Teknisk översikt och funktionsöversikt över Azure Active Directory B2C

  • Artikel
  • 13 minuter för att läsa

Den här artikeln är ett komplement Azure Active Directory About Azure Active Directory B2Coch ger en mer djupgående introduktion till tjänsten. Här beskrivs de primära resurser som du arbetar med i tjänsten, dess funktioner. Lär dig hur dessa funktioner gör att du kan tillhandahålla en helt anpassad identitetsupplevelse för dina kunder i dina program.

Azure AD B2C klientorganisation

I Azure Active Directory B2C (Azure AD B2C) representerar en klientorganisation din organisation och är en katalog med användare. Varje Azure AD B2C-klientorganisation är separat och åtskild från andra Azure AD B2C-klientorganisationer. En Azure Active Directory-klientorganisation är en annan klientorganisation än den Azure AD B2C-klientorganisation som du kanske redan har.

De primära resurser som du arbetar med i Azure AD B2C klientorganisation är:

  • KatalogKatalogen är den plats Azure AD B2C lagrar dina användares autentiseringsuppgifter, profildata och programregistreringar.
  • Programregistreringar – Registrera dina webb-, mobil- och interna program med Azure AD B2C för att aktivera identitetshantering. Du kan också registrera alla API:er som du vill skydda med Azure AD B2C.
  • Användarflöden och anpassade principer – Skapa identitetsupplevelser för dina program med inbyggda användarflöden och fullständigt konfigurerbara anpassade principer:
    • Med användarflöden kan du snabbt aktivera vanliga identitetsuppgifter som registrering, inloggning och profilredigering.
    • Med anpassade principer kan du skapa komplexa identitetsarbetsflöden som är unika för din organisation, kunder, anställda, partner och medborgare.
  • Inloggningsalternativ – Azure AD B2C erbjuder olika alternativ för registrering och inloggning för användare av dina program:
    • Användarnamn, e-postadress och telefon-inloggning – Konfigurera dina lokala Azure AD B2C-konton så att de tillåter registrering och inloggning med användarnamn, e-postadress, telefonnummer eller en kombination av metoder.
    • Sociala identitetsproviders – Federera med sociala providers som Facebook, LinkedIn eller Twitter.
    • Externa identitetsproviders – Federera med standardidentitetsprotokoll som OAuth 2.0, OpenID Anslut med mera.
  • Nycklar – Lägg till och hantera krypteringsnycklar för signering och validering av token, klienthemligheter, certifikat och lösenord.

En Azure AD B2C klientorganisation är den första resursen du behöver skapa för att komma igång med Azure AD B2C. Lär dig att:

Konton i Azure AD B2C

Azure AD B2C definierar flera typer av användarkonton. Azure Active Directory, Azure Active Directory B2B och Azure Active Directory B2C delar dessa kontotyper.

  • Arbetskonto – Användare med arbetskonton kan hantera resurser i en klientorganisation och med en administratörsroll kan också hantera klienter. Användare med arbetskonton kan skapa nya konsumentkonton, återställa lösenord, blockera/avblockera konton och ange behörigheter eller tilldela ett konto till en säkerhetsgrupp.
  • Gästkonto – Externa användare som du bjuder in till din klientorganisation som gäster. Ett vanligt scenario för att bjuda in en gästanvändare till din Azure AD B2C klientorganisation är att dela administrationsuppgifter.
  • Konsumentkonto – Konton som hanteras av Azure AD B2C användarflöden och anpassade principer.

Azure AD B2C användarhanteringssidan i Azure Portal
Bild: Användarkatalog i en Azure AD B2C klientorganisation i Azure Portal

Konsumentkonton

Med ett konsumentkonto kan användarna logga in på de program som du har skyddat med Azure AD B2C. Användare med konsumentkonton kan dock inte komma åt Azure-resurser, till exempel Azure Portal.

Ett konsumentkonto kan associeras med följande identitetstyper:

  • Lokal identitet, där användarnamnet och lösenordet lagras lokalt i Azure AD B2C katalogen. Vi refererar ofta till dessa identiteter som "lokala konton".
  • Sociala identiteter eller företagsidentiteter, där användarens identitet hanteras av en federerad identitetsprovider. Till exempel Facebook, Google, Microsoft, ADFS eller Salesforce.

En användare med ett konsumentkonto kan logga in med flera identiteter. Till exempel användarnamn, e-post, anställnings-ID, myndighets-ID med mera. Ett enda konto kan ha flera identiteter, både lokala och sociala.

