Gebruikers migreren naar Azure AD B2C

  • Artikel

Voor het migreren van een andere id-provider naar Azure Active Directory B2C (Azure AD B2C) moeten mogelijk ook bestaande gebruikersaccounts worden gemigreerd. Hier worden twee migratiemethoden besproken, premigratie en naadloze migratie. Met beide benaderingen moet u een toepassing of script schrijven dat gebruikmaakt van de Microsoft Graph API om gebruikersaccounts te maken in Azure AD B2C.

Bekijk deze video voor meer informatie over Azure AD B2C-strategieën en -stappen voor gebruikersmigratie.

Notitie

Voordat u de migratie start, moet u ervoor zorgen dat het ongebruikte quotum van uw Azure AD B2C-tenant geschikt is voor alle gebruikers die u verwacht te migreren. Meer informatie over het ophalen van uw tenantgebruik. Als u de quotumlimiet van uw tenant wilt verhogen, neemt u contact op met Microsoft Ondersteuning.

Premigratie

In de premigratiestroom voert uw migratietoepassing deze stappen uit voor elk gebruikersaccount:

  1. Het gebruikersaccount lezen van de oude id-provider, inclusief de huidige aanmeldingsgegevens (gebruikersnaam en wachtwoord).
  2. Een overeenkomstig account aanmaken in uw Azure AD B2C-directory met de huidige aanmeldingsgegevens.

Gebruik de premigratiestroom in deze twee situaties:

  • U hebt toegang tot de aanmeldingsgegevens (de gebruikersnaam en het wachtwoord) van een gebruiker in leesbare vorm.
  • De aanmeldingsgegevens zijn versleuteld, maar u kunt ze ontsleutelen.

Zie Azure AD B2C-gebruikersaccounts beheren met Microsoft Graph voor informatie over het programmatisch maken van gebruikersaccounts.

Naadloze migratie

Gebruik de naadloze-migratiestroom als wachtwoorden niet toegankelijk zijn in leesbare vorm in de oude id-provider. Dit kan bijvoorbeeld nodig zijn in de volgende situaties:

  • Het wachtwoord wordt opgeslagen in een in één richting versleutelde indeling, bijvoorbeeld met een hashfunctie.
  • Het wachtwoord wordt door de verouderde id-provider opgeslagen op een manier waardoor u er geen toegang toe heeft. Wanneer de id-provider bijvoorbeeld aanmeldingsgegevens valideert door een webservice aan te roepen.

De naadloze-migratiestroom vereist nog steeds premigratie van gebruikersaccounts, maar gebruikt vervolgens een aangepast beleid om een query uit te voeren op een REST API (die u maakt) om het wachtwoord van elke gebruiker in te stellen bij de eerste aanmelding.

De naadloze-migratiestroom bestaat uit twee fasen: premigratie en aanmeldingsgegevens instellen.

Fase 1: premigratie

  1. Uw migratietoepassing leest de gebruikersaccounts van de oude id-provider.
  2. De migratietoepassing maakt overeenkomstige gebruikersaccounts in uw Azure AD B2C-directory, maar stelt willekeurige wachtwoorden in die u genereert.

Fase 2: aanmeldingsgegevens instellen

Nadat de premigratie van de accounts is voltooid, voert uw aangepaste beleid en REST API het volgende uit wanneer een gebruiker zich aanmeldt:

  1. Het Azure AD B2C-gebruikersaccount lezen dat overeenkomt met het ingevoerde e-mailadres.
  2. Controleren of het account is gemarkeerd voor migratie door een booleaans extensiekenmerk te evalueren.
    • Als het extensiekenmerk True retourneert, roep dan uw REST API aan om het wachtwoord te valideren bij de verouderde id-provider.
      • Als de REST API bepaalt dat het wachtwoord onjuist is, retourneer dan een beschrijvende fout aan de gebruiker.
      • Als de REST API bepaalt dat het wachtwoord juist is, schrijf het wachtwoord dan naar het Azure AD B2C-account en wijzig het booleaanse extensiekenmerk naar False.
    • Als het booleaanse extensiekenmerk False retourneert, ga dan verder met het aanmeldingsproces zoals normaal.

Als u een voorbeeld van een aangepast beleid en REST API wilt zien, zie dan het voorbeeld van naadloze gebruikersmigratie op GitHub.

Stroomdiagram van de naadloze migratiebenadering van gebruikersmigratie

Beveiliging

De naadloze migratiebenadering maakt gebruik van uw eigen aangepaste REST API om de aanmeldingsgegevens van een gebruiker te valideren bij de verouderde id-provider.

U moet uw REST API beschermen tegen beveiligingsaanvallen. Een aanvaller kan verschillende wachtwoorden indienen in de hoop uiteindelijk de aanmeldingsgegevens van een gebruiker te raden. Om dergelijke aanvallen af te slaan, moet u stoppen met het verwerken van aanvragen voor uw REST API wanneer het aantal aanmeldingspogingen een bepaalde drempelwaarde overschrijdt. Beveilig ook de communicatie tussen Azure AD B2C en uw REST API. Zie RESTful API beveiligen voor meer informatie over het beveiligen van uw RESTful-API's voor productie.

Gebruikerskenmerken

Niet alle informatie in de verouderde id-provider moet worden gemigreerd naar uw Azure AD B2C-directory. Stel de juiste set gebruikerskenmerken vast die moeten worden opgeslagen in Azure AD B2C voordat u migreert.

  • DO store in Azure AD B2C:
    • Gebruikersnaam, wachtwoord, e-mailadressen, telefoonnummers, lidmaatschapsnummers/id's.
    • Toestemmingsmarkeringen voor privacybeleid en licentieovereenkomsten voor eindgebruikers.
  • NIET opslaan in Azure AD B2C:
    • Gevoelige gegevens zoals creditcardnummers, burgerservicenummers (BSN), medische dossiers of andere gegevens die worden gereguleerd door overheids- of branchenalevingsinstanties.
    • Marketing- of communicatievoorkeuren, gebruikersgedrag en inzichten.

Directory opschonen

Voordat u het migratieproces start, kunt u de directory opschonen.

  • Stel de set gebruikerskenmerken vast die moeten worden opgeslagen in Azure AD B2C en migreer alleen wat u nodig hebt. Indien nodig kunt u aangepaste kenmerken maken om meer gegevens over een gebruiker op te slaan.
  • Als u migreert vanuit een omgeving met meerdere verificatiebronnen (bijvoorbeeld: elke toepassing heeft een eigen gebruikersdirectory), migreert u naar een geïntegreerd account in Azure AD B2C.
  • Als meerdere toepassingen verschillende gebruikersnamen hebben, kunt u deze allemaal opslaan in een Azure AD B2C-gebruikersaccount met behulp van de identiteitenverzameling. Wat het wachtwoord betreft, laat de gebruiker er een kiezen en stel deze in de directory in. Met de naadloze migratie moet bijvoorbeeld alleen het gekozen wachtwoord worden opgeslagen in het Azure AD B2C-account.
  • Verwijder ongebruikte gebruikersaccounts of migreer verouderde accounts niet.

Wachtwoordbeleid

Als de accounts die u migreert een zwakkere wachtwoordsterkte hebben dan de sterke wachtwoordsterkte die wordt afgedwongen door Azure AD B2C, kunt u de vereiste voor sterke wachtwoorden uitschakelen. Zie de eigenschap Wachtwoordbeleid voor meer informatie.

Volgende stappen

De azure-ad-b2c/user-migration opslagplaats op GitHub bevat een voorbeeld van een naadloos aangepast migratiebeleid en een rest API-codevoorbeeld:

Voorbeeld van naadloze gebruikersmigratie van aangepast beleid en REST API-code