Oktatóanyag: Az Azure Active Directory B2C konfigurálása BlokSec használatával jelszó nélküli hitelesítéshez

Előkészületek

Az Azure Active Directory B2C két módszerrel definiálja az alkalmazásokkal való felhasználói interakciókat: előre meghatározott felhasználói folyamatokat vagy konfigurálható egyéni szabályzatokat.

Azure AD B2C és BlokSec

Megtudhatja, hogyan integrálhatja az Azure Active Directory B2C(Azure AD B2C) hitelesítést a BlokSec decentralizált identitás útválasztójával. A BlokSec megoldás leegyszerűsíti a felhasználói bejelentkezést jelszó nélküli hitelesítéssel és jogkivonat nélküli többtényezős hitelesítéssel. A megoldás megvédi az ügyfeleket az identitással kapcsolatos támadásoktól, például a jelszótöméssel, az adathalászattal és a közbeékeléssel kapcsolatos támadásoktól.

További információ: bloksec.com: BlokSec Technologies Inc.

Forgatókönyv leírása

A BlokSec-integráció a következő összetevőket tartalmazza:

• Azure AD B2C – engedélyezési kiszolgáló és identitásszolgáltató (IdP) B2C-alkalmazásokhoz
• BlokSec decentralizált identitás útválasztója – Átjáró a BlokSec DIaaS-t alkalmazó szolgáltatásokhoz a hitelesítési és engedélyezési kérések felhasználói személyes identitásszolgáltatói (PIdP) alkalmazásokhoz való irányításához
  • Ez egy OpenID Connect- (OIDC-) identitásszolgáltató a Azure AD B2C-ben
• BlokSec SDK-alapú mobilalkalmazás – felhasználói PIdP a decentralizált hitelesítési forgatókönyvben.
  • Ha nem a BlokSec SDK-t használja, látogasson el a Google Playre az ingyenes BlokSec yuID-hoz

Az alábbi architektúradiagram a BlokSec-megoldás implementációjában található regisztrációs és bejelentkezési folyamatot szemlélteti.

1. A felhasználó bejelentkezik egy Azure AD B2C-alkalmazásba, és a rendszer továbbítja Azure AD B2C bejelentkezési és regisztrációs szabályzatnak
2. Azure AD B2C átirányítja a felhasználót a BlokSec decentralizált identitás útválasztójára az OIDC engedélyezési kódfolyamat használatával.
3. A BlokSec-útválasztó leküldéses értesítést küld a felhasználói mobilalkalmazásnak a hitelesítési és engedélyezési kérelem részleteivel.
4. A felhasználó áttekinti a hitelesítési kihívást. A rendszer egy elfogadott felhasználótól biometriát kér, például ujjlenyomatot vagy arcvizsgálatot.
5. A válasz digitálisan alá van írva a felhasználó egyedi digitális kulcsával. A hitelesítési válasz igazolja a birtoklást, a jelenlétet és a hozzájárulást. A válasz visszakerül az útválasztóra.
6. Az útválasztó ellenőrzi a digitális aláírást a felhasználó nem módosítható egyedi nyilvános kulcsával, amely egy elosztott tranzakciónaplóban van tárolva. Az útválasztó a hitelesítési eredménnyel válaszol Azure AD B2C-nek.
7. A felhasználó hozzáférést kapott vagy megtagadott.

BlokSec engedélyezése

1. Lépjen a bloksec.com, és válassza a Bemutatóbérlő kérése lehetőséget.
2. Az üzenetmezőben jelezze, hogy integrálni szeretne Azure AD B2C-vel.
3. Töltse le és telepítse az ingyenes BlokSec yuID mobilalkalmazást.
4. A bemutatóbérlő előkészítése után e-mail érkezik.
5. A BlokSec-alkalmazással rendelkező mobileszközön kattintson a hivatkozásra a rendszergazdai fiók yuID-alkalmazással való regisztrálásához.

Előfeltételek

A kezdéshez a következők szükségesek:

• Azure-előfizetés
  • Ha még nem rendelkezik ilyen fiókkal, szerezzen be egy Azfree-fiókot
• Azure-előfizetéshez társított Azure AD B2C-bérlő
• BlokSec-bemutató
• Webalkalmazás regisztrációja
  • Oktatóanyag: Webalkalmazás regisztrálása a Azure AD B2C-ben

Lásd még: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben

Alkalmazásregisztráció létrehozása a BlokSec-ben

A BlokSec fiókregisztrációs e-mail-címében keresse meg a BlokSec felügyeleti konzolra mutató hivatkozást.

1. Jelentkezzen be a BlokSec felügyeleti konzolra.
2. A fő irányítópulton válassza az Alkalmazás hozzáadása Egyéni > létrehozása lehetőséget.
3. A Név mezőbe írja be Azure AD B2C-t vagy egy alkalmazásnevet.
4. Az egyszeri bejelentkezés típusaként válassza az OIDC lehetőséget.
5. Az Embléma URI-ja mezőbe írja be az embléma képére mutató hivatkozást.
6. Átirányítási URI-k esetén használja a következőthttps://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp: . Például: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Egyéni tartomány esetén adja meg a következőt https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp: .
7. A Kijelentkezés utáni átirányítási URI-k mezőbe írja be a következőt https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout: .
8. Válassza ki a létrehozott Azure AD B2C-alkalmazást az alkalmazáskonfiguráció megnyitásához.
9. Válassza az Alkalmazáskulcs létrehozása lehetőséget.

További információ: Kijelentkezés kérésének küldése.

Új identitásszolgáltató hozzáadása Azure AD B2C-ben

Az alábbi utasításokhoz használja a Azure AD B2C-bérlőt tartalmazó könyvtárat.

1. Jelentkezzen be a Azure Portal a Azure AD B2C-bérlő globális rendszergazdájaként.
2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
3. A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
4. Válassza a Váltás lehetőséget.
5. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget.
6. Keresse meg és válassza Azure AD B2C lehetőséget.
7. Lépjen az Irányítópult>Azure Active Directory B2C-identitásszolgáltatókhoz>.
8. Válassza az Új OpenID Connect-szolgáltató lehetőséget.
9. Válassza a Hozzáadás lehetőséget.

Identitásszolgáltató konfigurálása

1. Válassza az Identitásszolgáltató típusa > OpenID Connect lehetőséget
2. A Név mezőbe írja be a BlokSec yuID Jelszó nélküli vagy más nevet.
3. A Metaadatok URL-címe mezőbe írja be a következőt https://api.bloksec.io/oidc/.well-known/openid-configuration: .
4. A Client IDV esetében adja meg az alkalmazásazonosítót a BlokSec rendszergazdai felhasználói felületén.
5. Az Ügyfélkód mezőbe írja be a Titkos alkalmazáskulcs kifejezést a BlokSec rendszergazdai felhasználói felületén.
6. A Hatókör mezőben válassza az OpenID e-mail-profil lehetőséget.
7. A Válasz típusa mezőben válassza a Kód lehetőséget.
8. A Tartománymutató mezőben válassza a yuID lehetőséget.
9. Válassza az OK lehetőséget.
10. Válassza az Identitásszolgáltató jogcímeinek leképezése lehetőséget.
11. A Felhasználói azonosító mezőben válassza az al lehetőséget.
12. A Megjelenítendő név mezőben válassza a név lehetőséget.
13. A Utónév mezőben használja a given_name.
14. A Vezetéknév mezőnél használja a family_name.
15. A Emaile-mailben.
16. Kattintson a Mentés gombra.

