Rekommendationer och metodtips för Azure Active Directory B2C
Följande metodtips och rekommendationer omfattar några av de viktigaste aspekterna av att integrera Azure Active Directory (Azure AD) B2C i befintliga eller nya programmiljöer.
Grunderna
| Bästa metod | beskrivning |
|---|---|
| Välj användarflöden för de flesta scenarier | Identity Experience Framework i Azure AD B2C är tjänstens kärnstyrka. Principer beskriver fullständigt identitetsupplevelser som registrering, inloggning eller profilredigering. För att hjälpa dig att konfigurera de vanligaste identitetsuppgifterna innehåller Azure AD B2C-portalen fördefinierade, konfigurerbara principer som kallas användarflöden. Med användarflöden kan du skapa fantastiska användarupplevelser på några minuter, med bara några klick. Lär dig när du ska använda användarflöden jämfört med anpassade principer. |
| Appregistreringar | Varje program (webb, inbyggt) och API som skyddas måste registreras i Azure AD B2C. Om en app har både en webbversion och en intern version av iOS och Android kan du registrera dem som ett program i Azure AD B2C med samma klient-ID. Lär dig hur du registrerar OIDC, SAML, webbappar och interna appar. Läs mer om programtyper som kan användas i Azure AD B2C. |
| Flytta till fakturering för månatliga aktiva användare | Azure AD B2C har flyttats från månatliga aktiva autentiseringar till fakturering för månatliga aktiva användare (MAU). De flesta kunder tycker att den här modellen är kostnadseffektiv. Läs mer om fakturering för månatliga aktiva användare. |
Planering och design
Definiera din program- och tjänstarkitektur, inventera aktuella system och planera migreringen till Azure AD B2C.
| Bästa metod | beskrivning |
|---|---|
| Skapa en lösning från slutpunkt till slutpunkt | Inkludera alla programberoenden när du planerar en Azure AD B2C-integrering. Tänk på alla tjänster och produkter som för närvarande finns i din miljö eller som kan behöva läggas till i lösningen (till exempel Azure Functions, CRM-system (customer relationship management), Azure API Management-gateway och lagringstjänster). Ta hänsyn till säkerhet och skalbarhet för alla tjänster. |
| Dokumentera användarnas upplevelser | Information om alla användarresor som dina kunder kan uppleva i ditt program. Inkludera varje skärm och eventuella förgreningsflöden som de kan stöta på när de interagerar med identitets- och profilaspekterna i ditt program. Inkludera användbarhet, tillgänglighet och lokalisering i din planering. |
| Välj rätt autentiseringsprotokoll | En uppdelning av de olika programscenarierna och deras rekommenderade autentiseringsflöden finns i Scenarier och autentiseringsflöden som stöds. |
| Testa en poc-upplevelse (proof-of-concept) från slutpunkt till slutpunkt | Börja med våra Microsoft-kodexempel och community-exempel. |
| Skapa en migreringsplan | Att planera framåt kan göra migreringen smidigare. Läs mer om användarmigrering. |
| Användbarhet jämfört med säkerhet | Din lösning måste hitta rätt balans mellan användbarhet för program och organisationens godtagbara risknivå. |
| Flytta lokala beroenden till molnet | För att säkerställa en elastisk lösning bör du överväga att flytta befintliga programberoenden till molnet. |
| Migrera befintliga appar till b2clogin.com | Utfasningen av login.microsoftonline.com träder i kraft för alla Azure AD B2C-klienter den 4 december 2020. Läs mer. |
| Använda identitetsskydd och villkorsstyrd åtkomst | Använd dessa funktioner för betydligt större kontroll över riskfyllda autentiseringar och åtkomstprinciper. Azure AD B2C Premium P2 krävs. Läs mer. |
| Klientorganisationsstorlek | Du måste planera med Azure AD B2C-klientstorleken i åtanke. Som standard kan Azure AD B2C-klientorganisationen hantera 1,25 miljoner objekt (användarkonton och program). Du kan öka den här gränsen till 5,25 miljoner objekt genom att lägga till en anpassad domän i klientorganisationen och verifiera den. Om du behöver en större klientorganisationsstorlek måste du kontakta supporten. |
| Använda identitetsskydd och villkorsstyrd åtkomst | Använd dessa funktioner för större kontroll över riskfyllda autentiseringar och åtkomstprinciper. Azure AD B2C Premium P2 krävs. Läs mer. |
Implementering
Under implementeringsfasen bör du överväga följande rekommendationer.
| Bästa metod | beskrivning |
|---|---|
| Redigera anpassade principer med Azure AD B2C-tillägget för Visual Studio Code | Ladda ned Visual Studio Code och det här community-byggda tillägget från Visual Studio Code Marketplace. Även om det inte är en officiell Microsoft-produkt innehåller Azure AD B2C-tillägget för Visual Studio Code flera funktioner som gör det enklare att arbeta med anpassade principer. |
| Lär dig hur du felsöker Azure AD B2C | Lär dig hur du felsöker anpassade principer under utvecklingen. Lär dig hur ett normalt autentiseringsflöde ser ut och använd verktyg för att identifiera avvikelser och fel. Du kan till exempel använda Application Insights för att granska utdataloggar för användarresor. |
| Utnyttja vårt bibliotek med beprövade anpassade principmönster | Hitta exempel för förbättrade användarresor för Azure AD B2C-kundidentitet och åtkomsthantering (CIAM). |
Testning
Testa och automatisera din Azure AD B2C-implementering.
