Руководство по настройке защиты от мошенничества Microsoft Dynamics 365 с использованием Azure Active Directory B2C

В этом руководстве описано, как интегрировать Защиту от мошенничества Microsoft Dynamics 365 (DFP) с Azure Active Directory (AD) B2C.

Microsoft DFP позволяет организациям оценивать риск попыток создания мошеннических учетных записей или входов. Клиент может использовать оценку Microsoft DFP для блокировки подозрительных попыток создания новых фиктивных учетных записей или взлома существующих учетных записей либо противодействия этим операциям.

В этом примере показано, как в настраиваемую политику Azure AD B2C включить конечные точки API для снятия отпечатков пальцев с устройства Microsoft DFP, создания учетной записи и оценки входа.

Предварительные требования

Чтобы приступить к работе, вам потребуется следующее.

Описание сценария

Интеграция Microsoft DFP включает в себя следующие компоненты:

  • Клиент Azure Active Directory B2C. Проверяет подлинность пользователя и действует как клиент Microsoft DFP. Размещает скрипт вычисления цифрового отпечатка, который собирает идентификационные и диагностические данные каждого пользователя, использующего целевую политику. В дальнейшем блокирует попытки входа или регистрации либо противодействует им в зависимости от результата оценки правила, выполненной Microsoft DFP.

  • Настраиваемые шаблоны пользовательского интерфейса: используются для настройки HTML-содержимого страниц, отображаемых Azure AD B2C. Эти страницы включают фрагмент кода JavaScript, требуемый для снятия отпечатка пальца с помощью Microsoft DFP.

  • Служба сбора цифровых отпечатков Microsoft DFP — это динамически внедренный сценарий, регистрирующий телеметрические данные устройств и данные самоподтвержденных пользователей для создания уникально идентифицируемых отпечатков пользователей, которые будет использоваться позже в процессе принятия решений.

  • Конечные точки API Microsoft DFP предоставляют результат принятия решения и принимает окончательное состояние, отражающее операцию, которую выполняет клиентское приложение. Azure AD B2C напрямую взаимодействует с конечными точками Microsoft DFP, используя соединители REST API. Аутентификация API происходит через предоставление client_credentials для арендатора Azure AD, в котором Microsoft DFP лицензируется и устанавливается для получения токена носителя.

Реализация показана на схеме архитектуры ниже.

На рисунке показана схема архитектуры защиты от мошенничества Microsoft dynamics365

Шаг Описание
1. Пользователь попадает на страницу входа. Пользователь использует функцию регистрации для создания новой учетной записи и вводит данные на странице. Azure Active Directory B2C собирает атрибуты пользователя.
2. Azure AD B2C вызывает API Microsoft DFP и передает атрибуты пользователя.
3. Как только API Microsoft DFP получит и обработает информацию, он вернет результат в API Azure AD B2C.
4. Azure AD B2C получает данные от API Microsoft DFP. При получении ответа о сбое, для пользователя выводится сообщение об ошибке. Полученный ответ об успехе означает, что пользователь прошел проверку подлинности и зарегистрирован в каталоге.

Настройка решения

  1. Создайте приложение Facebook, настроив федеративный доступ к Azure Active Directory B2C.
  2. Добавьте секрет Facebook, созданный в качестве ключа политики Identity Experience Framework.

Конфигурация приложения в Microsoft DFP

Настройте клиент Azure Active Directory для использования Microsoft DFP.

Настройка личного домена

В рабочей среде необходимо использовать личный домен для Azure AD B2C и для службы снятия отпечатков Microsoft DFP. Домен для обеих служб должен находиться в одной корневой зоне DNS, чтобы параметры конфиденциальности браузера не блокировали междоменные файлы cookie (это не обязательно в средах, отличной от рабочей).

Ниже приведен пример:

Среда Служба Домен
Разработка Azure AD B2C contoso-dev.b2clogin.com
Разработка Снятие отпечатков с помощью Microsoft DFP fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Снятие отпечатков с помощью Microsoft DFP fpt.dfp.microsoft.com
Производство Azure AD B2C login.contoso.com
Производство Снятие отпечатков с помощью Microsoft DFP fpt.login.contoso.com

Развертывание шаблонов пользовательского интерфейса

  1. Разверните предоставленные шаблоны пользовательского интерфейса Azure AD B2C в общедоступной службе размещения в Интернете, такой как Хранилище BLOB-объектов Azure.

  2. Замените значение https://<YOUR-UI-BASE-URL>/ корневым URL-адресом своего расположения развертывания.

Примечание

Позже вам потребуется базовый URL-адрес для настройки политик Azure AD B2C.

  1. В файле ui-templates/js/dfp.js замените <YOUR-DFP-INSTANCE-ID> идентификатором экземпляра Microsoft DFP.

  2. Убедитесь, что механизм CORS включен для доменного имени Azure AD B2C https://{your_tenant_name}.b2clogin.com или your custom domain.

Дополнительные сведения см. в документации по настройке пользовательского интерфейса.

Конфигурация Azure Active Directory B2C

Добавление ключей политики для идентификатора и секрета клиентского приложения Microsoft DFP

  1. В арендаторе Azure AD с настроенным экземпляром Microsoft DFP, создайте приложение Azure AD и предоставьте согласие администратора.
  2. Создайте значение секрета для регистрации приложения, а затем запишите идентификатор клиента и значение секрета клиента приложения.
  3. Сохраните идентификатор клиента и значения секрета клиента в качестве ключей политики в арендаторе Azure AD B2C.

Примечание

Позже с помощью ключей политики вы настроите политики Azure AD B2C.

Измените параметры конфигурации

В этих настраиваемых политиках найдите следующие заполнители и замените их соответствующими значениями из своего экземпляра.

Заполнитель Заменить на Примечания
{Settings:Production} Следует ли развертывать политики в рабочем режиме true или false
{Settings:Tenant} Короткое имя вашего клиента your-tenant — из your-tenant.onmicrosoft.com
{Settings:DeploymentMode} Используемый режим развертывания Application Insights Production или Development
{Settings:DeveloperMode} Следует ли развертывать политики в режиме разработчика Application Insights true или false
{Settings:AppInsightsInstrumentationKey} Ключ инструментирования вашего экземпляра Application Insights* 01234567-89ab-cdef-0123-456789abcdef
{Settings:IdentityExperienceFrameworkAppId} ИД приложения IdentityExperienceFramework, настроенный для вашего клиента Azure Active Directory B2C 01234567-89ab-cdef-0123-456789abcdef
{Settings:ProxyIdentityExperienceFrameworkAppId} ИД приложения ProxyIdentityExperienceFramework, настроенный для вашего клиента Azure Active Directory B2C 01234567-89ab-cdef-0123-456789abcdef
{Settings:FacebookClientId} Идентификатор приложения Facebook с настроенной федерацией с B2C 000000000000000
{Settings:FacebookClientSecretKeyContainer} Имя ключа политики, в котором сохранен секрет приложения Facebook B2C_1A_FacebookAppSecret
{Settings:ContentDefinitionBaseUri} Конечная точка, в которой развернуты файлы пользовательского интерфейса https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Settings:DfpApiBaseUrl} Базовый путь к экземпляру API DFP — находится на портале DFP https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Settings:DfpApiAuthScope} Область client_credentials для службы API DFP https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Settings:DfpTenantId} Идентификатор арендатора Azure AD (не B2C), где лицензирован и установлен экземпляр DFP 01234567-89ab-cdef-0123-456789abcdef или consoto.onmicrosoft.com
{Settings:DfpAppClientIdKeyContainer} Имя ключа политики, в котором хранится идентификатор клиента DFP B2C_1A_DFPClientId
{Settings:DfpAppClientSecretKeyContainer} Имя ключа политики, в котором хранится секрет клиента DFP B2C_1A_DFPClientSecret

*Application Insights можно настроить в любых арендаторе или подписке Azure AD. Это значение не является обязательным, но его рекомендуется использовать для упрощения отладки.

Примечание

Добавьте уведомление о согласии на страницу коллекции атрибутов. Уведомите пользователя, что данные идентификации и телеметрия пользователя будут записываться в целях защиты учетной записи.

Настройка политики Azure Active Directory B2C

  1. Перейдите к политике Azure Active Directory B2C в папке политик.

  2. Загрузите начальный пакет LocalAccounts, следуя инструкции в этом документе

  3. Настройте политику для клиента Azure Active Directory B2C.

Примечание

Обновите эти политики в соответствии с параметрами конкретного клиента.

Тестирование потока пользователя

  1. Откройте клиент Azure AD B2C и в разделе "Политики" выберите Identity Experience Framework.

  2. Выберите ранее созданное значение SignUpSignIn.

  3. Выберите Запустить поток пользователя, затем указанные далее параметры.

    a. Приложение: выберите зарегистрированное приложение (например, JWT).

    b. URL-адрес ответа: выберите URL-адрес перенаправления

    c. Выберите Выполнить поток пользователя.

  4. Выполните поток регистрации и создайте учетную запись

  5. После создания пользовательского атрибута при выполнении потока будет вызвана служба Microsoft DFP. Если выполнение потока не завершено, убедитесь, что пользователь не сохранен в каталоге.

Примечание

Обновите правила непосредственно на портале Microsoft DFP, если используется механизм правил Microsoft DFP.

Дальнейшие действия

Дополнительные сведения см. в следующих статьях: