Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Les bonnes pratiques et recommandations suivantes couvrent certains des principaux aspects de l’intégration d’Azure Active Directory (Azure AD) B2C dans des environnements d’application existants ou nouveaux.
Notions de base
| Meilleure pratique | Descriptif |
|---|---|
| Créer un compte d’accès d’urgence | Ce compte d’accès d’urgence vous permet d’accéder à votre locataire Azure AD B2C dans des circonstances telles que quand le seul administrateur est injoignable et que les informations d’identification sont nécessaires. Découvrez comment créer un compte d’accès d’urgence |
| Choisir des flux utilisateur pour la plupart des scénarios | Identity Experience Framework d’Azure AD B2C est la force principale du service. Les stratégies décrivent entièrement les expériences d’identité telles que l’inscription, la connexion ou la modification de profil. Pour vous aider à configurer les tâches d’identité les plus courantes, le portail Azure AD B2C inclut des stratégies prédéfinies et configurables appelées flux d’utilisateurs. Avec les flux utilisateur, vous pouvez créer de grandes expériences utilisateur en quelques minutes, en quelques clics seulement. Découvrez quand utiliser des flux utilisateur et des stratégies personnalisées. |
| Inscriptions des applications | Chaque application (web, native) et API sécurisée doit être inscrite dans Azure AD B2C. Si une application a une version web et native d’iOS et Android, vous pouvez les inscrire en tant qu’application dans Azure AD B2C avec le même ID client. Découvrez comment inscrire OIDC, SAML, web et applications natives. En savoir plus sur les types d’applications qui peuvent être utilisés dans Azure AD B2C. |
| Passer à la facturation mensuelle des utilisateurs actifs | Azure AD B2C est passé de la facturation basée sur les authentifications mensuelles actives à celle fondée sur les utilisateurs actifs mensuels (MAU). La plupart des clients trouveront ce modèle rentable. En savoir plus sur la facturation mensuelle des utilisateurs actifs. |
| Suivez les bonnes pratiques de sécurité | Il existe des menaces et des attaques continues et évolutives, et comme toutes les ressources, votre déploiement Azure AD B2C doit suivre les meilleures pratiques en matière de sécurité, y compris des conseils sur l’implémentation de WAFs (défense contre des menaces comme les attaques DDOS et les bots) et d’autres stratégies de défense en profondeur l’architecture de sécurité B2C. |
Planification et conception
Définissez votre architecture d’application et de service, stockez les systèmes actuels et planifiez votre migration vers Azure AD B2C.
| Meilleure pratique | Descriptif |
|---|---|
| Concevoir une solution de bout en bout | Incluez toutes les dépendances de vos applications lors de la planification d’une intégration Azure AD B2C. Considérez tous les services et produits qui se trouvent actuellement dans votre environnement ou qui doivent être ajoutés à la solution (par exemple, Azure Functions, systèmes de gestion des relations client (CRM), passerelle Gestion des API Azure et services de stockage). Prenez en compte la sécurité et l’extensibilité de tous les services. |
| Documenter les expériences de vos utilisateurs | Détaillez tous les parcours utilisateur que vos clients peuvent rencontrer dans votre application. Incluez chaque écran et tous les flux de branchement qu’ils peuvent rencontrer lors de l’interaction avec les aspects d’identité et de profil de votre application. Incluez la facilité d’utilisation, l’accessibilité et la localisation dans votre planification. |
| Choisir le protocole d’authentification approprié | Pour obtenir une répartition des différents scénarios d’application et de leurs flux d’authentification recommandés, consultez Scénarios et flux d’authentification pris en charge. |
| Piloter une expérience utilisateur de bout en bout de type preuve de concept (POC) | Commencez par nos exemples de code Microsoft et nos exemples de communauté. |
| Créer un plan de migration | La planification à l’avance peut rendre la migration plus fluide. En savoir plus sur la migration des utilisateurs. |
| Facilité d’utilisation et sécurité | Votre solution doit trouver le bon équilibre entre la facilité d’utilisation de l’application et le niveau de risque acceptable de votre organisation. |
| Déplacer des dépendances locales vers le cloud | Pour garantir une solution résiliente, envisagez de déplacer les dépendances d’application existantes vers le cloud. |
| Migrer des applications existantes vers b2clogin.com | La mise en obsolescence de login.microsoftonline.com sera appliquée à tous les clients Azure AD B2C le 4 décembre 2020. En savoir plus. |
| Utiliser Identity Protection et l’accès conditionnel | Utilisez ces fonctionnalités pour mieux contrôler les authentifications et stratégies d’accès risquées. Azure AD B2C Premium P2 est requis. En savoir plus. |
| Taille du locataire | Lorsque vous planifiez, gardez à l'esprit la taille du client Azure AD B2C. Par défaut, le locataire Azure AD B2C peut prendre en charge 1,25 million d’objets (comptes d’utilisateur et applications). Vous pouvez augmenter cette limite à 5,25 millions d’objets en ajoutant un domaine personnalisé à votre locataire et en le vérifiant. Si vous avez besoin d’une plus grande taille de locataire, vous devez contacter le Support. |
Implémentation
Pendant la phase d’implémentation, tenez compte des recommandations suivantes.
| Meilleure pratique | Descriptif |
|---|---|
| Modifier des stratégies personnalisées avec l’extension Azure AD B2C pour Visual Studio Code | Téléchargez Visual Studio Code et cette extension intégrée à la communauté à partir de Visual Studio Code Marketplace. Bien qu’elle ne soit pas un produit Microsoft officiel, l’extension Azure AD B2C pour Visual Studio Code inclut plusieurs fonctionnalités qui facilitent l’utilisation des stratégies personnalisées. |
| Découvrez comment résoudre les problèmes liés à Azure AD B2C | Découvrez comment résoudre les problèmes de stratégies personnalisées pendant le développement. Découvrez à quoi ressemble un flux d’authentification normal et utilisez des outils pour détecter des anomalies et des erreurs. Par exemple, utilisez Application Insights pour passer en revue les journaux de sortie des parcours utilisateur. |
| Tirer parti de notre bibliothèque de modèles de stratégie personnalisés éprouvés | Trouvez des exemples pour des parcours utilisateur optimisés pour la gestion des identités et des accès client Azure AD B2C (CIAM). |
Essai
Testez et automatisez votre implémentation Azure AD B2C.
| Meilleure pratique | Descriptif |
|---|---|
| Tenir compte du trafic mondial | Utilisez des sources de trafic provenant de différentes adresses globales pour tester les exigences de performances et de localisation. Assurez-vous que toutes les bibliothèques HTML, CSS et dépendances peuvent répondre à vos besoins en matière de performances. |
| Tests fonctionnels et d’interface utilisateur | Testez les flux utilisateur de bout en bout. Ajoutez des tests synthétiques toutes les quelques minutes à l’aide de Selenium, VS Web Test, etc. |
| Test d’intrusion | Avant d’utiliser votre solution, effectuez des exercices de test d’intrusion pour vérifier que tous les composants sont sécurisés, y compris les dépendances tierces. Vérifiez que vous avez sécurisé vos API avec des jetons d’accès et utilisé le protocole d’authentification approprié pour votre scénario d’application. En savoir plus sur les tests d’intrusion et les Règles d'Engagement Unifiées des Tests d'Intrusion du Microsoft Cloud. |
| Test A/B | Testez vos nouvelles fonctionnalités avec un petit échantillon aléatoire d’utilisateurs avant de les déployer auprès de tous vos utilisateurs. Avec JavaScript activé dans Azure AD B2C, vous pouvez l’intégrer à des outils de test A/B tels que Optimizely, Clarity et d’autres. |
| Test de charge | Azure AD B2C peut être mis à l’échelle, mais votre application ne peut être mise à l’échelle que si toutes ses dépendances peuvent être mises à l’échelle. Nous vous recommandons de tester votre stratégie en mode production, c'est-à-dire de définir l'attribut DeploymentMode dans l'élément <TrustFrameworkPolicy> de votre fichier de stratégie personnalisée à Production. Ce paramètre garantit que vos performances pendant le test correspondent aux performances du niveau de production. Testez la charge de vos API et CDN. En savoir plus sur la résilience par le biais des meilleures pratiques pour les développeurs. |
| Limitation | Azure AD B2C limite le trafic si trop de requêtes sont envoyées à partir de la même source pendant une courte période. Utilisez plusieurs sources de trafic lors du test de charge et gérez le AADB2C90229 code d’erreur correctement dans vos applications. |
| Automatisation | Utilisez des pipelines d’intégration et de livraison continue (CI/CD) pour automatiser les tests et les déploiements, par exemple Azure DevOps. |
Opérations
Gérez votre environnement Azure AD B2C.
| Meilleure pratique | Descriptif |
|---|---|
| Créer plusieurs environnements | Pour faciliter les opérations et le déploiement, créez des environnements distincts pour le développement, le test, la préproduction et la production. Créez des locataires Azure AD B2C pour chacun d’eux. |
| Utiliser le contrôle de version pour vos stratégies personnalisées | Envisagez d’utiliser GitHub, Azure Repos ou un autre système de contrôle de version basé sur le cloud pour vos stratégies personnalisées Azure AD B2C. |
| Utiliser l’API Microsoft Graph pour automatiser la gestion de vos locataires B2C | API Microsoft Graph : Gérer Identity Experience Framework (stratégies personnalisées) clés Flux d’utilisateurs |
| Intégrer à Azure DevOps | Un pipeline CI/CD facilite le déplacement du code entre différents environnements et garantit toujours la préparation de la production. |
| Déployer une stratégie personnalisée | Azure AD B2C s’appuie sur la mise en cache pour fournir des performances à vos utilisateurs finaux. Lorsque vous déployez une stratégie personnalisée à l’aide de n’importe quelle méthode, attendez-vous à un délai allant jusqu’à 30 minutes pour que vos utilisateurs voient les modifications. En conséquence de ce comportement, tenez compte des pratiques suivantes lorsque vous déployez vos stratégies personnalisées : - Si vous déployez dans un environnement de développement, définissez l’attribut DeploymentMode dans l’élément <TrustFrameworkPolicy> de votre fichier de stratégie personnalisé sur Production. - Déployez vos fichiers de stratégie mis à jour dans un environnement de production lorsque le trafic dans votre application est faible. - Lorsque vous déployez sur un environnement de production pour mettre à jour les fichiers de stratégie existants, chargez les fichiers mis à jour avec de nouveaux noms, qui agissent comme de nouvelles versions des stratégies. Ensuite, mettez à jour les références de votre application aux nouveaux noms/versions. Vous pouvez supprimer les fichiers de l’ancienne stratégie par la suite ou les conserver en tant que dernière configuration connue pour faciliter la restauration. - Si vous devez effectuer un déploiement dans un environnement de production pour mettre à jour les fichiers de stratégie existants sans contrôle de version, rendez la nouvelle stratégie rétrocompatible avec l’ancienne stratégie en suivant certaines règles simples. Si vous devez modifier un profil technique, une revendication ou subJourney, créez une nouvelle version de celui-ci, publiez la stratégie et attendez 30 minutes que les caches Azure AD B2C récupèrent la nouvelle version. Ensuite, dans une mise à jour ultérieure, apportez des modifications pour utiliser la nouvelle version et effectuez une autre mise à jour de stratégie. Attendez 30 minutes supplémentaires, puis vous pouvez supprimer l’ancienne version des éléments si nécessaire. Vérifiez que toute votre logique métier se trouve à l’intérieur de SubJourneys. - Vous pouvez définir le DeploymentMode sur Development dans un environnement de production pour ignorer le comportement de mise en cache. Toutefois, nous ne recommandons pas cette pratique. Si vous collectez des journaux Azure AD B2C avec Application Insights, toutes les revendications envoyées à destination et en provenance de fournisseurs d’identité sont collectées, ce qui représente un risque pour la sécurité et les performances. |
| Déployer des mises à jour d’inscription d’application | Lorsque vous modifiez l’inscription de votre application dans votre locataire Azure AD B2C, par exemple la mise à jour de l’URI de redirection de l’application, attendez-vous à un délai allant jusqu’à 2 heures (7200) pour que les modifications prennent effet dans l’environnement de production. Nous vous recommandons de modifier l’inscription de votre application dans votre environnement de production lorsque le trafic dans votre application est faible. |
| Intégrer à Azure Monitor | Les événements du journal d’audit ne sont conservés que pendant sept jours. Intégrez Azure Monitor pour conserver les journaux d’activité pour une utilisation à long terme, ou intégrez-les à des outils SIEM (Security Information and Event Management) tiers pour obtenir des insights sur votre environnement. |
| Configurer les alertes et la surveillance actives | Suivez le comportement de l’utilisateur dans Azure AD B2C à l’aide d’Application Insights. |
Support et mises à jour de l’état
Restez à jour avec l’état du service et recherchez les options de support.
| Meilleure pratique | Descriptif |
|---|---|
| Mises à jour de service | Restez à jour avec les mises à jour et annonces du produit Azure AD B2C. |
| Support Microsoft | Déposez une demande de support pour les problèmes techniques Azure AD B2C. La gestion de la facturation et des abonnements est fournie gratuitement. |
| Statut Azure | Affichez l’état d’intégrité actuel de tous les services Azure. |