Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Die folgenden bewährten Methoden und Empfehlungen umfassen einige der wichtigsten Aspekte der Integration von Azure Active Directory (Azure AD) B2C in vorhandene oder neue Anwendungsumgebungen.
Grundlagen
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Erstellen eines Notfallzugriffskontos | Dieses Notfallzugriffskonto hilft Ihnen, zugriff auf Ihren Azure AD B2C-Mandanten unter Umständen zu erhalten, z. B. wenn der einzige Administrator nicht erreichbar ist, wenn die Anmeldeinformationen benötigt werden. Erfahren Sie, wie Sie ein Notfallzugriffskonto erstellen. |
| Auswählen von Benutzerflüssen für die meisten Szenarien | Das Identity Experience Framework von Azure AD B2C ist die Kernstärke des Diensts. Richtlinien beschreiben die Identitätsfunktionen wie Registrierung, Anmeldung oder Profilbearbeitung vollständig. Damit Sie die am häufigsten verwendeten Identitätsaufgaben einrichten können, enthält das Azure AD B2C-Portal vordefinierte, konfigurierbare Richtlinien, die als Benutzerflüsse bezeichnet werden. Mit Benutzerflüssen können Sie in Minuten großartige Benutzeroberflächen mit nur wenigen Klicks erstellen. Erfahren Sie, wann Benutzerflüsse im Vergleich zu benutzerdefinierten Richtlinien verwendet werden sollen. |
| App-Registrierungen | Jede anwendung (web, native) und API, die gesichert wird, müssen in Azure AD B2C registriert werden. Wenn eine App sowohl über eine Web- als auch über eine systemeigene Version von iOS und Android verfügt, können Sie sie als eine Anwendung in Azure AD B2C mit derselben Client-ID registrieren. Erfahren Sie, wie Sie OIDC, SAML, Web und systemeigene Apps registrieren. Erfahren Sie mehr über Anwendungstypen, die in Azure AD B2C verwendet werden können. |
| Wechseln zur monatlichen aktiven Benutzerabrechnung | Azure AD B2C hat sich von monatlichen aktiven Authentifizierungen zu monatlichen aktiven Benutzern (MAU)-Abrechnungen verschoben. Die meisten Kunden finden dieses Modell kostengünstig. Erfahren Sie mehr über die Rechnungsstellung für monatlich aktive Benutzer. |
| Bewährte Methoden zur Sicherheit befolgen | Es gibt fortlaufende und sich entwickelnde Bedrohungen und Angriffe, und wie alle eigenen Ressourcen sollte Ihre Azure AD B2C-Bereitstellung bewährte Sicherheitsmethoden befolgen, einschließlich Anleitungen zur Implementierung von WAFs (Verteidigung gegen Bedrohungen wie DDOS und Bots) und anderer Best Practices zum Aufbau einer mehrschichtigen Verteidigungsstruktur B2C Security Architecture. |
Planung und Entwurf
Definieren Sie Ihre Anwendungs- und Dienstarchitektur, inventarisieren Sie aktuelle Systeme, und planen Sie Ihre Migration zu Azure AD B2C.
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Erstellen einer End-to-End-Lösung | Schließen Sie alle Abhängigkeiten Ihrer Anwendungen ein, wenn Sie eine Azure AD B2C-Integration planen. Berücksichtigen Sie alle Dienste und Produkte, die sich derzeit in Ihrer Umgebung befinden oder die der Lösung hinzugefügt werden müssen (z. B. Azure Functions, CRM-Systeme,Azure API Management-Gateway und Speicherdienste). Berücksichtigen Sie die Sicherheit und Skalierbarkeit für alle Dienste. |
| Dokumentieren der Benutzererfahrungen | Detailieren Sie alle Benutzerreisen, die Ihre Kunden in Ihrer Anwendung erleben können. Schließen Sie jeden Bildschirm und alle Verzweigungsflüsse ein, die bei der Interaktion mit den Identitäts- und Profilaspekten Ihrer Anwendung auftreten können. Schließen Sie Benutzerfreundlichkeit, Barrierefreiheit und Lokalisierung in Ihre Planung ein. |
| Auswählen des richtigen Authentifizierungsprotokolls | Eine Aufschlüsselung der verschiedenen Anwendungsszenarien und deren empfohlenen Authentifizierungsflüsse finden Sie unter Szenarien und unterstützten Authentifizierungsflüssen. |
| Pilot eines Proof of Concept (POC) für die End-to-End-Benutzererfahrung | Beginnen Sie mit unseren Microsoft-Codebeispielen und Communitybeispielen. |
| Erstellen eines Migrationsplans | Die Planung im Voraus kann dazu führen, dass die Migration reibungsloser verläuft. Erfahren Sie mehr über die Benutzermigration. |
| Nutzbarkeit im Vergleich zur Sicherheit | Ihre Lösung muss das richtige Gleichgewicht zwischen Anwendungsfreundlichkeit und dem akzeptablen Risikoniveau Ihrer Organisation erreichen. |
| Verschieben lokaler Abhängigkeiten in die Cloud | Um eine robuste Lösung zu gewährleisten, sollten Sie vorhandene Anwendungsabhängigkeiten in die Cloud verschieben. |
| Migrieren vorhandener Apps zu b2clogin.com | Die Deaktivierung von login.microsoftonline.com wird für alle Azure AD B2C-Mandanten am 04. Dezember 2020 wirksam. Erfahren Sie mehr. |
| Verwenden von Identitätsschutz und bedingtem Zugriff | Verwenden Sie diese Funktionen, um eine deutlich größere Kontrolle über riskante Authentifizierungen und Zugriffsrichtlinien zu erhalten. Azure AD B2C Premium P2 ist erforderlich. Erfahren Sie mehr. |
| Mietergröße | Sie müssen bei der Planung die Größe des Azure AD B2C-Mandanten berücksichtigen. Standardmäßig kann der Azure AD B2C-Mandant 1,25 Millionen Objekte (Benutzerkonten und Anwendungen) aufnehmen. Sie können diesen Grenzwert auf 5,25 Millionen Objekte erhöhen, indem Sie Ihrem Mandanten eine benutzerdefinierte Domäne hinzufügen und überprüfen. Wenn Sie eine größere Mandantengröße benötigen, müssen Sie sich an den Support wenden. |
Implementierung
Berücksichtigen Sie während der Implementierungsphase die folgenden Empfehlungen.
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Bearbeiten von benutzerdefinierten Richtlinien mit der Azure AD B2C-Erweiterung für Visual Studio Code | Laden Sie Visual Studio Code und diese community-integrierte Erweiterung aus dem Visual Studio Code Marketplace herunter. Obwohl kein offizielles Microsoft-Produkt, enthält die Azure AD B2C-Erweiterung für Visual Studio Code mehrere Features, die das Arbeiten mit benutzerdefinierten Richtlinien vereinfachen. |
| Informationen zur Problembehandlung bei Azure AD B2C | Erfahren Sie, wie Sie während der Entwicklung Probleme mit benutzerdefinierten Richtlinien beheben. Erfahren Sie, wie ein normaler Authentifizierungsfluss aussieht, und verwenden Sie Tools zum Ermitteln von Anomalien und Fehlern. Verwenden Sie beispielsweise Application Insights , um Ausgabeprotokolle von Benutzerreisen zu überprüfen. |
| Nutzen sie unsere Bibliothek bewährter benutzerdefinierter Richtlinienmuster | Hier finden Sie Beispiele für erweiterte Azure AD B2C Customer Identity and Access Management (CIAM)-Benutzerreisen. |
Testen
Testen und automatisieren Sie Ihre Azure AD B2C-Implementierung.
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Konto für globalen Datenverkehr | Verwenden Sie Datenverkehrsquellen aus unterschiedlicher globaler Adresse, um die Leistungs- und Lokalisierungsanforderungen zu testen. Stellen Sie sicher, dass alle HTMLs, CSS und Abhängigkeiten Ihren Leistungsanforderungen entsprechen können. |
| Funktions- und Ui-Tests | Testen Sie die Benutzerabläufe von Anfang bis Ende. Fügen Sie synthetische Tests alle paar Minuten mit Selenium, VS Web Test usw. hinzu. |
| Penetrationstests | Bevor Sie mit Ihrer Lösung live arbeiten, führen Sie Penetrationstests durch, um sicherzustellen, dass alle Komponenten sicher sind, einschließlich aller Abhängigkeiten von Drittanbietern. Überprüfen Sie, ob Sie Ihre APIs mit Zugriffstoken gesichert und das richtige Authentifizierungsprotokoll für Ihr Anwendungsszenario verwendet haben. Erfahren Sie mehr über Penetrationstests und die Microsoft Cloud Unified Penetration Testing Rules of Engagement. |
| A/B-Tests | Testen Sie Ihre neuen Funktionen mit einer kleinen, zufälligen Gruppe von Benutzern, bevor Sie sie Ihrer gesamten Bevölkerung zur Verfügung stellen. Mit JavaScript, das in Azure AD B2C aktiviert ist, können Sie mit A/B-Testtools wie Optimizely, Clarity und anderen integriert werden. |
| Auslastungstests | Azure AD B2C kann skaliert werden, Ihre Anwendung kann jedoch nur skaliert werden, wenn alle Abhängigkeiten skaliert werden können. Es wird empfohlen, einen Auslastungstest der Richtlinie im Produktionsmodus auszuführen, der das Attribut DeploymentMode im Element <TrustFrameworkPolicy> Ihrer benutzerdefinierten Richtliniendatei auf Production festlegt. Diese Einstellung stellt sicher, dass Ihre Leistung während des Tests mit der Leistung auf Produktionsniveau übereinstimmt. Führen Sie Auslastungstests für Ihre APIs und das CDN aus. Erfahren Sie mehr über Resilienz durch bewährte Methoden für Entwickler. |
| Drosselung | Azure AD B2C drosselt Datenverkehr, wenn zu viele Anforderungen innerhalb kurzer Zeit von derselben Quelle gesendet werden. Verwenden Sie bei Auslastungstests mehrere Datenverkehrsquellen, und behandeln Sie den AADB2C90229-Fehlercode in Ihren Anwendungen ordnungsgemäß. |
| Automatisierung | Verwenden Sie fortlaufende Integrations- und Übermittlungspipelinen (CI/CD), um Tests und Bereitstellungen zu automatisieren, z. B. Azure DevOps. |
Operationen
Verwalten Sie Ihre Azure AD B2C-Umgebung.
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Erstellen mehrerer Umgebungen | Um die Bereitstellung zu vereinfachen, erstellen Sie separate Umgebungen für Entwicklung, Tests, Vorproduktion und Produktion. Erstellen Sie Azure AD B2C-Mandanten für jede dieser Umgebungen. |
| Verwenden der Versionssteuerung für Ihre benutzerdefinierten Richtlinien | Erwägen Sie die Verwendung von GitHub, Azure Repos oder einem anderen cloudbasierten Versionssteuerungssystem für Ihre benutzerdefinierten Azure AD B2C-Richtlinien. |
| Verwenden der Microsoft Graph-API zum Automatisieren der Verwaltung Ihrer B2C-Mandanten | Microsoft Graph-APIs: Verwalten von Identity Experience Framework (benutzerdefinierte Richtlinien) Schlüssel Benutzerabläufe |
| Integrieren mit Azure DevOps | Eine CI/CD-Pipeline macht das Verschieben von Code zwischen verschiedenen Umgebungen einfach und stellt die Produktionsbereitschaft immer sicher. |
| Bereitstellen einer benutzerdefinierten Richtlinie | Azure AD B2C basiert auf der Zwischenspeicherung, um Ihren Endbenutzern Leistung zu bieten. Wenn Sie eine benutzerdefinierte Richtlinie mit welcher Methode bereitstellen, erwarten Sie eine Verzögerung von bis zu 30 Minuten , damit Ihre Benutzer die Änderungen sehen können. Berücksichtigen Sie als Ergebnis dieses Verhaltens die folgenden Methoden, wenn Sie Ihre benutzerdefinierten Richtlinien bereitstellen: – Wenn Sie die Bereitstellung in einer Entwicklungsumgebung durchführen, legen Sie das DeploymentMode-Attribut im <TrustFrameworkPolicy>-Element Ihrer benutzerdefinierten Richtliniendatei auf Production fest. – Stellen Sie die aktualisierten Richtliniendateien in einer Produktionsumgebung bereit, wenn der Datenverkehr in Ihrer App niedrig ist. – Wenn Sie in einer Produktionsumgebung bereitstellen, um vorhandene Richtliniendateien zu aktualisieren, laden Sie die aktualisierten Dateien mit neuen Namen hoch, die als neue Versionen der Richtlinien fungieren. Aktualisieren Sie dann Ihre App-Verweise auf die neuen Namen/Versionen. Sie können die alten Richtliniendateien später entfernen oder als letzte bekannte gute Konfiguration für einfaches Rollback beibehalten. – Wenn Sie in einer Produktionsumgebung bereitstellen müssen, um vorhandene Richtliniendateien ohne Erstellung neuer Versionen zu aktualisieren, gestalten Sie die neue Richtlinie abwärtskompatibel mit der alten Richtlinie, indem Sie einigen einfachen Regeln folgen. Wenn Sie ein technisches Profil, einen Anspruch oder einen SubJourney ändern müssen, erstellen Sie eine neue Version davon, veröffentlichen Sie die Richtlinie, und warten Sie 30 Minuten, bis Azure AD B2C-Caches die neue Version abrufen. Nehmen Sie dann in einem nachfolgenden Update Änderungen vor, um die neue Version zu verwenden, und führen Sie ein weiteres Richtlinienupdate aus. Warten Sie auf weitere 30 Minuten, und sie können die alte Version der Elemente bei Bedarf löschen. Stellen Sie sicher, dass sich alle Ihre Geschäftslogik innerhalb von SubJourneys befindet. – Sie können das DeploymentMode auf Development in einer Produktionsumgebung setzen, um das Cache-Verhalten zu umgehen. Diese Vorgehensweise wird jedoch nicht empfohlen. Wenn Sie Azure AD B2C-Protokolle mit Application Insights sammeln, werden alle an und von Identitätsanbietern gesendeten Claims erfasst, was ein Risiko für Sicherheit und Leistung darstellt. |
| Bereitstellen von App-Registrierungsupdates | Wenn Sie Ihre Anwendungsregistrierung in Ihrem Azure AD B2C-Mandanten ändern, z. B. das Aktualisieren des Umleitungs-URI der Anwendung, erwarten Sie eine Verzögerung von bis zu 2 Stunden (7200s), damit die Änderungen in der Produktionsumgebung wirksam werden. Es wird empfohlen, die Anwendungsregistrierung in Ihrer Produktionsumgebung zu ändern, wenn der Datenverkehr in Ihrer App niedrig ist. |
| Integrieren Sie mit Azure Monitor | Überwachungsprotokollereignisse werden nur sieben Tage lang aufbewahrt. Integrieren mit Azure Monitor, um die Protokolle für die langfristige Verwendung aufzubewahren oder in SIEM-Tools (Security Information and Event Management) von Drittanbietern zu integrieren, um Einblicke in Ihre Umgebung zu erhalten. |
| Einrichten aktiver Warnungen und Überwachung | Verfolgen Sie das Benutzerverhalten in Azure AD B2C mithilfe von Application Insights. |
Support- und Statusupdates
Bleiben Sie mit dem Status des Dienstes auf dem neuesten Stand und finden Sie Supportoptionen.
| Beste Praxis | BESCHREIBUNG |
|---|---|
| Dienstupdates | Bleiben Sie mit Azure AD B2C-Produktupdates und -Ankündigungen auf dem neuesten Stand. |
| Microsoft-Support | Stellen Sie eine Supportanfrage für technische Probleme mit Azure AD B2C bereit. Der Support für die Abrechnungs- und Abonnementverwaltung wird kostenlos bereitgestellt. |
| Azure-Status | Zeigen Sie den aktuellen Integritätsstatus aller Azure-Dienste an. |