„Azure AD B2C“ diegimas su kelių veiksnių parinktimis

„Azure AD B2C“ diegimas su kelių veiksnių parinktimis
„Azure AD B2C“ diegimas su kelių veiksnių parinktimis
Lina Fontaine
2024 m. gegužės 14 d., antradienis 11:34:06

„Azure AD B2C“ tinkintos politikos diegimo tyrinėjimas

Kelių autentifikavimo metodų integravimas į Azure AD B2C padidina saugumą ir naudotojo lankstumą. Scenarijais, kai vartotojai turi pasirinkti el. paštą, telefoną ar autentifikavimo programą, kad būtų galima atlikti kelių veiksnių autentifikavimą (MFA), tinkintos strategijos tampa itin svarbios. Ši politika leidžia pritaikyti naudotojų keliones, kuriose atsižvelgiama į įvairias autentifikavimo nuostatas, užtikrinant sklandžią ir saugią naudotojo patirtį.

Iššūkis dažnai kyla dėl techninio vykdymo „Azure“ sistemoje, ypač integruojant laiku pagrįstus vienkartinius slaptažodžius (TOTP) kartu su kitais metodais. Norint sėkmingai sujungti šias parinktis vartotojų sraute, reikia tiksliai konfigūruoti ir valdyti naudotojų keliones, todėl dažnai gali kilti problemų, pvz., nuolatiniai MFA pasirinkimo raginimai po sąrankos.

komandą apibūdinimas
<ClaimType> Apibrėžia paraiškos tipą politikoje, nurodydamas duomenų tipą, rodymo ypatybes ir apribojimus.
<UserJourney> Apibūdinama veiksmų seka, kurią naudotojas atlieka pasirinktoje politikoje.
<OrchestrationStep> Nurodo atskirą vartotojo kelionės veiksmą, įskaitant jo tipą ir tvarką.
<Precondition> Apibrėžia sąlygą, kurios turi būti įvykdytos, kad būtų vykdomas orkestravimo veiksmas, naudojamas srautui valdyti pagal vartotojo duomenis arba ankstesnes įvestis.
<ClaimsProviderSelections> Nurodo pretenzijų teikėjus, kuriuos galima pasirinkti vartotojo kelionės veiksmo metu.
<ClaimsExchange> Apibrėžiamas keitimasis pretenzijomis su pretenzijų teikėju, nurodant, kokių pretenzijų iš kurio teikėjo reikia pateikti.

„Azure AD B2C“ tinkintų strategijų integravimo paaiškinimas

Aukščiau aprašyti scenarijai yra būtini norint įdiegti pasirinktines kelių veiksnių autentifikavimo (MFA) parinktis „Azure AD B2C“. Naudojimas <ClaimType> žyma yra labai svarbi, nes ji apibrėžia paraiškų tipus, kuriuos vartotojai gali pasirinkti, pvz., telefoną, el. paštą arba TOTP (laikinį vienkartinį slaptažodį). Šis paraiškos tipas taip pat diktuoja vartotojui prieinamas įvesties parinktis, todėl tai yra kertinis akmuo kuriant dinamišką ir vartotojui būdingą autentifikavimo patirtį. Naudotojų pasirinkimai čia daro įtaką jų autentifikavimo kelio eigai, todėl įgalinamos suasmenintos saugos priemonės.

The <UserJourney> ir <OrchestrationStep> žymos sudaro visą prisijungimo ar prisiregistravimo procesą. Kiekviename orkestravimo etape gali būti išankstinių sąlygų, kurios naudojamos srautui vadovauti pagal ankstesnę įvestį arba vartotojo būseną. Pavyzdžiui, <Precondition> žyma įvertina, ar buvo nustatytas konkretus reikalavimas, pvz., pasirinktas MFA metodas, ir, remdamasi šiuo įvertinimu, gali praleisti tam tikrus veiksmus, kad supaprastintų procesą. Ši tinkinimo galimybė leidžia „Azure AD B2C“ prisitaikyti prie įvairių naudotojo scenarijų ir nuostatų, taip pagerinant saugumą ir naudotojo patirtį.