Konsumentkontoidentiteter.
Bild: Ett enskilt konsumentkonto med flera identiteter i Azure AD B2C

Mer information finns i Översikt över användarkonton i Azure Active Directory B2C.

Inloggningsalternativ för lokalt konto

Azure AD B2C tillhandahåller olika sätt som användare kan autentisera en användare på. Användare kan logga in på ett lokalt konto med användarnamn och lösenord, telefonverifiering (även kallat lösenordslös autentisering). Registrering av e-post är aktiverat som standard i inställningarna för din lokala kontoidentitetsprovider.

Läs mer om inloggningsalternativ eller hur du ställer in den lokala kontoidentitetsprovidern.

Attribut för användarprofil

Azure AD B2C kan du hantera vanliga attribut för konsumentkontoprofiler. Till exempel visningsnamn, efternamn, förnamn, ort med mera.

Du kan också utöka Azure AD-schemat för att lagra ytterligare information om dina användare. Det kan till exempel vara deras land/region, önskat språk och preferenser, till exempel om de vill prenumerera på ett nyhetsbrev eller aktivera multifaktorautentisering. Mer information finns i:

Logga in med externa identitetsproviders

Du kan konfigurera Azure AD B2C att tillåta användare att logga in på ditt program med autentiseringsuppgifter från sociala identitetsproviders och företagsidentitetsleverantörer. Azure AD B2C kan federera med identitetsproviders som stöder OAuth 1.0-, OAuth 2.0-, OpenID Anslut- och SAML-protokoll. Till exempel Facebook, Microsoft-konto, Google, Twitter och AD-FS.

Externa identitetsproviders.

Med federation av externa identitetsproviders kan du erbjuda dina användare möjligheten att logga in med sina befintliga sociala konton eller företagskonton utan att behöva skapa ett nytt konto för just ditt program.

På sidan för registrering eller inloggning visar Azure AD B2C en lista över externa identitetsproviders som användaren kan välja för inloggning. När de har valt en av de externa identitetsproviders dirigeras de (omdirigeras) till den valda leverantörens webbplats för att slutföra inloggningsprocessen. När användaren har loggat in skickas användaren tillbaka till Azure AD B2C för autentisering av kontot i ditt program.

Exempel på mobil inloggning med ett socialt konto (Facebook).

Information om hur du lägger till identitetsproviders i Azure AD B2C finns i Lägga till identitetsproviders i dina program i Azure Active Directory B2C.

Identitetsupplevelser: användarflöden eller anpassade principer

I Azure AD B2C kan du definiera den affärslogik som användarna följer för att få åtkomst till ditt program. Du kan till exempel bestämma i vilken ordning användarna ska följa när de loggar in, registrerar sig, redigerar en profil eller återställer ett lösenord. När du har slutfört sekvensen hämtar användaren en token och får åtkomst till ditt program.

I Azure AD B2C finns det två sätt att tillhandahålla identitetsanvändarupplevelser:

  • Användarflöden är fördefinierade, inbyggda och konfigurerbara principer som vi tillhandahåller så att du kan skapa registrering, inloggning och principredigering på några minuter.

  • Med anpassade principer kan du skapa egna användarresor för komplexa scenarier med identitetsupplevelsen.

Följande skärmbild visar användargränssnittet för användarflödesinställningar jämfört med konfigurationsfiler för anpassade policyer.

Skärmbild som visar användargränssnittet för användarflödesinställningar jämfört med konfigurationsfiler för anpassade policyer.

Läs översiktsartikeln Om användarflöden och anpassade principer. Den ger en översikt över användarflöden och anpassade principer och hjälper dig att avgöra vilken metod som fungerar bäst för dina affärsbehov.

Användargränssnitt

I Azure AD B2C kan du skapa användarnas identitetsupplevelser så att de sidor som visas sömlöst blandas med utseendet och känslan i ditt varumärke. Du får nästan full kontroll över DET HTML- och CSS-innehåll som visas för användarna när de går igenom programmets identitetsresor. Med den här flexibiliteten kan du upprätthålla varumärkeskonsekvens och visuell konsekvens mellan ditt program och Azure AD B2C.

Skärmbilder av inloggningssidan för varumärkesanpassad registrering.

Information om anpassning av användargränssnittet finns i:

Anpassad domän

Du kan anpassa din Azure AD B2C i omdirigerings-URL:erna för Azure AD B2C. Med anpassad domän kan du skapa en sömlös upplevelse så att de sidor som visas sömlöst blandas med domännamnet för ditt program.

Skärmbilder av Azure AD B2C anpassad domän

Från användarens perspektiv finns de kvar i din domän under inloggningsprocessen i stället för att omdirigeras till Azure AD B2C standarddomänens .b2clogin.com. Mer information finns i Aktivera anpassade domäner.

Lokalisering

Med språkanpassning i Azure AD B2C kan du anpassa olika språk så att de passar dina kundbehov. Microsoft tillhandahåller översättningar för 36 språk, men du kan också tillhandahålla egna översättningar för alla språk. Även om din upplevelse endast finns för ett enda språk kan du anpassa valfri text på sidorna.

Tre inloggningssidor för registrering som visar gränssnittstext på olika språk

Se hur lokalisering fungerar i Språkanpassning i Azure Active Directory B2C.

E-postverifiering

Azure AD B2C säkerställer giltiga e-postadresser genom att kräva att kunderna verifierar dem under registrering och lösenordsåterställningsflöden. Det förhindrar också att illvilliga aktörer använder automatiserade processer för att generera bedrägliga konton i dina program.

Skärmbilder av Azure AD B2C e-postverifiering

Du kan anpassa e-postmeddelandet till användare som registrerar sig för att använda dina program. Genom att använda e-postleverantören från tredje part kan du använda din egen e-postmall och Från: adress och ämne, samt stöd för lokalisering och anpassade engångslösenordsinställningar (OTP). Mer information finns i:

Lägg till din egen affärslogik och anropa RESTful-API

Du kan integrera med ett RESTful-API i både användarflöden och anpassade principer. Skillnaden är att du i användarflöden gör anrop på angivna platser, medan du i anpassade principer lägger till din egen affärslogik under resan. Med den här funktionen kan du hämta och använda data från externa identitetskällor. Azure AD B2C kan utbyta data med en RESTful-tjänst för att:

  • Visa anpassade användarvänliga felmeddelanden.
  • Verifiera användarindata för att förhindra att felaktiga data bevaras i användarkatalogen. Du kan till exempel ändra de data som anges av användaren, t.ex. med versaler för förnamnet om de har angett dem med gemener.
  • Utöka användardata genom att integrera ytterligare med företagets verksamhetsapplikation.
  • Med RESTful-anrop kan du skicka push-meddelanden, uppdatera företagsdatabaser, köra en användarmigreringsprocess, hantera behörigheter, granska databaser med mera.

Trohetsprogram är ett annat scenario som Azure AD B2C stöd för att anropa REST-API:er. Restful-tjänsten kan till exempel ta emot en användares e-postadress, fråga kunddatabasen och sedan returnera användarens troliga nummer till Azure AD B2C.

Returdata kan lagras i användarens katalogkonto i Azure AD B2C. Data kan sedan utvärderas ytterligare i efterföljande steg i principen eller inkluderas i åtkomsttoken.

Affärsintegrering i ett mobilprogram.

Du kan lägga till REST API anrop i alla steg i användarresan som definieras av en anpassad princip. Du kan till exempel anropa en REST API:

  • Precis innan du loggar in Azure AD B2C autentiseringsuppgifterna
  • Omedelbart efter inloggning
  • Innan Azure AD B2C skapar ett nytt konto i katalogen
  • När Azure AD B2C skapar ett nytt konto i katalogen
  • Innan Azure AD B2C en åtkomsttoken

Information om hur du använder anpassade principer för RESTful API-integrering i Azure AD B2C finns i Integrera REST API anspråksutbyten i din Azure AD B2C anpassade princip.

Protokoll och token

  • För program stöder Azure AD B2C protokollen OAuth 2.0, OpenID Anslutoch SAML för användarresor. Programmet startar användarresan genom att utfärda autentiseringsbegäranden till Azure AD B2C. Resultatet av en begäran om att Azure AD B2C är en säkerhetstoken, till exempel en ID-token, åtkomsttokeneller SAML-token. Denna säkerhetstoken definierar användarens identitet i programmet.

  • För externa identiteter stöder Azure AD B2C federation med alla OAuth 1.0-, OAuth 2.0-, OpenID Anslut- och SAML-identitetsprovidrar.

Följande diagram visar hur Azure AD B2C kan kommunicera med olika protokoll i samma autentiseringsflöde:

Diagram över OIDC-baserad klientapp som federerar med en SAML-baserad IdP

  1. Programmet för förlitande part startar en auktoriseringsbegäran för att Azure AD B2C openID-Anslut.
  2. När en användare av programmet väljer att logga in med en extern identitetsprovider som använder SAML-protokollet anropar Azure AD B2C SAML-protokollet för att kommunicera med den identitetsprovidern.
  3. När användaren har slutfört inloggningen med den externa identitetsprovidern returnerar Azure AD B2C token till programmet för förlitande part med hjälp av OpenID-Anslut.

Integrering av program

När en användare vill logga in på ditt program initierar programmet en auktoriseringsbegäran till en slutpunkt med användarflöde eller anpassad princip. Användarflödet eller den anpassade principen definierar och styr användarupplevelsen. När användaren har slutfört ett användarflöde, till exempel inloggnings- eller inloggningsflödet, Azure AD B2C en token och omdirigerar sedan användaren tillbaka till ditt program.

Mobilapp med pilar som visar flödet mellan Azure AD B2C inloggningssidan.

Flera program kan använda samma användarflöde eller anpassade princip. Ett enda program kan använda flera användarflöden eller anpassade principer.

Om du till exempel vill logga in på ett program använder programmet användarflödet för registrering eller inloggning. När användaren har loggat in kanske han eller hon vill redigera sin profil, så programmet initierar en ny auktoriseringsbegäran, den här gången med hjälp av användarflödet för profilredigering.

Multifaktorautentisering (MFA)

Azure AD B2C multifaktorautentisering (MFA) hjälper till att skydda åtkomsten till data och program samtidigt som användarnas enkelhet bibehålls. Det ger extra säkerhet genom att kräva en andra form av autentisering och levererar stark autentisering genom att erbjuda en mängd lättanvända autentiseringsmetoder.

Användarna kan behöva använda MFA baserat på konfigurationsbeslut som du kan fatta som administratör.

Se hur du aktiverar MFA i användarflöden i Aktivera multifaktorautentisering i Azure Active Directory B2C.

Villkorlig åtkomst

Azure AD Identity Protection funktioner för riskidentifiering, inklusive riskfyllda användare och riskfyllda inloggningar, identifieras och visas automatiskt i din Azure AD B2C klientorganisation. Du kan skapa principer för villkorsstyrd åtkomst som använder dessa riskidentifieringar för att fastställa reparationsåtgärder och genomdriva organisationsprinciper.

Flöde för villkorsstyrd åtkomst

Azure AD B2C utvärderar varje inloggningshändelse och säkerställer att alla principkrav uppfylls innan du beviljar användaråtkomst. Riskfyllda användare eller inloggningar kan blockeras eller påverkas av en specifik reparation som multifaktorautentisering (MFA). Mer information finns i Identity Protection och Villkorsstyrd åtkomst.

Lösenordskomplexitet

Under registrering eller lösenordsåterställning måste användarna ange ett lösenord som uppfyller komplexitetsreglerna. Som standard Azure AD B2C fram en princip för starkt lösenord. Azure AD B2C också konfigurationsalternativ för att ange komplexitetskraven för de lösenord som dina kunder använder.

Skärmbild av användarupplevelsen av lösenordskomplexitet

Mer information finns i Konfigurera komplexitetskrav för lösenord i Azure AD B2C.

Tvinga lösenordsåterställning

Som Azure AD B2C klientadministratör kan du återställa en användares lösenord om användaren glömmer sitt lösenord. Eller så vill du tvinga dem att återställa lösenordet med jämna mellanrum. Mer information finns i Konfigurera ett flöde för tvingad lösenordsåterställning.

Framt tvinga lösenordsåterställningsflöde.

Smart kontolåsning

För att förhindra brute force-försök att gissa lösenord använder Azure AD B2C en avancerad strategi för att låsa konton baserat på IP-adressen för begäran, de angivna lösenorden och flera andra faktorer. Varaktigheten för utelåsningen ökas automatiskt baserat på risk och antalet försök.

Smart utlåsning av konto

Mer information om hur du hanterar inställningar för lösenordsskydd finns i Minimera attacker med autentiseringsuppgifter i Azure AD B2C.

Skydda resurser och kundidentiteter

Azure AD B2C uppfyller de säkerhets-, sekretess- och andra åtaganden som beskrivs i Microsoft Azure Säkerhetscenter.

Sessioner modelleras som krypterade data, där dekrypteringsnyckeln endast är känd för Azure AD B2C Security Token Service. En stark krypteringsalgoritm, AES-192, används. Alla kommunikationssökvägar skyddas med TLS av sekretesskäl och integritet. Vår säkerhetstokentjänst använder ett EV-certifikat (Extended Validation) för TLS. Säkerhetstokentjänsten minskar i allmänhet XSS-attacker (cross-site scripting) genom att inte återge ej betrodda indata.

Diagram över säkra data under överföring och i vila.

Åtkomst till användardata

Azure AD B2C har många egenskaper med företagsklienter Azure Active Directory som används för anställda och partner. Delade aspekter omfattar mekanismer för att visa administrativa roller, tilldela roller och granskningsaktiviteter.

Du kan tilldela roller för att styra vem som kan utföra vissa administrativa åtgärder Azure AD B2C, inklusive:

  • Skapa och hantera alla aspekter av användarflöden
  • Skapa och hantera attributschemat som är tillgängligt för alla användarflöden
  • Konfigurera identitetsprovider för användning i direkt federation
  • Skapa och hantera principer för förtroenderamverk i Identity Experience Framework (anpassade principer)
  • Hantera hemligheter för federation och kryptering i Identity Experience Framework (anpassade principer)

Mer information om Azure AD-roller, inklusive Azure AD B2C stöd för administrationsroller, finns i Administratörsrollbehörigheter i Azure Active Directory.

Granskning och loggar

Azure AD B2C skickar granskningsloggar som innehåller aktivitetsinformation om dess resurser, utfärdade token och administratörsåtkomst. Du kan använda granskningsloggarna för att förstå plattformsaktivitet och diagnostisera problem. Granskningsloggposter är tillgängliga strax efter den aktivitet som genererade händelsen.

I en granskningslogg, som är tillgänglig för Azure AD B2C klientorganisation eller för en viss användare, hittar du information som:

  • Aktiviteter som rör auktorisering av en användare att få åtkomst till B2C-resurser (till exempel en administratör som har åtkomst till en lista över B2C-principer)
  • Aktiviteter som rör katalogattribut som hämtas när en administratör loggar in med hjälp av Azure Portal
  • Skapa, läsa, uppdatera och ta bort CRUD-åtgärder på B2C-program
  • CRUD-åtgärder på nycklar som lagras i en B2C-nyckelcontainer
  • CRUD-åtgärder på B2C-resurser (till exempel principer och identitetsproviders)
  • Validering av användarautentiseringsuppgifter och tokenutfärdande

Granskningsloggen för enskilda användare som visas i Azure Portal

Mer information om granskningsloggar finns i Åtkomst till Azure AD B2C-granskningsloggar.

Användningsanalys

Azure AD B2C kan du identifiera när personer registrerar sig eller loggar in på din app, var användarna finns och vilka webbläsare och operativsystem de använder.

Genom att Azure Application Insights i Azure AD B2C anpassade principer kan du få insikter om hur personer registrerar sig, loggar in, återställer sina lösenord eller redigerar sin profil. Med sådan kunskap kan du fatta datadrivna beslut för dina kommande utvecklingscykler.

Mer information finns i Spåra användarbeteende i Azure Active Directory B2C med Application Insights.

Regionstillgänglighet och datahemvist

Azure AD B2C tjänsten är allmänt tillgänglig över hela världen med alternativet för datahemvist i regioner som anges i Produkter som är tillgängliga per region. Datahemlighet bestäms av det land/den region som du väljer när du skapar din klientorganisation.

Läs mer om Azure Active Directory B2C-tjänstens regionstillgänglighet & datahemlighet och Serviceavtal (SLA) för Azure Active Directory B2C.

Automation med Microsoft Graph API

Använd MS Graph API för att hantera Azure AD B2C katalog. Du kan också skapa Azure AD B2C själva katalogen. Du kan hantera användare, identitetsproviders, användarflöden, anpassade principer med mera.

Läs mer om hur du hanterar Azure AD B2C med Microsoft Graph.

Azure AD B2C tjänstbegränsningar

Läs mer om Azure AD B2C begränsningar och begränsningar för tjänsten

Nästa steg

Nu när du har en djupare vy över funktionerna och de tekniska aspekterna av Azure Active Directory B2C: