Tutorial: Konfigurieren von Azure Active Directory B2C mit BlokSec für die kennwortlose Authentifizierung

Bevor Sie anfangen

Azure Active Directory B2C verfügt über zwei Methoden, um Benutzerinteraktionen mit Anwendungen zu definieren: vordefinierte Benutzerflows oder konfigurierbare benutzerdefinierte Richtlinien.

Azure AD B2C und BlokSec

Erfahren Sie, wie Sie die Azure Active Directory B2C-Authentifizierung (Azure AD B2C) in den BlokSec Decentralized Identity Router integrieren. Die BlokSec-Lösung vereinfacht die Benutzeranmeldung mit passwortloser Authentifizierung und tokenloser Multi-Faktor-Authentifizierung. Die Lösung schützt Kunden vor identitätsbezogenen Angriffen wie Passwort-Stuffing, Phishing und Man-in-the-Middle.

Weitere Informationen finden Sie unter bloksec.com: BlokSec Technologies Inc.

Szenariobeschreibung

Die BlokSec-Integration umfasst die folgenden Komponenten:

• Azure AD B2C – Autorisierungsserver und Identitätsanbieter (IdP) für B2C-Anwendungen
• BlokSec Decentralized Identity Router – Gateway für Dienste, die BlokSec DIaaS anwenden, um Authentifizierungs- und Autorisierungsanfragen an PIdP-Anwendungen (Personal Identity Provider) von Benutzern weiterzuleiten
  • Es handelt sich um einen OpenID Connect (OIDC)-Identitätsanbieter in Azure AD B2C
• BlokSec SDK-basierte mobile App – Benutzer-PIdP im dezentralen Authentifizierungsszenario.
  • Wenn Sie das BlokSec SDK nicht verwenden, gehen Sie zu Google Play, um die kostenlose BlokSec yuID zu erhalten

Das folgende Architekturdiagramm veranschaulicht den Registrierungs- und Anmeldeablauf in der Implementierung der BlokSec-Lösung.

1. Der Benutzer meldet sich bei einer Azure AD B2C-Anwendung an und wird an die Azure AD B2C-Anmelde- und Registrierungsrichtlinie weitergeleitet
2. Azure AD B2C leitet den Benutzer mithilfe des OIDC-Autorisierungscodeflows an den dezentralen Identitätsrouter BlokSec weiter.
3. Der BlokSec-Router sendet eine Push-Benachrichtigung an die mobile App des Benutzers mit Details zur Authentifizierungs- und Autorisierungsanforderung.
4. Der Benutzer überprüft die Authentifizierungsabfrage. Ein akzeptierter Benutzer wird zur Eingabe von Biometriedaten wie Fingerabdruck oder Gesichtsscan aufgefordert.
5. Die Antwort wird mit dem eindeutigen digitalen Schlüssel des Benutzers digital signiert. Die Authentifizierungsantwort stellt einen Nachweis des Besitzes, der Anwesenheit und der Zustimmung bereit. Die Antwort wird an den Router zurückgegeben.
6. Der Router überprüft die digitale Signatur anhand des unveränderlichen eindeutigen öffentlichen Schlüssels des Benutzers, der in einem verteilten Ledger gespeichert ist. Der Router antwortet mit dem Authentifizierungsergebnis auf Azure AD B2C.
7. Dem Benutzer wird der Zugriff gewährt oder verweigert.

BlokSec aktivieren

1. Wechseln Sie zu „bloksec.com“, und wählen Sie den Mandanten Demo anfordern aus.
2. Geben Sie im Nachrichtenfeld an, dass Sie eine Integration in Azure AD B2C durchführen möchten.
3. Laden Sie die kostenlose BlokSec yuID Mobile App herunter und installieren Sie sie.
4. Nachdem der Demomandant vorbereitet wurde, empfängt er eine E-Mail.
5. Wählen Sie auf dem Mobilgerät mit der BlokSec-Anwendung den Link aus, um Ihr Admin-Konto bei Ihrer yuID-App zu registrieren.

Voraussetzungen

Um zu beginnen, benötigen Sie Folgendes:

• Azure-Abonnement
  • Wenn Sie keines haben, holen Sie sich ein Azfree-Konto
• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist
• Eine BlokSec-Demo
• Registrieren einer Webanwendung
  • Tutorial: Registrieren einer Webanwendung in Azure AD B2C

Weitere Informationen finden Sie unter Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure AD B2C

Erstellen Sie eine Anwendungsregistrierung in BlokSec

In der E-Mail zur Kontoregistrierung von BlokSec finden Sie den Link zur BlokSec-Verwaltungskonsole.

1. Melden Sie sich bei der BlokSec-Verwaltungskonsole an.
2. Wählen Sie im Hauptdashboard Anwendung hinzufügen > Benutzerdefiniert erstellen.
3. Geben Sie als Name Azure AD B2C oder einen Anwendungsnamen ein.
4. Wählen Sie für SSO-Typ die Option OIDC aus.
5. Geben Sie für Logo-URI einen Link zum Logobild ein.
6. Verwenden Sie für Umleitungs-URIshttps://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Beispiel: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Geben Sie https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authrespfür eine benutzerdefinierte Domäne ein.
7. Geben Sie unter Umleitungs-URIs nach dem Abmelden den Wert https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout ein.
8. Wählen Sie die erstellte Azure AD B2C-Anwendung aus, um die Anwendungskonfiguration zu öffnen.
9. Wählen Sie "App-Geheimnis generieren" aus.

Weitere Informationen: Senden einer Abmeldeanfrage.

Hinzufügen eines neuen Identitätsanbieters in Azure AD B2C

Verwenden Sie für die folgenden Anweisungen das Verzeichnis, das Ihren Azure AD B2C-Mandanten enthält.

1. Melden Sie sich beim Azure-Portal als mindestens B2C IEF-Richtlinienadministrator Ihres Azure AD B2C-Mandanten an.
2. Wählen Sie auf der Portalsymbolleiste "Verzeichnisse + Abonnements" aus.
3. Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste Ihr Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der oberen linken Ecke des Azure-Portals "Alle Dienste" aus.
6. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
7. Navigieren Sie zu Dashboard>Azure Active Directory B2C>Identitätsanbieter.
8. Wählen Sie "Neuer OpenID Connect-Anbieter" aus.
9. Wählen Sie Hinzufügen aus.

Konfigurieren eines Identitätsanbieters

1. Wählen Sie den Identitätsanbietertyp > OpenID Connect aus.
2. Geben Sie als NameBlokSec yuID Passwordless oder einen anderen Namen ein.
3. Geben Sie für die Metadaten-URLhttps://api.bloksec.io/oidc/.well-known/openid-configuration ein.
4. Geben Sie für Client IDV die Anwendungs-ID aus der BlokSec-Admin-Benutzeroberfläche ein.
5. Geben Sie für Client Secret (Geheimer Clientschlüssel) den Geheimen Schlüssel der Anwendung in der BlokSec-Admin-Benutzeroberfläche ein.
6. Wählen Sie für "Bereich" das OpenID-E-Mail-Profil aus.
7. Wählen Sie für den Antworttyp"Code" aus.
8. Wählen Sie für Domänenhinweisdie Option yuID aus.
9. Wählen Sie OK aus.
10. Wählen Sie Ansprüche dieses Identitätsanbieters zuordnen aus.
11. Für Benutzer-ID wählen Sie sub aus.
12. Wählen Sie für Anzeigenamedie Option Name aus.
13. Verwenden Sie für den angegebenen Namengiven_name.
14. Verwenden Sie für Nachnamefamily_name.
15. Für E-Mail verwenden Sie e-mail.
16. Wählen Sie Speichern aus.

Benutzerregistrierung

1. Melden Sie sich mit den bereitgestellten Anmeldeinformationen bei der BlokSec-Verwaltungskonsole an.
2. Navigieren Sie zu der zuvor erstellten Azure AD B2C-Anwendung.
3. Wählen Sie oben rechts das Symbol Zahnrad aus.
4. Wählen Sie Konto erstellen aus.
5. Geben Sie unter Konto erstellen die Benutzerinformationen ein. Notieren Sie sich den Kontonamen.
6. Wählen Sie "Absenden" aus.

Der Benutzer erhält eine E-Mail zur Kontoregistrierung an die angegebene E-Mail-Adresse. Weisen Sie den Benutzer an, den Registrierungslink auf dem Mobilgerät mit der BlokSec yuID-App auszuwählen.

Erstellen einer Benutzerflussrichtlinie

Stellen Sie für die folgenden Anweisungen sicher, dass BlokSec ein neuer OIDC-Identitätsanbieter (IdP) ist.

1. Wählen Sie in Ihrem Azure AD B2C-Mandanten unter "Richtlinien" die Option "Benutzerflüsse" aus.
2. Wählen Sie "Neuer Benutzerablauf" aus.
3. Wählen Sie Registrierung und Anmeldung>Version>Erstellen aus.
4. Geben Sie einen Namen für die Richtlinie ein.
5. Wählen Sie im Abschnitt Identity-Provider den erstellten BlokSec-Identity-Provider aus.
6. Wählen Sie für Lokales Konto die Option Keine aus. Diese Aktion deaktiviert die E-Mail- und kennwortbasierte Authentifizierung.
7. Wählen Sie "Benutzerablauf ausführen" aus.
8. Geben Sie im Formular die Antwort-URL ein, z. B. https://jwt.ms.
9. Der Browser wird zur BlokSec-Anmeldeseite umgeleitet.
10. Geben Sie den Kontonamen aus der Benutzerregistrierung ein.
11. Der Benutzer erhält eine Push-Benachrichtigung auf dem mobilen Gerät mit der BlokSec yuID-Anwendung.
12. Der Benutzer öffnet die Benachrichtigung, und die Authentifizierungsaufforderung wird angezeigt.
13. Wenn die Authentifizierung akzeptiert wird, leitet der Browser den Benutzer zur Antwort-URL weiter.

Richtlinienschlüssel erstellen

Speichern Sie den geheimen Clientschlüssel, den Sie in Ihrem Azure AD B2C-Mandanten notiert haben. Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit Ihrem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Portalsymbolleiste "Verzeichnisse + Abonnements" aus.
3. Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste Ihr Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der oberen linken Ecke des Azure-Portals Alle Dienste aus
6. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
7. Wählen Sie auf der Seite "Übersicht " die Option "Identity Experience Framework" aus.
8. Wählen Sie "Richtlinienschlüssel" aus.
9. Wählen Sie Hinzufügen aus.
10. Wählen Sie unter "Optionen" die Option "Manuell" aus.
11. Geben Sie einen Richtliniennamen für den Richtlinienschlüssel ein. Beispiel: BlokSecAppSecret. Das Präfix B2C_1A_ wird dem Schlüsselnamen hinzugefügt.
12. Geben Sie unter Secret den geheimen Clientschlüssel ein, den Sie sich notiert haben.
13. Wählen Sie für die Schlüsselverwendung"Signatur" aus.
14. Wählen Sie "Erstellen" aus.

Konfigurieren von BlokSec als Identitätsanbieter

Damit sich Benutzer mit der dezentralen BlokSec-Identität anmelden können, definieren Sie BlokSec als Anspruchsanbieter. Diese Aktion stellt sicher, dass Azure AD B2C über einen Endpunkt mit Azure AD kommuniziert. Azure AD B2C verwendet Endpunktansprüche, um zu überprüfen, ob Benutzer die Identität mithilfe von Biometrie authentifizieren, z. B. Fingerabdruck oder Gesichtsscan.

Um BlokSec als Anspruchsanbieter zu definieren, fügen Sie ihn dem ClaimsProvider-Element in der Richtlinienerweiterungsdatei hinzu.

1. Öffnen Sie die Datei TrustFrameworkExtensions.xml.

2. Suchen Sie das ClaimsProviders-Element . Wenn das Element nicht angezeigt wird, fügen Sie es unter dem Stammelement hinzu.

3. So fügen Sie einen neuen ClaimsProvider hinzu:

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Legen Sie client_id auf die Anwendungs-ID aus der Anwendungsregistrierung fest.

5. Wählen Sie Speichern aus.

Hinzufügen einer Benutzerreise

Verwenden Sie die folgenden Anleitungen, wenn der Identitätsanbieter eingerichtet ist, aber nicht auf einer Anmeldeseite. Wenn Sie keine benutzerdefinierte Benutzerreise haben, kopieren Sie eine Benutzerreise mit Vorlagen.

1. Öffnen Sie die TrustFrameworkBase.xml Datei aus dem Startpaket.
2. Suchen und kopieren Sie den Inhalt des UserJourneys-Elements , das ID=SignUpOrSignIn enthält.
3. Öffnen Sie die Datei TrustFrameworkExtensions.xml.
4. Suchen Sie das UserJourneys-Element . Wenn das Element nicht angezeigt wird, fügen Sie eins hinzu.
5. Fügen Sie den Inhalt des UserJourney-Elements , das Sie kopiert haben, als untergeordnetes Element des UserJourneys-Elements ein.
6. Benennen Sie die Benutzerreise-ID um. Beispiel: ID=CustomSignUpSignIn.

Fügen Sie den Identitätsanbieter zu einem Benutzerablauf hinzu

Wenn Sie über eine User Journey verfügen, fügen Sie ihr den neuen Identitätsanbieter hinzu. Fügen Sie zuerst eine Anmeldeschaltfläche hinzu, und verknüpfen Sie sie dann mit einer Aktion, bei der es sich um das von Ihnen erstellte technische Profil handelt.

1. Suchen Sie in der User Journey das Orchestrierungsschrittelement, das Type=CombinedSignInAndSignUp oder Type=ClaimsProviderSelection enthält. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste von Identitätsanbietern für die Benutzeranmeldung. Die Reihenfolge der Elemente steuert die Reihenfolge der Anmeldeschaltflächen, die der Benutzer sieht.
2. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu.
3. Legen Sie den Wert von TargetClaimsExchangeId auf einen benutzerfreundlichen Namen fest.
4. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu.
5. Legen Sie die ID auf den Wert der Zielanspruchsaustausch-ID fest.
6. Aktualisieren Sie den Wert von TechnicalProfileReferenceId auf die ID des von Ihnen erstellten technischen Profils.

Der folgende XML-Code veranschaulicht die ersten beiden Schritte der User-Journey-Orchestrierung mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie der vertrauenden Seite, z. B. SignUpSignIn.xml, spezifiziert den Benutzerweg, den Azure AD B2C durchführt.

1. Suchen Sie in „Vertrauende Seite“ das Element DefaultUserJourney.
2. Aktualisieren Sie die ReferenceId so, dass sie mit der Benutzerreise-ID übereinstimmt, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel ist die ReferenceId für die CustomSignUpOrSignIn User Journey auf CustomSignUpOrSignInfestgelegt.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit Ihrem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Portalsymbolleiste die Verzeichnisse + Abonnements aus.
3. Suchen Sie auf der Seite Portaleinstellungen auf der Seite Verzeichnisse + Abonnements in der Liste Verzeichnisname nach Ihrem Azure AD B2C-Verzeichnis
4. Wählen Sie Wechseln aus.
5. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
6. Wählen Sie unter "Richtlinien" die Option "Identity Experience Framework" aus.
7. Wählen Sie "Benutzerdefinierte Richtlinie hochladen" aus.
8. Laden Sie die beiden Richtliniendateien hoch, die Sie in der folgenden Reihenfolge geändert haben:

• Erweiterungsrichtlinie, z. B. TrustFrameworkExtensions.xml
• Richtlinie für die vertrauende Seite z. B. SignUpSignIn.xml

Testen der benutzerdefinierten Richtlinie

1. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
2. Wählen Sie für "Anwendung" eine webanwendung aus, die Sie registriert haben.
3. Die Antwort-URL wird als https://jwt.msangezeigt.
4. Wählen Sie Jetzt ausführen aus.
5. Wählen Sie auf der Anmelde- oder Anmeldeseite Google aus, um sich mit dem Google-Konto anzumelden.
6. Der Browser wird umgeleitet zu https://jwt.ms. Sehen Sie sich die tokeninhalte an, die von Azure AD B2C zurückgegeben werden.

Weitere Informationen: Tutorial: Registrieren einer Webanwendung in Azure Active Directory B2C

Nächste Schritte

• Übersicht über benutzerdefinierte Azure AD B2C-Richtlinien
• Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure AD B2C