Kelių faktorių autentifikavimo integravimas į Azure AD B2C

XML konfigūracija tinkintoms strategijoms

<ClaimType Id="extension_mfaByPhoneOrEmail">
    <DisplayName>Please select your preferred MFA method</DisplayName>
    <DataType>string</DataType>
    <UserInputType>RadioSingleSelect</UserInputType>
    <Restriction>
        <Enumeration Text="Phone" Value="phone" SelectByDefault="true" />
        <Enumeration Text="Email" Value="email" SelectByDefault="false" />
        <Enumeration Text="Authenticator App" Value="TOTP" SelectByDefault="false" />
    </Restriction>
</ClaimType>
<UserJourney Id="SignUpOrSignInMFAOption">
    <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
            <ClaimsProviderSelections>
                <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
            </ClaimsProviderSelections>
            <ClaimsExchanges>
                <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
            </ClaimsExchanges>
        </OrchestrationStep>
    </OrchestrationSteps>
</UserJourney>

Nuolatinio MFA pasirinkimo scenarijus

Pasirinktinė politikos konfigūracija XML formatu

<OrchestrationStep Order="5" Type="ClaimsExchange">
    <Preconditions>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>email</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>phone</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>TOTP</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
    </Preconditions>
</OrchestrationStep>

Išplėstiniai Azure AD B2C tinkintų strategijų integravimo metodai

Norint suprasti gilesnes Azure AD B2C tinkintų strategijų subtilybes, reikia ištirti, kaip šios strategijos sąveikauja su išorinėmis sistemomis ir API. „Azure AD B2C“ tinkintos strategijos ne tik tvarko vartotojo autentifikavimą, bet ir gali būti sukonfigūruotos sąveikauti su išorinėmis API, kad būtų patobulinti tikrinimo procesai arba gauti papildomi vartotojo duomenys autentifikavimo kelionės metu. Ši galimybė leidžia organizacijoms įgyvendinti sudėtingus saugos reikalavimus ir sąlyginės prieigos scenarijus, kurie viršija tipines MFA sąrankas.

Pavyzdžiui, rizika pagrįsto autentifikavimo integravimas, kai sistema įvertina riziką, susijusią su bandymu prisijungti, remdamasi vartotojo elgesiu ir papildomu kontekstu, kurį teikia išorinės grėsmės žvalgybos tarnybos. Ši pažangi technika padeda ClaimsExchange iškviesti išorines API ir naudoti Preconditions nuspręsti srautą pagal API atsaką, dinamiškai didinant saugumą pagal realiojo laiko vertinimus.

Dažnos užklausos apie Azure AD B2C tinkintą politiką

  1. Koks yra tikslas <ClaimType> Azure AD B2C tinkintoje politikoje?
  2. The <ClaimType> apibrėžia duomenų elementus, kuriuos galima rinkti, saugoti ir manipuliuoti naudotojo sąveikos metu tapatybės platformoje.
  3. Kaip galiu vykdyti URM tik tam tikromis sąlygomis?
  4. Sąlyginė MFA gali būti vykdoma naudojant <Precondition> žymės viduje <OrchestrationStep>s prieš ragindami gauti MFP patikrinkite konkrečias sąlygas.
  5. Ar „Azure AD B2C“ tinkintos strategijos gali iškviesti išorines API?
  6. Taip, jie gali sąveikauti su išorinėmis API naudodamiesi <ClaimsExchange> kuri leidžia politikams siųsti ir gauti informaciją iš trečiųjų šalių paslaugų.
  7. Kokie yra naudojimo pranašumai <UserJourney>yra Azure AD B2C?
  8. <UserJourney>s leidžia apibrėžti pasirinktinius kelius, kuriais vartotojai gali pereiti per autentifikavimo procesą, pritaikytus įvairiems vartotojo atvejams ir sąlygoms.
  9. Kaip derinti tinkintą politiką „Azure AD B2C“?
  10. Derinimas gali būti atliktas įkeliant politiką „Kūrimo“ režimu, įgalinant išsamius klaidų žurnalus, kurie padeda nustatyti politikos vykdymo problemas.

Paskutinės mintys apie Azure AD B2C tinkinimus

Azure AD B2C įdiegimas su el. pašto, telefono ir TOTP autentifikavimo parinktimis suteikia ne tik lankstumo, bet ir padidina saugumą, nes leidžia vartotojams pasirinkti pageidaujamą metodą. Šių parinkčių konfigūravimo kelionė atskleidžia tinkintų strategijų galią efektyviai valdyti sudėtingus autentifikavimo scenarijus. Šių sistemų integravimo iššūkis yra išlaikyti patogumą vartotojui, kartu užtikrinant tvirtą saugumą, parodant Azure AD B2C gebėjimą patenkinti įvairius poreikius.