Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:为 Azure Active Directory B2C 配置 Haventec Authenticate 以进行单步、多重无密码身份验证

  • 项目

了解如何将 Azure Active Directory B2C (Azure AD B2C) 与 Haventec Authenticate 集成,后者是一种无密码技术,可消除密码、共享机密和摩擦。

若要了解详细信息,请转到 haventec.com:Haventec

方案描述

Authenticate 集成包括以下组件:

  • Azure AD B2C - 验证用户凭据的授权服务器
    • 也称为标识提供者 (IdP)
  • Web 和移动应用程序 - 受 Authenticate 和 Azure AD B2C 保护的 OpenID Connect (OIDC) 移动或 Web 应用程序
  • Haventec Authenticate 服务 - Azure AD B2C 租户的外部 IdP

下图演示了 Haventec Authenticate 集成中的注册和登录用户流。

Haventec Authenticate 集成中的注册和登录用户流的示意图。

  1. 用户选择登录或注册并输入用户名。
  2. 应用程序将用户特性发送到 Azure AD B2C,以便进行标识验证。
  3. Azure AD B2C 收集用户属性并将其发送到 Haventec Authenticate。
  4. 对于新用户,Authenticate 会向用户的移动设备发送推送通知。 它可以发送电子邮件,其中包含用于注册设备的一次性密码 (OTP)。
  5. 用户做出响应并被授权或拒绝访问。 新的加密密钥将推送到用户设备以供将来的会话使用。

Authenticate 入门

转到 haventec.com 上的“获取 Haventec Authenticate 的演示”页。 在个性化演示请求表单中,表明你对 Azure AD B2C 集成感兴趣。 演示环境准备就绪后,你会收到一封电子邮件。

将 Authenticate 与 Azure AD B2C 集成

按照以下说明准备 Azure AD B2C 并将其与 Authenticate 集成。

先决条件

要开始,需要:

创建 Web 应用程序注册

必须在你管理的租户中注册应用程序,然后这些应用程序才能与 Azure AD B2C 交互。

请参阅教程:在 Azure Active Directory B2C 中注册 Web 应用程序

在 Azure AD B2C 中添加新的标识提供者

有关以下说明,请将目录与 Azure AD B2C 租户配合使用。

  1. 以 Azure AD B2C 租户的全局管理员身份登录到 Azure 门户
  2. 在顶部菜单中,选择“目录 + 订阅”。
  3. 选择包含租户的目录。
  4. 在 Azure 门户左上角,选择“所有服务”。
  5. 搜索并选择“Azure AD B2C”。
  6. 导航到“仪表板”>“Azure Active Directory B2C”>“标识提供者”。
  7. 选择“新的 OpenID Connect 提供程序”
  8. 选择 添加

配置标识提供者

若要配置标识提供者,请执行以下操作:

  1. 选择“标识提供者类型”>“OpenID Connect”。
  2. 对于“名称”,请输入 Haventec 或其他名称。
  3. 对于“元数据 URL”,请使用 https://iam.demo.haventec.com/auth/realms/*your\_realm\_name*/.well-known/openid-configuration
  4. 对于“客户端 ID”,请输入从 Haventec 管理 UI 记录的应用程序 ID。
  5. 对于“客户端密码”,请输入从 Haventec 管理 UI 记录的应用程序密码。
  6. 对于“范围”,请择“OpenID 电子邮件配置文件”。
  7. 对于“响应类型”,请选择“代码”。
  8. 对于“响应模式”,请选择“form_post”。
  9. 对于“域提示”,请留空。
  10. 选择“确定” 。
  11. 选择“映射此标识提供者的声明”。
  12. 对于“用户 ID”,选择“从订阅”。
  13. 对于“显示名称”,选择“从订阅”。
  14. 对于“给定名称”,请使用 given_name
  15. 对于“姓氏”,请使用 family_name
  16. 对于“电子邮件”,请使用电子邮件
  17. 选择“保存” 。

创建用户流策略

对于以下说明,Haventec 是 B2C 标识提供者列表中的新 OIDC 标识提供者。

  1. 在 Azure AD B2C 租户中的“策略”下,选择“用户流”。
  2. 选择“新建用户流”。
  3. 选择“注册和登录”>“版本”>“创建”。
  4. 输入策略的名称
  5. 在“标识提供者”中,选择创建的 Haventec 标识提供者。
  6. 对于“本地帐户”,请选择“”。 此选项将禁用电子邮件和密码身份验证。
  7. 选择“运行用户流”。
  8. 在窗体中,输入回复 URL,例如 https://jwt.ms
  9. 浏览器将重定向到 Haventec 登录页。
  10. 系统会提示用户注册或输入 PIN。
  11. 将执行身份验证质询。
  12. 浏览器将重定向到回复 URL。

测试用户流

  1. 在 Azure AD B2C 租户中的“策略”下,选择“用户流”。
  2. 选择创建的“用户流”。
  3. 选择“运行用户流”。
  4. 对于“应用程序”,请选择已注册的应用。 示例为 JWT。
  5. 对于“回复 URL”,请选择重定向 URL。
  6. 选择“运行用户流”。
  7. 执行注册流并创建帐户。
  8. 此时将调用 Haventec Authenticate。

后续步骤