Felhasználó regisztrációja

1. Jelentkezzen be a BlokSec felügyeleti konzolra a megadott hitelesítő adatokkal.
2. Lépjen a korábban létrehozott Azure AD B2C-alkalmazáshoz.
3. A jobb felső sarokban válassza a fogaskerék ikont.
4. Válassza a Fiók létrehozása lehetőséget.
5. A Fiók létrehozása területen adja meg a felhasználói adatokat. Jegyezze fel a fiók nevét.
6. Válassza a Küldés lehetőséget.

A felhasználó egy fiókregisztrációs e-mailt kap a megadott e-mail-címen. Utasítja a felhasználót, hogy válassza ki a regisztrációs hivatkozást a mobileszközön a BlokSec yuID alkalmazással.

Felhasználói folyamat szabályzatának létrehozása

Az alábbi utasításokat követve győződjön meg arról, hogy a BlokSec egy új OIDC identitásszolgáltató (IdP).

1. A Azure AD B2C-bérlőben a Szabályzatok területen válassza a Felhasználói folyamatok lehetőséget.
2. Válassza az Új felhasználói folyamat lehetőséget.
3. Válassza a Regisztráció lehetőséget, és jelentkezzen be a>Verzió>létrehozása gombra.
4. Adjon meg egy szabályzatnevet.
5. Az identitásszolgáltatók szakaszban válassza ki a létrehozott BlokSec-identitásszolgáltatót.
6. A Helyi fiók beállításnál válassza a Nincs lehetőséget. Ez a művelet letiltja az e-mail- és jelszóalapú hitelesítést.
7. Válassza a Felhasználói folyamat futtatása lehetőséget
8. Az űrlapon adja meg a Válasz URL-címét, például https://jwt.ms: .
9. A rendszer átirányítja a böngészőt a BlokSec bejelentkezési oldalára.
10. Adja meg a fiók nevét a felhasználói regisztrációból.
11. A felhasználó leküldéses értesítést kap a mobileszközön a BlokSec yuID alkalmazással.
12. A felhasználó megnyitja az értesítést, és megjelenik a hitelesítési kihívás.
13. Ha a rendszer elfogadja a hitelesítést, a böngésző átirányítja a felhasználót a válasz URL-címre.

Szabályzatkulcs létrehozása

Tárolja a Azure AD B2C-bérlőben feljegyzett titkos ügyfélkulcsot. Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.

1. Jelentkezzen be az Azure Portalra.
2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
3. A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
4. Válassza a Váltás lehetőséget.
5. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget
6. Keresse meg és válassza Azure AD B2C lehetőséget.
7. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
8. Válassza a Szabályzatkulcsok lehetőséget.
9. Válassza a Hozzáadás lehetőséget.
10. A Beállítások területen válassza a Manuális lehetőséget.
11. Adja meg a szabályzatkulcs nevét . Például: BlokSecAppSecret. A rendszer hozzáadja az előtagot B2C_1A_ a kulcsnévhez.
12. A Titkos kód mezőbe írja be a feljegyzett titkos ügyfélkulcsot.
13. A Kulcshasználat mezőben válassza az Aláírás lehetőséget.
14. Válassza a Létrehozás lehetőséget.

BlokSec konfigurálása identitásszolgáltatóként

Ha engedélyezni szeretné, hogy a felhasználók a BlokSec decentralizált identitással jelentkezzenek be, a BlokSec-et jogcímszolgáltatóként kell definiálnia. Ez a művelet biztosítja, hogy Azure AD B2C kommunikáljon vele egy végponton keresztül. Azure AD B2C végponti jogcímekkel ellenőrzi, hogy a felhasználók biometriával, például ujjlenyomattal vagy arcvizsgálattal hitelesítik-e az identitást.

Ha a BlokSec-et jogcímszolgáltatóként szeretné definiálni, adja hozzá a szabályzatbővítményfájl ClaimsProvider eleméhez.

1. Nyissa meg a következőt: TrustFrameworkExtensions.xml.

2. Keresse meg a ClaimsProviders elemet. Ha az elem nem jelenik meg, adja hozzá a gyökérelemhez.

3. Új ClaimsProvider hozzáadása:

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Állítsa client_id az alkalmazásregisztráció alkalmazásazonosítójára.

