Implementace Azure AD B2C s vícefaktorovými možnostmi

Lina Fontaine

úterý 14. května 2024 11:06:46

Prozkoumání implementace vlastních zásad Azure AD B2C
Integrace více metod ověřování do Azure AD B2C zvyšuje zabezpečení a flexibilitu uživatelů. Ve scénářích, kdy si uživatelé potřebují vybrat mezi e-mailem, telefonem nebo ověřovací aplikací pro vícefaktorové ověřování (MFA), se vlastní zásady stávají zásadními. Tyto zásady umožňují přizpůsobené cesty uživatelů, které vyhovují různým preferencím ověřování a zajišťují bezproblémové a bezpečné uživatelské prostředí.
Výzva často spočívá v technickém provedení v rámci Azure, konkrétně při integraci časově založených jednorázových hesel (TOTP) vedle jiných metod. Úspěšné sloučení těchto možností do uživatelského toku vyžaduje přesnou konfiguraci a správu uživatelských cest, což může často vést k problémům, jako jsou trvalé výzvy k výběru MFA po nastavení.

Příkaz Popis

<ClaimType> Definuje typ deklarace v zásadě, určuje typ dat, vlastnosti zobrazení a omezení.

<UserJourney> Popisuje sekvenci kroků, kterými uživatel prochází ve vlastní zásadě.

<OrchestrationStep> Určuje jednotlivý krok v rámci cesty uživatele, včetně jeho typu a pořadí.

<Precondition> Definuje podmínku, která musí být splněna, aby se krok orchestrace mohl provést a která se používá k řízení toku na základě uživatelských dat nebo předchozích vstupů.

<ClaimsProviderSelections> Určuje poskytovatele nároků dostupné pro výběr během kroku v cestě uživatele.

<ClaimsExchange> Definuje výměnu reklamací s poskytovatelem reklamací a specifikuje, které reklamace jsou od kterého poskytovatele požadovány.

Příkaz	Popis
<ClaimType>	Definuje typ deklarace v zásadě, určuje typ dat, vlastnosti zobrazení a omezení.
<UserJourney>	Popisuje sekvenci kroků, kterými uživatel prochází ve vlastní zásadě.
<OrchestrationStep>	Určuje jednotlivý krok v rámci cesty uživatele, včetně jeho typu a pořadí.
<Precondition>	Definuje podmínku, která musí být splněna, aby se krok orchestrace mohl provést a která se používá k řízení toku na základě uživatelských dat nebo předchozích vstupů.
<ClaimsProviderSelections>	Určuje poskytovatele nároků dostupné pro výběr během kroku v cestě uživatele.
<ClaimsExchange>	Definuje výměnu reklamací s poskytovatelem reklamací a specifikuje, které reklamace jsou od kterého poskytovatele požadovány.

Vysvětlení integrace vlastních zásad Azure AD B2C

Výše uvedené skripty jsou nezbytné pro implementaci vlastních možností vícefaktorového ověřování (MFA) v rámci Azure AD B2C. Použití tag je klíčový, protože definuje typy nároků, které si uživatelé mohou vybrat, jako je telefon, e-mail nebo TOTP (Time-based One-time Password). Tento typ deklarace také diktuje možnosti vstupu, které má uživatel k dispozici, což z něj činí základní kámen pro vytvoření dynamické a uživatelsky specifické autentizace. Volby, které zde uživatelé učiní, ovlivňují průběh jejich autentizační cesty a umožňují personalizovaná bezpečnostní opatření.

The a tagy strukturují celý proces přihlášení nebo registrace. Každý krok orchestrace může obsahovat předběžné podmínky, které se používají k vedení toku na základě předchozího vstupu nebo stavu uživatele. Například tag vyhodnotí, zda byl nastaven konkrétní nárok, jako je zvolená metoda MFA, a na základě tohoto vyhodnocení může přeskočit určité kroky pro zefektivnění procesu. Tato možnost přizpůsobení umožňuje Azure AD B2C přizpůsobit se různým uživatelským scénářům a předvolbám, čímž se zlepší zabezpečení i uživatelské prostředí.

