Tutoriel : Configurer Azure Active Directory B2C avec BlokSec pour l’authentification sans mot de passe

Avant de commencer

Azure Active Directory B2C a deux méthodes pour définir des interactions utilisateur avec des applications : flux utilisateur prédéfinis ou stratégies personnalisées configurables.

Azure AD B2C et BlokSec

Découvrez comment intégrer l’authentification Azure Active Directory B2C (Azure AD B2C) à BlokSec Decentralized Identity Router. La solution BlokSec simplifie la connexion utilisateur avec l’authentification sans mot de passe et l’authentification multifacteur sans jeton. La solution protège les clients contre les attaques liées à l’identité, telles que le chargement de mot de passe, le hameçonnage et le man-in-the-middle.

Pour en savoir plus, accédez à bloksec.com : BlokSec Technologies Inc.

Description du scénario

L’intégration de BlokSec inclut les composants suivants :

• Azure AD B2C : serveur d’autorisation et fournisseur d’identité (IdP) pour les applications B2C
• Routeur d’identité décentralisée BlokSec : passerelle pour les services qui appliquent BlokSec DIaaS pour acheminer les demandes d’authentification et d’autorisation vers les applications PIdP (User Personal Identity Provider)
  • Il s’agit d’un fournisseur d’identité OpenID Connect (OIDC) dans Azure AD B2C
• Application mobile basée sur le Kit de développement logiciel (SDK) BlokSec : PIdP utilisateur dans le scénario d’authentification décentralisée.
  • Si vous n’utilisez pas le Kit de développement logiciel (SDK) BlokSec, accédez à Google Play pour le yuID BlokSec gratuit

Le diagramme d’architecture suivant illustre le flux d’inscription et de connexion dans l’implémentation de la solution BlokSec.

1. L’utilisateur se connecte à une application Azure AD B2C et est transféré à la stratégie de connexion et d’inscription Azure AD B2C
2. Azure AD B2C redirige l’utilisateur vers le routeur d’identité décentralisée BlokSec à l’aide du flux de code d’autorisation OIDC.
3. Le routeur BlokSec envoie une notification Push à l’application mobile utilisateur avec les détails de la demande d’authentification et d’autorisation.
4. L’utilisateur examine le défi d’authentification. Un utilisateur accepté est invité à entrer des données biométrie telles que l’empreinte digitale ou l’analyse faciale.
5. La réponse est signée numériquement avec la clé numérique unique de l’utilisateur. La réponse d’authentification fournit une preuve de possession, de présence et de consentement. La réponse est retournée au routeur.
6. Le routeur vérifie la signature numérique par rapport à la clé publique unique immuable de l’utilisateur stockée dans un registre distribué. Le routeur répond à Azure AD B2C avec le résultat de l’authentification.
7. L’utilisateur reçoit ou refuse l’accès.

Activer BlokSec

1. Accédez à bloksec.com et sélectionnez Demander une démonstration.
2. Dans le champ de message, indiquez que vous souhaitez l’intégrer à Azure AD B2C.
3. Téléchargez et installez l’application mobile BlokSec yuID gratuite.
4. Une fois le locataire de démonstration préparé, un e-mail arrive.
5. Sur l’appareil mobile avec l’application BlokSec, sélectionnez le lien pour inscrire votre compte d’administrateur auprès de votre application yuID.

Conditions préalables

Pour commencer, vous avez besoin des éléments suivants :

• Un abonnement Azure
  • Si vous n’en avez pas, obtenez un compte Azfree
• Un locataire Azure AD B2C associé à l’abonnement Azure
• Une démo de BlokSec
• Inscrire une application web
  • Tutoriel : Inscrire une application web dans Azure AD B2C

Voir aussi , Tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure AD B2C

Créer une inscription d’application dans BlokSec

Dans l’e-mail d’inscription de compte à partir de BlokSec, recherchez le lien vers la console d’administration BlokSec.

1. Connectez-vous à la console d’administration BlokSec.
2. Dans le tableau de bord principal, sélectionnez Ajouter une application > créer personnalisée.
3. Pour Nom, entrez Azure AD B2C ou un nom d’application.
4. Pour le type SSO, sélectionnez OIDC.
5. Pour l’URI du logo, entrez un lien vers l’image du logo.
6. Pour les URI de redirection, utilisez https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Par exemple : https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Pour un domaine personnalisé, entrez https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
7. Pour URI de redirection de la déconnexion après la déconnexion, entrez https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout.
8. Sélectionnez l’application Azure AD B2C créée pour ouvrir la configuration de l’application.
9. Sélectionnez Générer un secret d’application.

En savoir plus : Envoyer une demande de déconnexion.

Ajouter un nouveau fournisseur d’identité dans Azure AD B2C

Pour les instructions suivantes, utilisez le répertoire qui contient votre client Azure AD B2C.

1. Connectez-vous au portail Azure en tant qu’administrateur de stratégie IEF B2C au moins de votre locataire Azure AD B2C.
2. Dans la barre d’outils du portail, sélectionnez Répertoires + abonnements.
3. Dans les paramètres du portail, les répertoires + la page abonnements , dans la liste des noms d’annuaire , recherchez votre répertoire Azure AD B2C.
4. Sélectionnez Changer.
5. Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services.
6. Recherchez et sélectionnez Azure AD B2C.
7. Accédez au tableau de bord> desfournisseurs d’identité>.
8. Sélectionnez Nouveau fournisseur OpenID Connect.
9. Sélectionnez Ajouter.

Configurer un fournisseur d’identité

1. Sélectionner le type > de fournisseur d’identité OpenID Connect
2. Pour Name, entrez BlokSec yuID Passwordless ou un autre nom.
3. Pour l’URL des métadonnées, entrez https://api.bloksec.io/oidc/.well-known/openid-configuration.
4. Pour Client IDV, entrez l'ID d'application à partir de l'interface utilisateur de l'administrateur BlokSec.
5. Pour la clé secrète client, entrez le secret d’application depuis l’interface d'administration BlokSec.
6. Pour Étendue, sélectionnez Profil de messagerie OpenID.
7. Pour le type de réponse, sélectionnez Code.
8. Pour l’indicateur de domaine, sélectionnez yuID.
9. Cliquez sur OK.
10. Sélectionnez Mapper les revendications de ce fournisseur d’identité.
11. Pour l’ID d’utilisateur, sélectionnez sub.
12. Pour nom d'affichage, sélectionnez nom.
13. Pour le nom donné, utilisez given_name.
14. