Впровадження Azure AD B2C із багатофакторними параметрами

Впровадження Azure AD B2C із багатофакторними параметрами
Впровадження Azure AD B2C із багатофакторними параметрами
Lina Fontaine
вівторок, 14 травня 2024 р. о 12:02:23

Вивчення впровадження спеціальної політики Azure AD B2C

Інтеграція кількох методів автентифікації в Azure AD B2C підвищує безпеку та гнучкість користувачів. У сценаріях, коли користувачам потрібно вибрати між електронною поштою, телефоном або програмою автентифікації для багатофакторної автентифікації (MFA), спеціальні політики стають вирішальними. Ці політики дозволяють адаптувати шляхи користувача, які враховують різні параметри автентифікації, забезпечуючи безперебійну та безпечну роботу користувача.

Проблема часто полягає в технічному виконанні в рамках Azure, зокрема під час інтеграції тимчасових одноразових паролів (TOTP) поряд з іншими методами. Успішне об’єднання цих параметрів у потік користувача вимагає точної конфігурації та керування процесами користувача, що часто може призвести до таких проблем, як постійні підказки щодо вибору MFA після налаштування.

Команда опис
<ClaimType> Визначає тип претензії в політиці, вказуючи тип даних, властивості відображення та обмеження.
<UserJourney> Описує послідовність кроків, які виконує користувач у спеціальній політиці.
<OrchestrationStep> Визначає окремий крок на шляху користувача, включаючи його тип і порядок.
<Precondition> Визначає умову, яка має бути виконана для виконання кроку оркестровки, яка використовується для керування потоком на основі даних користувача або попередніх введених даних.
<ClaimsProviderSelections> Визначає постачальників претензій, доступних для вибору на етапі шляху користувача.
<ClaimsExchange> Визначає обмін претензіями з постачальником претензій, вказуючи, які претензії потрібні від якого постачальника.

Пояснення інтеграції спеціальних політик Azure AD B2C

Наведені вище сценарії є важливими для реалізації настроюваних параметрів багатофакторної автентифікації (MFA) у Azure AD B2C. Використання <ClaimType> тег є ключовим, оскільки він визначає типи претензій, які користувачі можуть вибрати, наприклад телефон, електронна пошта або TOTP (часовий одноразовий пароль). Цей тип претензії також визначає параметри введення, доступні користувачеві, що робить його наріжним каменем для створення динамічної та індивідуальної автентифікації. Вибір, який користувачі роблять тут, впливає на хід їхнього шляху автентифікації, забезпечуючи персоналізовані заходи безпеки.

The <UserJourney> і <OrchestrationStep> теги структурують весь процес входу або реєстрації. Кожен крок узгодження може містити попередні умови, які використовуються для керування потоком на основі попереднього введення або статусу користувача. Наприклад, <Precondition> тег оцінює, чи було встановлено певну претензію, як-от вибраний метод MFA, і на основі цієї оцінки він може пропустити певні кроки, щоб спростити процес. Ця можливість налаштування дозволяє Azure AD B2C адаптуватися до різних сценаріїв і вподобань користувачів, підвищуючи безпеку та взаємодію з користувачем.

Інтеграція багатофакторної автентифікації в Azure AD B2C

Конфігурація XML для спеціальних політик

<ClaimType Id="extension_mfaByPhoneOrEmail">
    <DisplayName>Please select your preferred MFA method</DisplayName>
    <DataType>string</DataType>
    <UserInputType>RadioSingleSelect</UserInputType>
    <Restriction>
        <Enumeration Text="Phone" Value="phone" SelectByDefault="true" />
        <Enumeration Text="Email" Value="email" SelectByDefault="false" />
        <Enumeration Text="Authenticator App" Value="TOTP" SelectByDefault="false" />
    </Restriction>
</ClaimType>
<UserJourney Id="SignUpOrSignInMFAOption">
    <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
            <ClaimsProviderSelections>
                <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
            </ClaimsProviderSelections>
            <ClaimsExchanges>
                <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
            </ClaimsExchanges>
        </OrchestrationStep>
    </OrchestrationSteps>
</UserJourney>

Сценарій для постійного вибору MFA

Конфігурація спеціальної політики в XML

<OrchestrationStep Order="5" Type="ClaimsExchange">
    <Preconditions>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>email</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>phone</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
            <Value>extension_mfaByPhoneOrEmail</Value>
            <Value>TOTP</Value>
            <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
    </Preconditions>
</OrchestrationStep>

Розширені методи інтеграції для спеціальних політик Azure AD B2C

Розуміння глибших тонкощів спеціальних політик Azure AD B2C вимагає вивчення того, як ці політики взаємодіють із зовнішніми системами та API. Спеціальні політики в Azure AD B2C не лише обробляють автентифікацію користувачів, але також можуть бути налаштовані для взаємодії із зовнішніми API для розширених процесів перевірки або для отримання додаткових даних користувача під час шляху автентифікації. Ця можливість дозволяє організаціям запроваджувати складні вимоги безпеки та сценарії умовного доступу, які виходять за рамки типових налаштувань MFA.

Наприклад, інтеграція автентифікації на основі ризиків, коли система оцінює ризик, пов’язаний зі спробою входу, на основі поведінки користувача та додаткового контексту, наданого зовнішніми службами аналізу загроз. Ця передова техніка використовує ClaimsExchange для виклику зовнішніх API і використання Preconditions визначати потік на основі відповіді API, динамічно підвищуючи безпеку відповідно до оцінок у реальному часі.

Поширені запити щодо спеціальних політик Azure AD B2C

  1. Яка мета <ClaimType> у спеціальних політиках Azure AD B2C?
  2. The <ClaimType> визначає елементи даних, які можна збирати, зберігати та маніпулювати під час взаємодії користувача на платформі ідентифікації.
  3. Як я можу застосувати MFA лише за певних умов?
  4. Умовний MFA можна застосувати за допомогою <Precondition> теги всередині <OrchestrationStep>s для перевірки певних умов перед запитом MFA.
  5. Чи можуть спеціальні політики Azure AD B2C викликати зовнішні API?
  6. Так, вони можуть взаємодіяти із зовнішніми API за допомогою <ClaimsExchange> що дозволяє політикам надсилати та отримувати інформацію від сторонніх служб.
  7. Які переваги використання <UserJourney>в Azure AD B2C?
  8. <UserJourney>дозволяють визначати користувацькі шляхи, якими користувачі можуть пройти через процес автентифікації, пристосовані до різних випадків і умов користувача.
  9. Як налагодити спеціальну політику в Azure AD B2C?
  10. Налагодження можна виконати, завантаживши політики в режимі «Розробка», увімкнувши докладні журнали помилок, які допомагають виявити проблеми під час виконання політики.

Останні думки щодо налаштувань Azure AD B2C

Впровадження Azure AD B2C із параметрами автентифікації електронною поштою, телефоном і TOTP не лише забезпечує гнучкість, але й покращує безпеку, дозволяючи користувачам вибирати бажаний метод. Подорож через налаштування цих параметрів розкриває силу спеціальних політик для ефективного керування складними сценаріями автентифікації. Завдання інтеграції цих систем полягає в тому, щоб зберегти зручність для користувача, забезпечуючи при цьому надійну безпеку, демонструючи здатність Azure AD B2C задовольняти різноманітні потреби масштабованим способом.