5. Kattintson a Mentés gombra.

Felhasználói folyamat hozzáadása

Ha az identitásszolgáltató be van állítva, de egyik bejelentkezési oldalon sem, kövesse az alábbi utasításokat. Ha nem rendelkezik egyéni felhasználói folyamatokkal, másolja a sablonfelhasználói folyamatot.

1. Nyissa meg a fájlt a TrustFrameworkBase.xml kezdőcsomagból.
2. Keresse meg és másolja ki az ID=SignUpOrSignIn-t tartalmazó UserJourneys elem tartalmát.
3. Nyissa meg a következőt: TrustFrameworkExtensions.xml.
4. Keresse meg a UserJourneys elemet. Ha az elem nem jelenik meg, adjon hozzá egyet.
5. Illessze be a UserJourney elem gyermekelemeként kimásolt UserJourney elem tartalmát.
6. Nevezze át a felhasználói útazonosítót. Például: ID=CustomSignUpSignIn.

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ha rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót. Először adjon hozzá egy bejelentkezési gombot, majd csatolja egy művelethez, amely a létrehozott technikai profil.

1. A felhasználói folyamat során keresse meg a Type=vagy Type=CombinedSignInAndSignUpClaimsProviderSelectionértéket tartalmazó vezénylési lépés elemet. Ez általában az első vezénylési lépés. A ClaimsProviderSelections elem tartalmazza a felhasználói bejelentkezés identitásszolgáltatóinak listáját. Az elemek sorrendje határozza meg a felhasználó által látott bejelentkezési gombok sorrendjét.
2. Adjon hozzá egy ClaimsProviderSelection XML-elemet.
3. Állítsa a TargetClaimsExchangeId értékét egy rövid névre.
4. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet.
5. Állítsa az azonosítót a céljogcímek exchange-azonosítójának értékére.
6. Frissítse a TechnicalProfileReferenceId értékét a létrehozott műszaki profil azonosítójára.

A következő XML az identitásszolgáltatóval való első két felhasználói folyamat vezénylési lépéseit mutatja be:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza a felhasználói folyamatot, Azure AD B2C végre lesz hajtva.

1. Keresse meg a DefaultUserJourney elemet a függő entitásban.
2. Frissítse a ReferenceId azonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

Az alábbi példában a CustomSignUpOrSignIn felhasználói folyamat esetében a ReferenceId értékre van állítva CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.

1. Jelentkezzen be az Azure Portalra.
2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
3. A Portálbeállítások, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat
4. Válassza a Váltás lehetőséget.
5. A Azure Portal keresse meg és válassza Azure AD B2C elemet.
6. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
7. Válassza az Egyéni szabályzat feltöltése lehetőséget.
8. Töltse fel a két módosított szabályzatfájlt a következő sorrendben:

• Bővítményházirend, például TrustFrameworkExtensions.xml
• Függő entitásokra vonatkozó szabályzat, például SignUpSignIn.xml

Az egyéni szabályzat tesztelése

1. Válassza ki a függő entitás szabályzatát, például B2C_1A_signup_signin: .
2. Az Application (Alkalmazás) beállításnál válassza ki a regisztrált webalkalmazást.
3. A Válasz URL-cím a következőként jelenik meg: https://jwt.ms.
4. Válassza a Futtatás most lehetőséget.
5. A regisztrációs vagy bejelentkezési oldalon válassza a Google lehetőséget a Google-fiókkal való bejelentkezéshez.
6. A böngésző a következőre https://jwt.mslesz átirányítva: . Tekintse meg a B2C Azure AD által visszaadott tokentartalmat.

További információ: Oktatóanyag: Webalkalmazás regisztrálása az Azure Active Directory B2C-ben

Következő lépések

• Azure AD B2C egyéni szabályzatok áttekintése
• Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben