Felhasználók migrálása az Azure AD B2C-be
A másik identitásszolgáltatóról az Azure Active Directory B2C-be (Azure AD B2C) való migráláshoz a meglévő felhasználói fiókok áttelepítése is szükséges lehet. Itt két migrálási módszert ismertetünk, a migrálás előtti és a zökkenőmentes migrálást. Mindkét módszer esetében olyan alkalmazást vagy szkriptet kell írnia, amely a Microsoft Graph API használatával hoz létre felhasználói fiókokat Azure AD B2C-ben.
Ebből a videóból megismerheti Azure AD B2C felhasználói migrálási stratégiáit és megfontolandó lépéseit.
Megjegyzés
A migrálás megkezdése előtt győződjön meg arról, hogy a Azure AD B2C-bérlő nem használt kvótája minden áttelepítendő felhasználónak megfelel. Megtudhatja, hogyan szerezheti be a bérlői használatot. Ha növelnie kell a bérlő kvótakorlátját, forduljon Microsoft ügyfélszolgálata.
Migrálás előtti
A migrálás előtti folyamat során az áttelepítési alkalmazás az alábbi lépéseket hajtja végre az egyes felhasználói fiókok esetében:
- Olvassa el a felhasználói fiókot a régi identitásszolgáltatótól, beleértve az aktuális hitelesítő adatait (felhasználónév és jelszó).
- Hozzon létre egy megfelelő fiókot a Azure AD B2C-címtárban az aktuális hitelesítő adatokkal.
Használja a migrálás előtti folyamatot az alábbi két helyzetben:
- Hozzáféréssel rendelkezik egy felhasználó egyszerű szöveges hitelesítő adataihoz (a felhasználó felhasználónevéhez és jelszavához).
- A hitelesítő adatok titkosítva vannak, de visszafejthetők.
További információ a felhasználói fiókok programozott létrehozásáról: Azure AD B2C-felhasználói fiókok kezelése a Microsoft Graphtal.
Zökkenőmentes migrálás
Használja a zökkenőmentes migrálási folyamatot, ha a régi identitásszolgáltató egyszerű szöveges jelszavai nem érhetők el. Például amikor:
- A jelszó tárolása egyirányú titkosított formátumban történik, például kivonatfüggvényekkel.
- A jelszót az örökölt identitásszolgáltató tárolja úgy, hogy ön ne férhessen hozzá. Ha például az identitásszolgáltató egy webszolgáltatás meghívásával érvényesíti a hitelesítő adatokat.
A zökkenőmentes migrálási folyamat továbbra is megköveteli a felhasználói fiókok előzetes migrálását, de egyéni szabályzattal lekérdez egy REST API-t (amelyet ön hoz létre) az egyes felhasználók jelszavának első bejelentkezéskor történő beállításához.
A zökkenőmentes migrálási folyamat két fázisból áll: az áttelepítés előtti és a hitelesítő adatok beállításából.
1. fázis: Migrálás előtti
- A migrálási alkalmazás beolvassa a felhasználói fiókokat a régi identitásszolgáltatótól.
- Az áttelepítési alkalmazás megfelelő felhasználói fiókokat hoz létre a Azure AD B2C-címtárban, de véletlenszerű jelszavakat állít be.
2. fázis: Hitelesítő adatok beállítása
A fiókok előzetes migrálása után az egyéni szabályzat és a REST API a következőt hajtja végre, amikor egy felhasználó bejelentkezik:
- Olvassa el a megadott e-mail-címnek megfelelő Azure AD B2C felhasználói fiókot.
- Egy logikai bővítményattribútum kiértékelésével ellenőrizze, hogy a fiók migrálásra van-e megjelölve.
- Ha a bővítményattribútum ad vissza
True
, hívja meg a REST API-t, hogy ellenőrizze a jelszót az örökölt identitásszolgáltatóval.- Ha a REST API megállapítja, hogy a jelszó helytelen, rövid hibaüzenetet ad vissza a felhasználónak.
- Ha a REST API helyes jelszót állapít meg, írja be a jelszót a Azure AD B2C-fiókba, és módosítsa a logikai bővítmény attribútumát a következőre:
False
.
- Ha a logikai bővítmény attribútuma
False
ad vissza, folytassa a bejelentkezési folyamatot a szokásos módon.
- Ha a bővítményattribútum ad vissza
Az egyéni szabályzatra és a REST API-ra vonatkozó példa megtekintéséhez tekintse meg a GitHubon található közvetlen felhasználói migrálási mintát .
Biztonság
A zökkenőmentes migrálási módszer a saját egyéni REST API-jával ellenőrzi a felhasználó hitelesítő adatait az örökölt identitásszolgáltatóval szemben.
Meg kell védenie a REST API-t a találgatásos támadásokkal szemben. A támadók több jelszót is beküldhetnek annak reményében, hogy végül kitalálják a felhasználó hitelesítő adatait. Az ilyen támadások legyőzéséhez állítsa le a kérések REST API-nak való kiszolgálását, amikor a bejelentkezési kísérletek száma túllép egy bizonyos küszöbértéket. Emellett biztonságossá teheti a Azure AD B2C és a REST API közötti kommunikációt. A RESTful API-k éles környezetben való védelmének megismeréséhez lásd: Secure RESTful API.
Felhasználói attribútumok
Az örökölt identitásszolgáltató nem minden információját kell áttelepíteni a Azure AD B2C-címtárba. Az áttelepítés előtt azonosítsa a Azure AD B2C-ben tárolandó felhasználói attribútumok megfelelő készletét.
-
DO-tároló Azure AD B2C-ben:
- Felhasználónév, jelszó, e-mail-címek, telefonszámok, tagsági számok/azonosítók.
- Adatvédelmi szabályzatok és végfelhasználói licencszerződések hozzájárulási jelölői.
-
NE tárolja Azure AD B2C-ben:
- Bizalmas adatok, például hitelkártyaszámok, társadalombiztosítási számok (SSN), egészségügyi nyilvántartások vagy a kormányzati vagy iparági megfelelőségi szervek által szabályozott egyéb adatok.
- Marketing- vagy kommunikációs beállítások, felhasználói viselkedések és megállapítások.
Címtárkarbantartás
A migrálási folyamat megkezdése előtt használja ki a lehetőséget a címtár törlésére.
- Azonosítsa a Azure AD B2C-ben tárolandó felhasználói attribútumok készletét, és csak azt migrálja, amire szüksége van. Szükség esetén létrehozhat egyéni attribútumokat , hogy több adatot tároljon egy felhasználóról.
- Ha több hitelesítési forrással rendelkező környezetből migrál (például minden alkalmazásnak saját felhasználói címtára van), migráljon egy egyesített fiókba Azure AD B2C-ben.
- Ha több alkalmazás eltérő felhasználónevekkel rendelkezik, az identitásgyűjtemény használatával mindet egy Azure AD B2C-felhasználói fiókban tárolhatja. A jelszóval kapcsolatban hagyja, hogy a felhasználó válasszon egyet, és állítsa be a könyvtárban. A zökkenőmentes migrálással például csak a választott jelszót kell tárolni a Azure AD B2C-fiókban.
- Távolítsa el a nem használt felhasználói fiókokat, vagy ne telepítse át az elavult fiókokat.
Jelszóházirend
Ha az áttelepített fiókok jelszóerősségük gyengébbek, mint a B2C Azure AD által megkövetelt erős jelszóerősség, letilthatja az erős jelszókövetelményt. További információ: Jelszóházirend tulajdonság.
Következő lépések
A azure-ad-b2c/user-migration
GitHub adattára egy közvetlen migrálási egyéni szabályzatmintát és REST API-kódmintát tartalmaz:
Közvetlen felhasználói migrálási egyéni szabályzat és REST API-kódminta