Integrace vícefaktorového ověřování v Azure AD B2C

Konfigurace XML pro vlastní zásady

<ClaimType Id="extension_mfaByPhoneOrEmail">
    <DisplayName>Please select your preferred MFA method</DisplayName>
    <DataType>string</DataType>
    <UserInputType>RadioSingleSelect</UserInputType>
    <Restriction>
        <Enumeration Text="Phone" Value="phone" SelectByDefault="true" />
        <Enumeration Text="Email" Value="email" SelectByDefault="false" />
        <Enumeration Text="Authenticator App" Value="TOTP" SelectByDefault="false" />
    </Restriction>
</ClaimType>
<UserJourney Id="SignUpOrSignInMFAOption">
    <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
            <ClaimsProviderSelections>
                <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
            </ClaimsProviderSelections>
            <ClaimsExchanges>
                <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
            </ClaimsExchanges>
        </OrchestrationStep>
    </OrchestrationSteps>
</UserJourney>

Skript pro trvalý výběr MFA

Konfigurace vlastní zásady v XML

<OrchestrationStep Order="5" Type="ClaimsExchange">
    <Preconditions>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>email</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>phone</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>TOTP</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
    </Preconditions>
</OrchestrationStep>

Pokročilé techniky integrace pro vlastní zásady Azure AD B2C

Pochopení hlubších složitostí vlastních zásad Azure AD B2C vyžaduje prozkoumání toho, jak tyto zásady interagují s externími systémy a rozhraními API. Vlastní zásady v Azure AD B2C nejen zpracovávají ověřování uživatelů, ale lze je také nakonfigurovat pro interakci s externími rozhraními API pro vylepšené ověřovací procesy nebo pro načítání dalších uživatelských dat během cesty ověřování. Tato schopnost umožňuje organizacím implementovat komplexní bezpečnostní požadavky a scénáře podmíněného přístupu, které jdou nad rámec typických nastavení MFA.

Například integrace autentizace na základě rizik, kdy systém vyhodnocuje riziko spojené s pokusem o přihlášení na základě chování uživatele a dalšího kontextu poskytovaného externími službami pro informace o hrozbách. Tato pokročilá technika využívá k volání externích API a použití rozhodovat o toku na základě odezvy API a dynamicky zvyšovat zabezpečení podle hodnocení v reálném čase.

Jaký je účel ve vlastních zásadách Azure AD B2C?
The definuje datové prvky, které lze shromažďovat, ukládat a manipulovat s nimi během uživatelských interakcí v platformě identity.
Jak mohu vymáhat makrofinanční pomoc pouze za určitých podmínek?
Podmíněnou MFA lze vynutit pomocí značky uvnitř s pro kontrolu specifických podmínek před výzvou k MFA.
Mohou vlastní zásady Azure AD B2C volat externí rozhraní API?
Ano, mohou interagovat s externími API prostřednictvím použití což umožňuje zásadám odesílat a přijímat informace ze služeb třetích stran.
Jaké jsou výhody používání je v Azure AD B2C?
s umožňují definovat vlastní cesty, kterými mohou uživatelé projít procesem autentizace, přizpůsobené různým uživatelským případům a podmínkám.
Jak odladím vlastní zásady v Azure AD B2C?
Ladění lze provést nahráním zásad v režimu „Vývoj“, což umožňuje podrobné protokoly chyb, které pomáhají identifikovat problémy při provádění zásad.

Implementace Azure AD B2C s možnostmi ověřování e-mailu, telefonu a TOTP nejen poskytuje flexibilitu, ale také zvyšuje zabezpečení tím, že uživatelům umožňuje vybrat si preferovanou metodu. Cesta přes konfiguraci těchto možností odhaluje sílu vlastních zásad při efektivní správě složitých scénářů ověřování. Výzva integrace těchto systémů spočívá v zachování uživatelské přívětivosti a zároveň zajištění robustního zabezpečení, což demonstruje schopnost Azure AD B2C uspokojit různé potřeby škálovatelným způsobem.