其他分享
首页 > 其他分享> > Azure Active Directory B2C (1)

Azure Active Directory B2C (1)

作者:互联网

Azure AD B2C

Azure AD B2C 提供了business to customer的身份标识机服务。
是一种SaaS服务。
客户可以选择他们喜欢的社交软件、企业软件、本地账户登标识来进行SSO,这样来访问你的应用程序和APIs
AAD B2C时一种客户身份标识访问管理解决方案,可以支持百万数量的用户,每天可以支持数十亿的验证请求。
AAD B2C可以保证认证平台的安全扩大,可以进行健康、自动处理DDos 密码喷洒 保利破解等威胁。

SSO

AAD B2C可以支持基本的验证协议,包括OpenID Connect OAuth2.0 SAML。
同时也集成了最常见的应用
在这里插入图片描述
AAD B2C可以看作一个验证授权中心,可以给web 应用、手机应用、API等等 进行验证授权,也可以对这些应用进行SSO。集中管理用户档案和用户偏好信息,并且可以捕获一些登录行为的细节信息。

和外部的user stores(用户存储)进行集成

Azure AD B2C的目录可以支持一个用户有100个自定义的属性。然而,你也可以和外部系统进行集成。比如说,使用Azure AD B2C进行验证,但是授权第三方的CRM或者客户自己信赖的数据库,作为客户的数据源。
像这样的外部用户存储场景,就是用AAD B2C来进行身份验证,但是又集成第三方系统来存储用户profile或者个人信息。
举个例子说明,为了满足地方的信息安全法律法规或者本地数据存储条例,基于这些要求,用户的资料信息必须存在其他地方,那么AAD B2C就可以满足这种场景。
Azure AD B2C 可以在注册或者资料编辑的时候,手机用户信息,然后在未来注册的时候,Azure AD B2C就可以从外部系统取回所需的数据。

Progressive Profiling 逐步进行资料注册

另一种用户体验的方法就是逐步进行资料注册。
在这里插入图片描述

第三方身份标识验证和校验

使用Azure AD B2C来搜集用户信息,然后将其传送给第三方系统进行验证,信用评分、用户账户创建许可。

Azure AD B2C tenant

AAD B2C 租户代表着你的阻止,用户的目录。美国AAD B2C租户都是相互独立隔离的, AAD B2C 和AAD租户是两回事儿。主要区别如下:

  1. 目录 - 目录是AAD B2C用来存储用户凭据和资料的地方,当然害存储了应用程序注册
  2. 应用程序注册 - 将web应用、手机应用、原生应用注册到AAD B2C上,这样就可以来管理身份标识,此外所有你像保护的API都可以用AAD B2C来保护。
  3. 用户流 user flows 和自定义的策略
    内置 user flows 和完全自定义的策略又不同的身份标识应用体验
  1. 身份标识提供方
    可以和很多身份标识提供方进行联合身份验证
    社交软件:facebook linkin Twitter
    外部身份标识提供方:需要能够支持标准的身份标识协议,比如OAuth2.0 OpenID Connect
    本地账户,需要用户用用户名和密码进行注册和登入
  2. 密钥,添加管理加密密钥,用户签名、验证token 客户端密钥、证书、密码

AAD B2C 账户

AAD B2C 定义了很多中用户账户,AAD AAD B2B和B2C都又如下账户类型:

消费者账户

消费者账户可以登录AAD B2C集成的应用程序,但是不能访问Azure 资源,比如Azure 门户。
消费者账户可以和以下集中身份标识种类结合

  1. 本地身份标识:用户名和密码存储在本地AAD B2C目录,这类身份标识我们称为 本地账户。
  2. 社交身份标识、企业身份标识:联合身份验证,又联合身份认证提供方来管理验证,比如Facebook Microsoft ADFS Salesforce。

消费者账户可以用多个身份标识进行登录,比如用户名、有些、员工号、政府ID、或者其他的

身份标识体验:用户流或者自定义策略
可扩展策略框架是AAD B2C的核心功能。策略表术了用户的身份标识体验,例如注册、登录、资料编辑。
在AAD B2C里面,主要有两种提供身份标识用户体验的方法:用户流和自定义策略。

用户流和自定义策略都是IEF 身份标识体验框架中的内容, 也是AAD B2C策略的指挥引擎。

  1. 注册的账户类型:比如社交账户、本地账户(要用邮箱地址和密码进行登录)
  2. 从消费者哪里搜刮来的属性信息,比如名字、邮编号、住址
  3. AAD MFA
  4. 自定义UI界面
  5. 当用户完成了以上一系列user flow之后,需明确要从应用程序那里拿回什么样的claim
  6. 会话管理
    user flow的模式可以用户大多数的手机和web app或者sigle-page app。
    一般都建议采用user flows的模式进行身份验证,除非你有一些高级的特殊需求
  1. 和其他IdP进行联合身份验证
  2. 进行MFA 验证,可以是微软的MFA也可以是第三方的MFA
  3. 搜集用户的信息
    10.可以和第三方REST API进行集成
    如此的用户历程是通过策略进行定义的,你可以创建数条policy来定义你想要的用户登录体验。
    自定义策略是由XML文件写成的,这个XML文件会代表很多层级管理。
    XML文件会定义claim schema,claims变化、content definition,calims provider,technical profiles 用户登录历程指挥步骤。

自定义策略一般最适用于复杂的身份标识场景,开发人员在配置自定义策略时,必须要谨慎定义可信赖管理,因为其中会包括元数据的终结点、claim具体交换定义、配置密钥、key、证书等等。

协议和token

标签:AAD,自定义,标识,B2C,用户,Active,Azure,Directory,身份
来源: https://blog.csdn.net/qq_24550639/article/details/110957638