Implementacija Azure AD B2C z večfaktorskimi možnostmi

Lina Fontaine
Torek, 14. maj 2024 11:54:15
XML Configuration

Raziskovanje implementacije pravilnika po meri Azure AD B2C

Integracija več načinov preverjanja pristnosti v Azure AD B2C povečuje varnost in prilagodljivost uporabnika. V scenarijih, kjer morajo uporabniki izbirati med e-pošto, telefonom ali aplikacijo za preverjanje pristnosti za večfaktorsko preverjanje pristnosti (MFA), postanejo pravilniki po meri ključni. Ti pravilniki omogočajo prilagojena potovanja uporabnika, ki se prilagajajo različnim preferencam preverjanja pristnosti, kar zagotavlja brezhibno in varno uporabniško izkušnjo.

Izziv je pogosto v tehnični izvedbi v okviru Azure, zlasti pri integraciji časovno zasnovanih enkratnih gesel (TOTP) skupaj z drugimi metodami. Uspešno združevanje teh možnosti v uporabniškem toku zahteva natančno konfiguracijo in upravljanje uporabniških poti, kar lahko pogosto povzroči težave, kot so vztrajni pozivi za izbiro MFA po nastavitvi.

Ukaz Opis
<ClaimType> Določa vrsto zahtevka v pravilniku, ki določa vrsto podatkov, lastnosti prikaza in omejitve.
<UserJourney> Opisuje zaporedje korakov, skozi katere gre uporabnik v pravilniku po meri.
<OrchestrationStep> Podaja posamezen korak znotraj uporabniške poti, vključno z njegovo vrsto in vrstnim redom.
<Precondition> Definira pogoj, ki mora biti izpolnjen za izvedbo koraka orkestracije, ki se uporablja za nadzor pretoka na podlagi uporabniških podatkov ali prejšnjih vnosov.
<ClaimsProviderSelections> Podaja ponudnike zahtevkov, ki so na voljo za izbiro med korakom na uporabniški poti.
<ClaimsExchange> Definira izmenjavo zahtevkov z izvajalcem zahtevkov, pri čemer navede, kateri zahtevki se zahtevajo od katerega ponudnika.

Razlaga integracije pravilnikov po meri Azure AD B2C

Zgoraj podrobno opisani skripti so bistveni za implementacijo možnosti večfaktorske avtentikacije (MFA) po meri znotraj Azure AD B2C. Uporaba je ključna, saj določa vrste zahtevkov, ki jih uporabniki lahko izberejo, kot so telefon, e-pošta ali TOTP (enkratno geslo na podlagi časa). Ta vrsta zahtevka narekuje tudi možnosti vnosa, ki so na voljo uporabniku, zaradi česar je temelj za ustvarjanje dinamične in uporabniško specifične izkušnje preverjanja pristnosti. Izbire, ki jih uporabniki naredijo tukaj, vplivajo na potek njihove poti preverjanja pristnosti in omogočajo prilagojene varnostne ukrepe.

The in oznake strukturirajo celoten postopek prijave ali vpisa. Vsak korak orkestracije lahko vsebuje predpogoje, ki se uporabljajo za vodenje toka na podlagi prejšnjega vnosa ali statusa uporabnika. Na primer, oceni, ali je bila določena trditev, kot je izbrana metoda MFA, nastavljena, in na podlagi te ocene lahko preskoči določene korake za racionalizacijo postopka. Ta zmožnost prilagajanja omogoča Azure AD B2C, da se prilagodi različnim uporabniškim scenarijem in nastavitvam, kar izboljša varnost in uporabniško izkušnjo.

Integracija večfaktorske avtentikacije v Azure AD B2C

Konfiguracija XML za pravilnike po meri

<ClaimType Id="extension_mfaByPhoneOrEmail">
    <DisplayName>Please select your preferred MFA method</DisplayName>
    <DataType>string</DataType>
    <UserInputType>RadioSingleSelect</UserInputType>
    <Restriction>
        <Enumeration Text="Phone" Value="phone" SelectByDefault="true" />
        <Enumeration Text="Email" Value="email" SelectByDefault="false" />
        <Enumeration Text="Authenticator App" Value="TOTP" SelectByDefault="false" />
    </Restriction>
</ClaimType>
<UserJourney Id="SignUpOrSignInMFAOption">
    <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
            <ClaimsProviderSelections>
                <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
            </ClaimsProviderSelections>
            <ClaimsExchanges>
                <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
            </ClaimsExchanges>
        </OrchestrationStep>
    </OrchestrationSteps>
</UserJourney>

Skript za vztrajno izbiro MFA

Konfiguracija pravilnika po meri v XML

<OrchestrationStep Order="5" Type="ClaimsExchange">
    <Preconditions>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>email</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>phone</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>TOTP</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
    </Preconditions>
</OrchestrationStep>

Napredne tehnike integracije za pravilnike po meri Azure AD B2C

Razumevanje globljih zapletenosti pravilnikov po meri Azure AD B2C zahteva raziskovanje, kako ti pravilniki vplivajo na zunanje sisteme in API-je. Politike po meri v Azure AD B2C ne obravnavajo samo avtentikacije uporabnikov, ampak jih je mogoče konfigurirati tudi za interakcijo z zunanjimi API-ji za izboljšane postopke preverjanja ali za pridobitev dodatnih uporabniških podatkov med potjo avtentikacije. Ta zmožnost omogoča organizacijam, da izvajajo zapletene varnostne zahteve in scenarije pogojnega dostopa, ki presegajo običajne nastavitve MFA.

Na primer, integracija preverjanja pristnosti na podlagi tveganja, kjer sistem oceni tveganje, povezano s poskusom prijave, na podlagi vedenja uporabnika in dodatnega konteksta, ki ga zagotovijo zunanje storitve za obveščanje o grožnjah. Ta napredna tehnika izkorišča za klicanje zunanjih API-jev in uporabo za določitev toka na podlagi odziva API-ja, dinamično izboljšanje varnosti glede na ocene v realnem času.

  1. Kakšen je namen v pravilnikih po meri Azure AD B2C?
  2. The definira podatkovne elemente, ki jih je mogoče zbirati, shranjevati in manipulirati med uporabniškimi interakcijami v platformi identitete.
  3. Kako lahko uveljavim MFA samo pod določenimi pogoji?
  4. Pogojno MFA je mogoče uveljaviti z uporabo oznake znotraj s, da preveri posebne pogoje, preden zahteva MFA.
  5. Ali lahko pravilniki po meri Azure AD B2C kličejo zunanje API-je?
  6. Da, lahko komunicirajo z zunanjimi API-ji z ​​uporabo ki omogoča pravilnikom pošiljanje in prejemanje informacij od storitev tretjih oseb.
  7. Kakšne so prednosti uporabe ste v Azure AD B2C?
  8. omogočajo definiranje poti po meri, ki jih lahko uporabniki uberejo skozi postopek preverjanja pristnosti, prilagojenih različnim uporabniškim primerom in pogojem.
  9. Kako odpravim napake v pravilniku po meri v Azure AD B2C?
  10. Odpravljanje napak je mogoče izvesti z nalaganjem pravilnikov v načinu »Razvoj«, kar omogoča podrobne dnevnike napak, ki pomagajo pri odkrivanju težav pri izvajanju pravilnika.

Implementacija Azure AD B2C z možnostmi preverjanja pristnosti po e-pošti, telefonu in TOTP ne zagotavlja le prilagodljivosti, ampak tudi povečuje varnost, saj uporabnikom omogoča izbiro želene metode. Pot skozi konfiguracijo teh možnosti razkriva moč pravilnikov po meri pri učinkovitem upravljanju zapletenih scenarijev preverjanja pristnosti. Izziv pri integraciji teh sistemov je v ohranjanju prijaznosti do uporabnika ob hkratnem zagotavljanju robustne varnosti, ki dokazuje sposobnost Azure AD B2C, da zadovolji različne potrebe na razširljiv način.