Megosztás a következőn keresztül:


Oktatóanyag: Az Azure Active Directory B2C konfigurálása BlokSec használatával jelszó nélküli hitelesítéshez

Előkészületek

Az Azure Active Directory B2C két módszerrel definiálja az alkalmazásokkal való felhasználói interakciókat: előre meghatározott felhasználói folyamatokat vagy konfigurálható egyéni szabályzatokat.

Megjegyzés

Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvekkel foglalkoznak. A legtöbb esetben a beépített felhasználói folyamatokat javasoljuk.
Lásd: Felhasználói folyamatok és egyéni szabályzatok áttekintése

Azure AD B2C és BlokSec

Megtudhatja, hogyan integrálhatja az Azure Active Directory B2C(Azure AD B2C) hitelesítést a BlokSec decentralizált identitás útválasztójával. A BlokSec megoldás leegyszerűsíti a felhasználói bejelentkezést jelszó nélküli hitelesítéssel és jogkivonat nélküli többtényezős hitelesítéssel. A megoldás megvédi az ügyfeleket az identitással kapcsolatos támadásoktól, például a jelszótöméssel, az adathalászattal és a közbeékeléssel kapcsolatos támadásoktól.

További információ: bloksec.com: BlokSec Technologies Inc.

Forgatókönyv leírása

A BlokSec-integráció a következő összetevőket tartalmazza:

  • Azure AD B2C – engedélyezési kiszolgáló és identitásszolgáltató (IdP) B2C-alkalmazásokhoz
  • BlokSec decentralizált identitás útválasztója – Átjáró a BlokSec DIaaS-t alkalmazó szolgáltatásokhoz a hitelesítési és engedélyezési kérések felhasználói személyes identitásszolgáltatói (PIdP) alkalmazásokhoz való irányításához
    • Ez egy OpenID Connect- (OIDC-) identitásszolgáltató a Azure AD B2C-ben
  • BlokSec SDK-alapú mobilalkalmazás – felhasználói PIdP a decentralizált hitelesítési forgatókönyvben.
    • Ha nem a BlokSec SDK-t használja, látogasson el a Google Playre az ingyenes BlokSec yuID-hoz

Az alábbi architektúradiagram a BlokSec-megoldás implementációjában található regisztrációs és bejelentkezési folyamatot szemlélteti.

A BlokSec-megoldás implementációjában található regisztrációs és bejelentkezési folyamat ábrája.

  1. A felhasználó bejelentkezik egy Azure AD B2C-alkalmazásba, és a rendszer továbbítja Azure AD B2C bejelentkezési és regisztrációs szabályzatnak
  2. Azure AD B2C átirányítja a felhasználót a BlokSec decentralizált identitás útválasztójára az OIDC engedélyezési kódfolyamat használatával.
  3. A BlokSec-útválasztó leküldéses értesítést küld a felhasználói mobilalkalmazásnak a hitelesítési és engedélyezési kérelem részleteivel.
  4. A felhasználó áttekinti a hitelesítési kihívást. A rendszer egy elfogadott felhasználótól biometriát kér, például ujjlenyomatot vagy arcvizsgálatot.
  5. A válasz digitálisan alá van írva a felhasználó egyedi digitális kulcsával. A hitelesítési válasz igazolja a birtoklást, a jelenlétet és a hozzájárulást. A válasz visszakerül az útválasztóra.
  6. Az útválasztó ellenőrzi a digitális aláírást a felhasználó nem módosítható egyedi nyilvános kulcsával, amely egy elosztott tranzakciónaplóban van tárolva. Az útválasztó a hitelesítési eredménnyel válaszol Azure AD B2C-nek.
  7. A felhasználó hozzáférést kapott vagy megtagadott.

BlokSec engedélyezése

  1. Lépjen a bloksec.com, és válassza a Bemutatóbérlő kérése lehetőséget.
  2. Az üzenetmezőben jelezze, hogy integrálni szeretne Azure AD B2C-vel.
  3. Töltse le és telepítse az ingyenes BlokSec yuID mobilalkalmazást.
  4. A bemutatóbérlő előkészítése után e-mail érkezik.
  5. A BlokSec-alkalmazással rendelkező mobileszközön kattintson a hivatkozásra a rendszergazdai fiók yuID-alkalmazással való regisztrálásához.

Előfeltételek

A kezdéshez a következők szükségesek:

Lásd még: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben

Alkalmazásregisztráció létrehozása a BlokSec-ben

A BlokSec fiókregisztrációs e-mail-címében keresse meg a BlokSec felügyeleti konzolra mutató hivatkozást.

  1. Jelentkezzen be a BlokSec felügyeleti konzolra.
  2. A fő irányítópulton válassza az Alkalmazás hozzáadása Egyéni > létrehozása lehetőséget.
  3. A Név mezőbe írja be Azure AD B2C-t vagy egy alkalmazásnevet.
  4. Az egyszeri bejelentkezés típusaként válassza az OIDC lehetőséget.
  5. Az Embléma URI-ja mezőbe írja be az embléma képére mutató hivatkozást.
  6. Átirányítási URI-k esetén használja a következőthttps://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp: . Például: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Egyéni tartomány esetén adja meg a következőt https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp: .
  7. A Kijelentkezés utáni átirányítási URI-k mezőbe írja be a következőt https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout: .
  8. Válassza ki a létrehozott Azure AD B2C-alkalmazást az alkalmazáskonfiguráció megnyitásához.
  9. Válassza az Alkalmazáskulcs létrehozása lehetőséget.

További információ: Kijelentkezés kérésének küldése.

Megjegyzés

Az identitásszolgáltató (IdP) Azure AD B2C-ben való konfigurálásához alkalmazásazonosítóra és alkalmazáskulcsra van szükség.

Új identitásszolgáltató hozzáadása Azure AD B2C-ben

Az alábbi utasításokhoz használja a Azure AD B2C-bérlőt tartalmazó könyvtárat.

  1. Jelentkezzen be a Azure Portal a Azure AD B2C-bérlő globális rendszergazdájaként.
  2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
  3. A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
  4. Válassza a Váltás lehetőséget.
  5. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget.
  6. Keresse meg és válassza Azure AD B2C lehetőséget.
  7. Lépjen az Irányítópult>Azure Active Directory B2C-identitásszolgáltatókhoz>.
  8. Válassza az Új OpenID Connect-szolgáltató lehetőséget.
  9. Válassza a Hozzáadás lehetőséget.

Identitásszolgáltató konfigurálása

  1. Válassza az Identitásszolgáltató típusa > OpenID Connect lehetőséget
  2. A Név mezőbe írja be a BlokSec yuID Jelszó nélküli vagy más nevet.
  3. A Metaadatok URL-címe mezőbe írja be a következőt https://api.bloksec.io/oidc/.well-known/openid-configuration: .
  4. A Client IDV esetében adja meg az alkalmazásazonosítót a BlokSec rendszergazdai felhasználói felületén.
  5. Az Ügyfélkód mezőbe írja be a Titkos alkalmazáskulcs kifejezést a BlokSec rendszergazdai felhasználói felületén.
  6. A Hatókör mezőben válassza az OpenID e-mail-profil lehetőséget.
  7. A Válasz típusa mezőben válassza a Kód lehetőséget.
  8. A Tartománymutató mezőben válassza a yuID lehetőséget.
  9. Válassza az OK lehetőséget.
  10. Válassza az Identitásszolgáltató jogcímeinek leképezése lehetőséget.
  11. A Felhasználói azonosító mezőben válassza az al lehetőséget.
  12. A Megjelenítendő név mezőben válassza a név lehetőséget.
  13. A Utónév mezőben használja a given_name.
  14. A Vezetéknév mezőnél használja a family_name.
  15. A Emaile-mailben.
  16. Kattintson a Mentés gombra.

Felhasználó regisztrációja

  1. Jelentkezzen be a BlokSec felügyeleti konzolra a megadott hitelesítő adatokkal.
  2. Lépjen a korábban létrehozott Azure AD B2C-alkalmazáshoz.
  3. A jobb felső sarokban válassza a fogaskerék ikont.
  4. Válassza a Fiók létrehozása lehetőséget.
  5. A Fiók létrehozása területen adja meg a felhasználói adatokat. Jegyezze fel a fiók nevét.
  6. Válassza a Küldés lehetőséget.

A felhasználó egy fiókregisztrációs e-mailt kap a megadott e-mail-címen. Utasítja a felhasználót, hogy válassza ki a regisztrációs hivatkozást a mobileszközön a BlokSec yuID alkalmazással.

Felhasználói folyamat szabályzatának létrehozása

Az alábbi utasításokat követve győződjön meg arról, hogy a BlokSec egy új OIDC identitásszolgáltató (IdP).

  1. A Azure AD B2C-bérlőben a Szabályzatok területen válassza a Felhasználói folyamatok lehetőséget.
  2. Válassza az Új felhasználói folyamat lehetőséget.
  3. Válassza a Regisztráció lehetőséget, és jelentkezzen be a>Verzió>létrehozása gombra.
  4. Adjon meg egy szabályzatnevet.
  5. Az identitásszolgáltatók szakaszban válassza ki a létrehozott BlokSec-identitásszolgáltatót.
  6. A Helyi fiók beállításnál válassza a Nincs lehetőséget. Ez a művelet letiltja az e-mail- és jelszóalapú hitelesítést.
  7. Válassza a Felhasználói folyamat futtatása lehetőséget
  8. Az űrlapon adja meg a Válasz URL-címét, például https://jwt.ms: .
  9. A rendszer átirányítja a böngészőt a BlokSec bejelentkezési oldalára.
  10. Adja meg a fiók nevét a felhasználói regisztrációból.
  11. A felhasználó leküldéses értesítést kap a mobileszközön a BlokSec yuID alkalmazással.
  12. A felhasználó megnyitja az értesítést, és megjelenik a hitelesítési kihívás.
  13. Ha a rendszer elfogadja a hitelesítést, a böngésző átirányítja a felhasználót a válasz URL-címre.

Megjegyzés

Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvekkel foglalkoznak. A legtöbb esetben a beépített felhasználói folyamatokat javasoljuk.
Lásd: Felhasználói folyamatok és egyéni szabályzatok áttekintése

Szabályzatkulcs létrehozása

Tárolja a Azure AD B2C-bérlőben feljegyzett titkos ügyfélkulcsot. Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.

  1. Jelentkezzen be az Azure Portalra.
  2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
  3. A Portál beállításai, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat.
  4. Válassza a Váltás lehetőséget.
  5. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget
  6. Keresse meg és válassza Azure AD B2C lehetőséget.
  7. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
  8. Válassza a Szabályzatkulcsok lehetőséget.
  9. Válassza a Hozzáadás lehetőséget.
  10. A Beállítások területen válassza a Manuális lehetőséget.
  11. Adja meg a szabályzatkulcs nevét . Például: BlokSecAppSecret. A rendszer hozzáadja az előtagot B2C_1A_ a kulcsnévhez.
  12. A Titkos kód mezőbe írja be a feljegyzett titkos ügyfélkulcsot.
  13. A Kulcshasználat mezőben válassza az Aláírás lehetőséget.
  14. Válassza a Létrehozás lehetőséget.

BlokSec konfigurálása identitásszolgáltatóként

Ha engedélyezni szeretné, hogy a felhasználók a BlokSec decentralizált identitással jelentkezzenek be, a BlokSec-et jogcímszolgáltatóként kell definiálnia. Ez a művelet biztosítja, hogy Azure AD B2C kommunikáljon vele egy végponton keresztül. Azure AD B2C végponti jogcímekkel ellenőrzi, hogy a felhasználók biometriával, például ujjlenyomattal vagy arcvizsgálattal hitelesítik-e az identitást.

Ha a BlokSec-et jogcímszolgáltatóként szeretné definiálni, adja hozzá a szabályzatbővítményfájl ClaimsProvider eleméhez.

  1. Nyissa meg a következőt: TrustFrameworkExtensions.xml.

  2. Keresse meg a ClaimsProviders elemet. Ha az elem nem jelenik meg, adja hozzá a gyökérelemhez.

  3. Új ClaimsProvider hozzáadása:

    <ClaimsProvider>
      <Domain>bloksec</Domain>
      <DisplayName>BlokSec</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="BlokSec-OpenIdConnect">
          <DisplayName>BlokSec</DisplayName>
          <Description>Login with your BlokSec decentriled identity</Description>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the BlokSec Application ID -->
            <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid profile email</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
          </CryptographicKeys>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. Állítsa client_id az alkalmazásregisztráció alkalmazásazonosítójára.

  5. Kattintson a Mentés gombra.

Felhasználói folyamat hozzáadása

Ha az identitásszolgáltató be van állítva, de egyik bejelentkezési oldalon sem, kövesse az alábbi utasításokat. Ha nem rendelkezik egyéni felhasználói folyamatokkal, másolja a sablonfelhasználói folyamatot.

  1. Nyissa meg a fájlt a TrustFrameworkBase.xml kezdőcsomagból.
  2. Keresse meg és másolja ki az ID=SignUpOrSignIn-t tartalmazó UserJourneys elem tartalmát.
  3. Nyissa meg a következőt: TrustFrameworkExtensions.xml.
  4. Keresse meg a UserJourneys elemet. Ha az elem nem jelenik meg, adjon hozzá egyet.
  5. Illessze be a UserJourney elem gyermekelemeként kimásolt UserJourney elem tartalmát.
  6. Nevezze át a felhasználói útazonosítót. Például: ID=CustomSignUpSignIn.

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ha rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót. Először adjon hozzá egy bejelentkezési gombot, majd csatolja egy művelethez, amely a létrehozott technikai profil.

  1. A felhasználói folyamat során keresse meg a Type=vagy Type=CombinedSignInAndSignUpClaimsProviderSelectionértéket tartalmazó vezénylési lépés elemet. Ez általában az első vezénylési lépés. A ClaimsProviderSelections elem tartalmazza a felhasználói bejelentkezés identitásszolgáltatóinak listáját. Az elemek sorrendje határozza meg a felhasználó által látott bejelentkezési gombok sorrendjét.
  2. Adjon hozzá egy ClaimsProviderSelection XML-elemet.
  3. Állítsa a TargetClaimsExchangeId értékét egy rövid névre.
  4. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet.
  5. Állítsa az azonosítót a céljogcímek exchange-azonosítójának értékére.
  6. Frissítse a TechnicalProfileReferenceId értékét a létrehozott műszaki profil azonosítójára.

A következő XML az identitásszolgáltatóval való első két felhasználói folyamat vezénylési lépéseit mutatja be:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza a felhasználói folyamatot, Azure AD B2C végre lesz hajtva.

  1. Keresse meg a DefaultUserJourney elemet a függő entitásban.
  2. Frissítse a ReferenceId azonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

Az alábbi példában a CustomSignUpOrSignIn felhasználói folyamat esetében a ReferenceId értékre van állítva CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

Az alábbi utasításokért használja a könyvtárat a Azure AD B2C-bérlővel.

  1. Jelentkezzen be az Azure Portalra.
  2. A portál eszköztárán válassza a Címtárak + előfizetések lehetőséget.
  3. A Portálbeállítások, Címtárak és előfizetések lapon, a Címtárnév listában keresse meg a Azure AD B2C-címtárat
  4. Válassza a Váltás lehetőséget.
  5. A Azure Portal keresse meg és válassza Azure AD B2C elemet.
  6. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  7. Válassza az Egyéni szabályzat feltöltése lehetőséget.
  8. Töltse fel a két módosított szabályzatfájlt a következő sorrendben:
  • Bővítményházirend, például TrustFrameworkExtensions.xml
  • Függő entitásokra vonatkozó szabályzat, például SignUpSignIn.xml

Az egyéni szabályzat tesztelése

  1. Válassza ki a függő entitás szabályzatát, például B2C_1A_signup_signin: .
  2. Az Application (Alkalmazás) beállításnál válassza ki a regisztrált webalkalmazást.
  3. A Válasz URL-cím a következőként jelenik meg: https://jwt.ms.
  4. Válassza a Futtatás most lehetőséget.
  5. A regisztrációs vagy bejelentkezési oldalon válassza a Google lehetőséget a Google-fiókkal való bejelentkezéshez.
  6. A böngésző a következőre https://jwt.mslesz átirányítva: . Tekintse meg a B2C Azure AD által visszaadott tokentartalmat.

További információ: Oktatóanyag: Webalkalmazás regisztrálása az Azure Active Directory B2C-ben

Következő lépések