| Bästa metod | beskrivning |
|---|---|
| Konto för global trafik | Använd trafikkällor från olika globala adresser för att testa prestanda- och lokaliseringskraven. Kontrollera att alla HTML:er, CSS och beroenden kan uppfylla dina prestandabehov. |
| Funktions- och användargränssnittstestning | Testa användarflödena från slutpunkt till slutpunkt. Lägg till syntetiska tester med några minuters mellanrum med Selenium, VS Web Test osv. |
| Penntestning | Innan du börjar använda lösningen bör du utföra övningar för penetrationstestning för att kontrollera att alla komponenter är säkra, inklusive eventuella beroenden från tredje part. Kontrollera att du har skyddat dina API:er med åtkomsttoken och använt rätt autentiseringsprotokoll för ditt programscenario. Läs mer om intrångstestning och Microsoft Cloud Unified Penetration Testing Rules of Engagement. |
| A/B-testning | Flyg dina nya funktioner med en liten, slumpmässig uppsättning användare innan du distribuerar till hela din befolkning. Med JavaScript aktiverat i Azure AD B2C kan du integrera med A/B-testverktyg som Optimizely, Clarity och andra. |
| Belastningstestning | Azure AD B2C kan skalas, men ditt program kan bara skalas om alla dess beroenden kan skalas. Läs in dina API:er och CDN. Läs mer om motståndskraft genom bästa praxis för utvecklare. |
| Begränsning | Azure AD B2C begränsar trafiken om för många begäranden skickas från samma källa på kort tid. Använd flera trafikkällor vid belastningstestning och hantera AADB2C90229 felkoden korrekt i dina program. |
| Automatisering | Använd CI/CD-pipelines (continuous integration and delivery) för att automatisera testning och distributioner, till exempel Azure DevOps. |
Operations
Hantera din Azure AD B2C-miljö.
| Bästa metod | beskrivning |
|---|---|
| Skapa flera miljöer | Skapa separata miljöer för utveckling, testning, förproduktion och produktion för enklare drift och distribution. Skapa Azure AD B2C-klientorganisationer för var och en. |
| Använda versionskontroll för dina anpassade principer | Överväg att använda GitHub, Azure Repos eller ett annat molnbaserat versionskontrollsystem för dina anpassade Azure AD B2C-principer. |
| Använd Microsoft Graph API för att automatisera hanteringen av dina B2C-klientorganisationer | Api:er för Microsoft Graph: Hantera Identity Experience Framework (anpassade principer) Nycklar Användarflöden |
| Integrera med Azure DevOps | En CI/CD-pipeline gör det enkelt att flytta kod mellan olika miljöer och säkerställer alltid produktionsberedskap. |
| Distribuera anpassad princip | Azure AD B2C förlitar sig på cachelagring för att leverera prestanda till dina slutanvändare. När du distribuerar en anpassad princip med vilken metod som helst kan du förvänta dig en fördröjning på upp till 30 minuter så att användarna kan se ändringarna. Som ett resultat av det här beteendet bör du överväga följande metoder när du distribuerar dina anpassade principer: – Om du distribuerar till en utvecklingsmiljö anger du attributet till i elementet DeploymentMode för den anpassade principfilen<TrustFrameworkPolicy>.Development – Distribuera dina uppdaterade principfiler till en produktionsmiljö när trafiken i din app är låg. – När du distribuerar till en produktionsmiljö för att uppdatera befintliga principfiler laddar du upp de uppdaterade filerna med nya namn och uppdaterar sedan appreferensen till de nya namnen. Du kan sedan ta bort de gamla principfilerna efteråt. – Du kan ange DeploymentMode till Development i en produktionsmiljö för att kringgå cachelagringsbeteendet. Vi rekommenderar dock inte den här metoden. Om du samlar in Azure AD B2C-loggar med Application Insights samlas alla anspråk som skickas till och från identitetsprovidrar in, vilket är en säkerhets- och prestandarisk. |
| Distribuera uppdateringar för appregistrering | När du ändrar programregistreringen i din Azure AD B2C-klientorganisation, till exempel när du uppdaterar programmets omdirigerings-URI, kan du förvänta dig en fördröjning på upp till 2 timmar (3600-talet) för att ändringarna ska börja gälla i produktionsmiljön. Vi rekommenderar att du ändrar programregistreringen i produktionsmiljön när trafiken i appen är låg. |
| Integrera med Azure Monitor | Granskningslogghändelser behålls bara i sju dagar. Integrera med Azure Monitor för att behålla loggarna för långsiktig användning eller integrera med siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för att få insikter om din miljö. |
| Konfigurera aktiv avisering och övervakning | Spåra användarbeteende i Azure AD B2C med Application Insights. |
Support och status Uppdateringar
Håll dig uppdaterad om tjänstens tillstånd och hitta supportalternativ.
| Bästa metod | beskrivning |
|---|---|
| Tjänstuppdateringar | Håll dig uppdaterad med Produktuppdateringar och meddelanden för Azure AD B2C. |
| Microsoft Support | Skicka in en supportbegäran för tekniska problem med Azure AD B2C. Support för fakturering och prenumerationshantering ges utan kostnad. |
| Azure-status | Visa den aktuella hälsostatusen för alla Azure-tjänster. |