89ab-cdef-0123-456789abcdef atau consoto.onmicrosoft.com
{Settings:DfpAppClientIdKeyContainer} Nama kunci kebijakan tempat Anda menyimpan ID klien DFP B2C_1A_DFPClientId
{Settings:DfpAppClientSecretKeyContainer} Nama kunci kebijakan tempat Anda menyimpan rahasia klien DFP B2C_1A_DFPClientSecret

*Insight aplikasi dapat disiapkan di penyewa/langganan Microsoft Azure AD manapun. Nilai ini bersifat opsional tetapi disarankan untuk membantu debugging.

Catatan

Tambahkan pemberitahuan persetujuan ke halaman pengumpulan atribut. Beri tahu bahwa informasi telemetri dan identitas pengguna akan direkam untuk tujuan perlindungan akun.

Mengonfigurasi kebijakan AAD B2C

  1. Buka kebijakan AAD B2C di folder Kebijakan.

  2. Ikuti dokumen ini untuk mengunduh paket pemula LocalAccounts

  3. Konfigurasikan kebijakan untuk penyewa AAD B2C.

Catatan

Perbarui kebijakan yang diberikan agar terkait dengan penyewa khusus Anda.

Menguji alur pengguna

  1. Buka penyewa Azure AD B2C dan pada Policy pilih Identity Experience Framework.

  2. Pilih SignUpSignIn yang Anda buat sebelumnya.

  3. Pilih Jalankan alur pengguna dan pilih pengaturan:

    a. Application: pilih aplikasi terdaftar (sampelnya adalah JWT)

    b. Reply URL: pilih redirect URL

    c. Pilih Jalankan alur pengguna.

  4. Ikuti alur sign-up dan buat akun.

  5. Layanan Microsoft DFP akan dipanggil selama alur, setelah atribut pengguna dibuat. Jika alur tidak lengkap, periksa apakah pengguna tidak disimpan di direktori.

Catatan

Perbarui aturan secara langsung di Portal Microsoft DFP jika menggunakan mesin aturan Microsoft DFP.

Langkah berikutnya

Untuk informasi tambahan, ulas artikel berikut ini: