Oktatóanyag: Az Azure Active Directory B2C konfigurálása BlokSec használatával jelszó nélküli hitelesítéshez
Előkészületek
Az Azure Active Directory B2C két módszerrel definiálja az alkalmazásokkal való felhasználói interakciókat: előre meghatározott felhasználói folyamatokat vagy konfigurálható egyéni szabályzatokat.
Megjegyzés
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvekkel foglalkoznak. A legtöbb esetben a beépített felhasználói folyamatokat javasoljuk.
Lásd: Felhasználói folyamatok és egyéni szabályzatok áttekintése
Azure AD B2C és BlokSec
Megtudhatja, hogyan integrálhatja az Azure Active Directory B2C(Azure AD B2C) hitelesítést a BlokSec decentralizált identitás útválasztójával. A BlokSec megoldás leegyszerűsíti a felhasználói bejelentkezést jelszó nélküli hitelesítéssel és jogkivonat nélküli többtényezős hitelesítéssel. A megoldás megvédi az ügyfeleket az identitással kapcsolatos támadásoktól, például a jelszótöméssel, az adathalászattal és a közbeékeléssel kapcsolatos támadásoktól.
További információ: bloksec.com: BlokSec Technologies Inc.
Forgatókönyv leírása
A BlokSec-integráció a következő összetevőket tartalmazza:
- Azure AD B2C – engedélyezési kiszolgáló és identitásszolgáltató (IdP) B2C-alkalmazásokhoz
-
BlokSec decentralizált identitás útválasztója – Átjáró a BlokSec DIaaS-t alkalmazó szolgáltatásokhoz a hitelesítési és engedélyezési kérések felhasználói személyes identitásszolgáltatói (PIdP) alkalmazásokhoz való irányításához
- Ez egy OpenID Connect- (OIDC-) identitásszolgáltató a Azure AD B2C-ben
-
BlokSec SDK-alapú mobilalkalmazás – felhasználói PIdP a decentralizált hitelesítési forgatókönyvben.
- Ha nem a BlokSec SDK-t használja, látogasson el a Google Playre az ingyenes BlokSec yuID-hoz
Az alábbi architektúradiagram a BlokSec-megoldás implementációjában található regisztrációs és bejelentkezési folyamatot szemlélteti.
- A felhasználó bejelentkezik egy Azure AD B2C-alkalmazásba, és a rendszer továbbítja Azure AD B2C bejelentkezési és regisztrációs szabályzatnak
- Azure AD B2C átirányítja a felhasználót a BlokSec decentralizált identitás útválasztójára az OIDC engedélyezési kódfolyamat használatával.
- A BlokSec-útválasztó leküldéses értesítést küld a felhasználói mobilalkalmazásnak a hitelesítési és engedélyezési kérelem részleteivel.
- A felhasználó áttekinti a hitelesítési kihívást. A rendszer egy elfogadott felhasználótól biometriát kér, például ujjlenyomatot vagy arcvizsgálatot.
- A válasz digitálisan alá van írva a felhasználó egyedi digitális kulcsával. A hitelesítési válasz igazolja a birtoklást, a jelenlétet és a hozzájárulást. A válasz visszakerül az útválasztóra.
- Az útválasztó ellenőrzi a digitális aláírást a felhasználó nem módosítható egyedi nyilvános kulcsával, amely egy elosztott tranzakciónaplóban van tárolva. Az útválasztó a hitelesítési eredménnyel válaszol Azure AD B2C-nek.
- A felhasználó hozzáférést kapott vagy megtagadott.
BlokSec engedélyezése
- Lépjen a bloksec.com, és válassza a Bemutatóbérlő kérése lehetőséget.
- Az üzenetmezőben jelezze, hogy integrálni szeretne Azure AD B2C-vel.
- Töltse le és telepítse az ingyenes BlokSec yuID mobilalkalmazást.
- A bemutatóbérlő előkészítése után e-mail érkezik.
- A BlokSec-alkalmazással rendelkező mobileszközön kattintson a hivatkozásra a rendszergazdai fiók yuID-alkalmazással való regisztrálásához.
Előfeltételek
A kezdéshez a következők szükségesek:
- Azure-előfizetés
- Ha még nem rendelkezik ilyen fiókkal, szerezzen be egy Azfree-fiókot
- Azure-előfizetéshez társított Azure AD B2C-bérlő
- BlokSec-bemutató
- Webalkalmazás regisztrációja
Lásd még: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben
Alkalmazásregisztráció létrehozása a BlokSec-ben
A BlokSec fiókregisztrációs e-mail-címében keresse meg a BlokSec felügyeleti konzolra mutató hivatkozást.
- Jelentkezzen be a BlokSec felügyeleti konzolra.
- A fő irányítópulton válassza az Alkalmazás hozzáadása Egyéni > létrehozása lehetőséget.
- A Név mezőbe írja be Azure AD B2C-t vagy egy alkalmazásnevet.
- Az egyszeri bejelentkezés típusaként válassza az OIDC lehetőséget.
- Az Embléma URI-ja mezőbe írja be az embléma képére mutató hivatkozást.
-
Átirányítási URI-k esetén használja a következőt
https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
: . Például:https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp
. Egyéni tartomány esetén adja meg a következőthttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
: . - A Kijelentkezés utáni átirányítási URI-k mezőbe írja be a következőt
https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout
: . - Válassza ki a létrehozott Azure AD B2C-alkalmazást az alkalmazáskonfiguráció megnyitásához.
- Válassza az Alkalmazáskulcs létrehozása lehetőséget.
További információ: Kijelentkezés kérésének küldése.
Megjegyzés
Az identitásszolgáltató (IdP) Azure AD B2C-ben való konfigurálásához alkalmazásazonosítóra és alkalmazáskulcsra van szükség.
Új identitásszolgáltató hozzáadása Azure AD B2C-ben
Az alábbi utasításokhoz használja a Azure AD B2C-bérlőt tartalmazó könyvtárat.
- Jelentkezzen be a Azure Portal a Azure AD B2C-bérlő globális rendszergazdájaként.
- A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
- A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
- Válassza a Váltás lehetőséget.
- A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget.
- Keresse meg és válassza Azure AD B2C lehetőséget.
- Lépjen az Irányítópult>Azure Active Directory B2C-identitásszolgáltatókhoz>.
- Válassza az Új OpenID Connect-szolgáltató lehetőséget.
- Válassza a Hozzáadás lehetőséget.
Identitásszolgáltató konfigurálása
- Válassza az Identitásszolgáltató típusa > OpenID Connect lehetőséget
- A Név mezőbe írja be a BlokSec yuID Jelszó nélküli vagy más nevet.
- A Metaadatok URL-címe mezőbe írja be a következőt
https://api.bloksec.io/oidc/.well-known/openid-configuration
: . - A Client IDV esetében adja meg az alkalmazásazonosítót a BlokSec rendszergazdai felhasználói felületén.
- Az Ügyfélkód mezőbe írja be a Titkos alkalmazáskulcs kifejezést a BlokSec rendszergazdai felhasználói felületén.
- A Hatókör mezőben válassza az OpenID e-mail-profil lehetőséget.
- A Válasz típusa mezőben válassza a Kód lehetőséget.
- A Tartománymutató mezőben válassza a yuID lehetőséget.
- Válassza az OK lehetőséget.
- Válassza az Identitásszolgáltató jogcímeinek leképezése lehetőséget.
- A Felhasználói azonosító mezőben válassza az al lehetőséget.
- A Megjelenítendő név mezőben válassza a név lehetőséget.
- A Utónév mezőben használja a given_name.
- A Vezetéknév mezőnél használja a family_name.
- A Emaile-mailben.
- Kattintson a Mentés gombra.
Felhasználó regisztrációja
- Jelentkezzen be a BlokSec felügyeleti konzolra a megadott hitelesítő adatokkal.
- Lépjen a korábban létrehozott Azure AD B2C-alkalmazáshoz.
- A jobb felső sarokban válassza a fogaskerék ikont.
- Válassza a Fiók létrehozása lehetőséget.
- A Fiók létrehozása területen adja meg a felhasználói adatokat. Jegyezze fel a fiók nevét.
- Válassza a Küldés lehetőséget.
A felhasználó egy fiókregisztrációs e-mailt kap a megadott e-mail-címen. Utasítja a felhasználót, hogy válassza ki a regisztrációs hivatkozást a mobileszközön a BlokSec yuID alkalmazással.
Felhasználói folyamat szabályzatának létrehozása
Az alábbi utasításokat követve győződjön meg arról, hogy a BlokSec egy új OIDC identitásszolgáltató (IdP).
- A Azure AD B2C-bérlőben a Szabályzatok területen válassza a Felhasználói folyamatok lehetőséget.
- Válassza az Új felhasználói folyamat lehetőséget.
- Válassza a Regisztráció lehetőséget, és jelentkezzen be a>Verzió>létrehozása gombra.
- Adjon meg egy szabályzatnevet.
- Az identitásszolgáltatók szakaszban válassza ki a létrehozott BlokSec-identitásszolgáltatót.
- A Helyi fiók beállításnál válassza a Nincs lehetőséget. Ez a művelet letiltja az e-mail- és jelszóalapú hitelesítést.
- Válassza a Felhasználói folyamat futtatása lehetőséget
- Az űrlapon adja meg a Válasz URL-címét, például
https://jwt.ms
: . - A rendszer átirányítja a böngészőt a BlokSec bejelentkezési oldalára.
- Adja meg a fiók nevét a felhasználói regisztrációból.
- A felhasználó leküldéses értesítést kap a mobileszközön a BlokSec yuID alkalmazással.
- A felhasználó megnyitja az értesítést, és megjelenik a hitelesítési kihívás.
- Ha a rendszer elfogadja a hitelesítést, a böngésző átirányítja a felhasználót a válasz URL-címre.
Megjegyzés
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvekkel foglalkoznak. A legtöbb esetben a beépített felhasználói folyamatokat javasoljuk.
Lásd: Felhasználói folyamatok és egyéni szabályzatok áttekintése
Szabályzatkulcs létrehozása
Tárolja a Azure AD B2C-bérlőben feljegyzett titkos ügyfélkulcsot. Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.
- Jelentkezzen be az Azure Portalra.
- A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
- A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
- Válassza a Váltás lehetőséget.
- A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget
- Keresse meg és válassza Azure AD B2C lehetőséget.
- Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
- Válassza a Szabályzatkulcsok lehetőséget.
- Válassza a Hozzáadás lehetőséget.
- A Beállítások területen válassza a Manuális lehetőséget.
- Adja meg a szabályzatkulcs nevét . Például:
BlokSecAppSecret
. A rendszer hozzáadja az előtagotB2C_1A_
a kulcsnévhez. - A Titkos kód mezőbe írja be a feljegyzett titkos ügyfélkulcsot.
- A Kulcshasználat mezőben válassza az Aláírás lehetőséget.
- Válassza a Létrehozás lehetőséget.
BlokSec konfigurálása identitásszolgáltatóként
Ha engedélyezni szeretné, hogy a felhasználók a BlokSec decentralizált identitással jelentkezzenek be, a BlokSec-et jogcímszolgáltatóként kell definiálnia. Ez a művelet biztosítja, hogy Azure AD B2C kommunikáljon vele egy végponton keresztül. Azure AD B2C végponti jogcímekkel ellenőrzi, hogy a felhasználók biometriával, például ujjlenyomattal vagy arcvizsgálattal hitelesítik-e az identitást.
Ha a BlokSec-et jogcímszolgáltatóként szeretné definiálni, adja hozzá a szabályzatbővítményfájl ClaimsProvider eleméhez.
Nyissa meg a következőt:
TrustFrameworkExtensions.xml
.Keresse meg a ClaimsProviders elemet. Ha az elem nem jelenik meg, adja hozzá a gyökérelemhez.
Új ClaimsProvider hozzáadása:
<ClaimsProvider> <Domain>bloksec</Domain> <DisplayName>BlokSec</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="BlokSec-OpenIdConnect"> <DisplayName>BlokSec</DisplayName> <Description>Login with your BlokSec decentriled identity</Description> <Protocol Name="OpenIdConnect" /> <Metadata> <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item> <!-- Update the Client ID below to the BlokSec Application ID --> <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item> <Item Key="response_types">code</Item> <Item Key="scope">openid profile email</Item> <Item Key="response_mode">form_post</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="DiscoverMetadataByTokenIssuer">true</Item> <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Állítsa client_id az alkalmazásregisztráció alkalmazásazonosítójára.
