Tutorial: Configuración de Azure Active Directory B2C con Datawiza para proporcionar acceso híbrido seguro

En este tutorial, aprenderá a integrar Azure Active Directory B2C (Azure AD B2C) con Datawiza Access Proxy (DAP), que permite el inicio de sesión único (SSO) y el control de acceso granular, lo que ayuda a Azure AD B2C a proteger las aplicaciones heredadas locales. Con esta solución, las empresas pueden realizar la transición de Azure AD B2C heredado a Azure AD B2C sin tener que reescribir las aplicaciones.

Prerrequisitos

Para empezar, necesitará lo siguiente:

• Una suscripción a Microsoft Entra
  • Si no tiene una, puede obtener una cuenta gratuita de Azure.
• Un inquilino de Azure AD B2C vinculado a su suscripción de Azure
• Docker, una plataforma abierta para desarrollar, enviar y ejecutar aplicaciones, es necesaria para ejecutar DAB
  • Las aplicaciones se pueden ejecutar en cualquier plataforma, como máquinas virtuales y equipos sin sistema operativo
• Una aplicación local para realizar la transición de un sistema de identidad heredado a Azure AD B2C
  • En este tutorial, DAB se implementa en el mismo servidor que la aplicación
  • La aplicación se ejecuta en localhost: 3001 y DAP redirige el tráfico a las aplicaciones a través de localhost: 9772
  • El tráfico de la aplicación llega primero a DAB y, a continuación, se dirige mediante proxy a la aplicación

Descripción del escenario

La integración de Datawiza incluye los componentes siguientes:

• Azure AD B2C: el servidor de autorización para comprobar las credenciales de usuario
  • Los usuarios autenticados acceden a las aplicaciones locales mediante una cuenta local almacenada en el directorio de Azure AD B2C
• Datawiza Access Proxy (DAP): El servicio que pasa la identidad a las aplicaciones a través de encabezados HTTP
• Datawiza Cloud Management Console (DCMC): Una consola de administración para DAB. La interfaz de usuario de DCMC y las API RESTful ayudan a administrar las configuraciones de DAB y las políticas de control de acceso

En el diagrama de arquitectura siguiente se muestra la implementación.

1. El usuario solicita acceso a una aplicación local. DAB redirige la solicitud a la aplicación.
2. DAP comprueba el estado de autenticación del usuario. Sin ningún token de sesión o con un token no válido, el usuario va a Azure AD B2C para la autenticación.
3. Azure AD B2C envía la solicitud de usuario al punto de conexión especificado durante el registro de DAP en el inquilino de Azure AD B2C.
4. El DAP evalúa las políticas de acceso y calcula los valores de atributo en los encabezados HTTP reenviados a la aplicación. DAP podría llamar al proveedor de identidades (IdP) con el fin de recuperar información para establecer los valores de encabezado. El DAP establece los valores de encabezado y envía la solicitud a la aplicación.
5. El usuario se autentica con acceso a la aplicación.

A bordo con Datawiza

Para integrar la aplicación local heredada con Azure AD B2C, póngase en contacto con Datawiza.

Configuración del inquilino de Azure AD B2C

Ir a docs.datawiza.com para:

1. Obtenga información sobre cómo registrar su aplicación web en un inquilino de Azure AD B2C y configurar un flujo de usuario de registro e inicio de sesión. Para obtener más información, consulte Azure AD B2C.

2. Configure un flujo de usuario en Azure Portal.

Crear una aplicación en DCMC

1. En DCMC, cree una aplicación y genere un par de claves de PROVISIONING_KEY y PROVISIONING_SECRET para esta aplicación. Consulte Consola de administración de Datawiza Cloud.

2. Configurar IdP con Azure AD B2C. Consulte la parte I: Configuración de Azure AD B2C.

   

Ejecución de DAB con una aplicación basada en encabezados

Puede usar Docker o Kubernetes para ejecutar DAP. Use la imagen de Docker para que los usuarios creen una aplicación basada en encabezados de ejemplo.

Más información: Para configurar la integración de DAP y SSO, consulte Implementación de Datawiza Access Proxy con su aplicación

Se proporciona una imagen docker-compose.yml file de Docker de ejemplo. Inicie sesión en el registro de contenedores para descargar las imágenes de DAP y la aplicación basada en encabezados.

1. Implemente el proxy de acceso de Datawiza con su aplicación.

   version: '3'
   
   services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
     - "9772:9772"
   environment:
     PROVISIONING_KEY: #############################
     PROVISIONING_SECRET: #############################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   container_name: ab-demo-header-app
   restart: always
   environment:
     CONNECTOR: B2C
   ports:
     - "3001:3001"
   

2. La aplicación basada en encabezados tiene SSO habilitado con Azure AD B2C.

3. Abra un navegador e introduzca http://localhost:9772/.

4. Aparece una página de inicio de sesión de Azure AD B2C.

Pasar atributos de usuario a la aplicación basada en encabezados

DAB obtiene los atributos de usuario del IdP y los pasa a la aplicación a través de encabezados o cookies. Después de configurar los atributos de usuario, aparece el signo de verificación verde para los atributos de usuario.

Más información: Pase atributos de usuario como la dirección de correo electrónico, el nombre y el apellido a la aplicación basada en encabezados.

Prueba del flujo

1. Vaya a la dirección URL de la aplicación local.
2. El DAP redirige a la página que configuró en el flujo de usuario.
3. Seleccione el IdP en la lista.
4. Cuando se le solicite, introduzca sus credenciales. Si es necesario, incluya un token de autenticación multifactor de Microsoft Entra.
5. Se le redirige a Azure AD B2C, que reenvía la solicitud de aplicación al URI de redireccionamiento de DAP.
6. El DAB evalúa las políticas, calcula los encabezados y envía al usuario a la aplicación superior.
7. Aparece la aplicación solicitada.

Pasos siguientes

• Directivas personalizadas de Azure AD B2C
• Introducción a las directivas personalizadas en Azure AD B2C