Kattintson a Mentés gombra.
Felhasználói folyamat hozzáadása
Ha az identitásszolgáltató be van állítva, de egyik bejelentkezési oldalon sem, kövesse az alábbi utasításokat. Ha nem rendelkezik egyéni felhasználói folyamatokkal, másolja a sablonfelhasználói folyamatot.
- Nyissa meg a fájlt a
TrustFrameworkBase.xml
kezdőcsomagból. - Keresse meg és másolja ki az ID=
SignUpOrSignIn
-t tartalmazó UserJourneys elem tartalmát. - Nyissa meg a következőt:
TrustFrameworkExtensions.xml
. - Keresse meg a UserJourneys elemet. Ha az elem nem jelenik meg, adjon hozzá egyet.
- Illessze be a UserJourney elem gyermekelemeként kimásolt UserJourney elem tartalmát.
- Nevezze át a felhasználói útazonosítót. Például: ID=
CustomSignUpSignIn
.
Identitásszolgáltató hozzáadása egy felhasználói folyamathoz
Ha rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót. Először adjon hozzá egy bejelentkezési gombot, majd csatolja egy művelethez, amely a létrehozott technikai profil.
- A felhasználói folyamat során keresse meg a Type=vagy Type=
CombinedSignInAndSignUp
ClaimsProviderSelection
értéket tartalmazó vezénylési lépés elemet. Ez általában az első vezénylési lépés. A ClaimsProviderSelections elem tartalmazza a felhasználói bejelentkezés identitásszolgáltatóinak listáját. Az elemek sorrendje határozza meg a felhasználó által látott bejelentkezési gombok sorrendjét. - Adjon hozzá egy ClaimsProviderSelection XML-elemet.
- Állítsa a TargetClaimsExchangeId értékét egy rövid névre.
- A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet.
- Állítsa az azonosítót a céljogcímek exchange-azonosítójának értékére.
- Frissítse a TechnicalProfileReferenceId értékét a létrehozott műszaki profil azonosítójára.
A következő XML az identitásszolgáltatóval való első két felhasználói folyamat vezénylési lépéseit mutatja be:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
</ClaimsExchanges>
</OrchestrationStep>
A függő entitás házirendjének konfigurálása
A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza a felhasználói folyamatot, Azure AD B2C végre lesz hajtva.
- Keresse meg a DefaultUserJourney elemet a függő entitásban.
- Frissítse a ReferenceId azonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.
Az alábbi példában a CustomSignUpOrSignIn
felhasználói folyamat esetében a ReferenceId értékre van állítva CustomSignUpOrSignIn
.
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Az egyéni szabályzat feltöltése
Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.
- Jelentkezzen be az Azure Portalra.
- A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
- A Portálbeállítások, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat
- Válassza a Váltás lehetőséget.
- A Azure Portal keresse meg és válassza Azure AD B2C elemet.
- A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
- Válassza az Egyéni szabályzat feltöltése lehetőséget.
- Töltse fel a két módosított szabályzatfájlt a következő sorrendben:
- Bővítményházirend, például
TrustFrameworkExtensions.xml
- Függő entitásokra vonatkozó szabályzat, például
SignUpSignIn.xml
Az egyéni szabályzat tesztelése
- Válassza ki a függő entitás szabályzatát, például
B2C_1A_signup_signin
: . - Az Application (Alkalmazás) beállításnál válassza ki a regisztrált webalkalmazást.
- A Válasz URL-cím a következőként jelenik meg:
https://jwt.ms
. - Válassza a Futtatás most lehetőséget.
- A regisztrációs vagy bejelentkezési oldalon válassza a Google lehetőséget a Google-fiókkal való bejelentkezéshez.
- A böngésző a következőre
https://jwt.ms
lesz átirányítva: . Tekintse meg a B2C Azure AD által visszaadott tokentartalmat.
További információ: Oktatóanyag: Webalkalmazás regisztrálása az Azure Active Directory B2C-ben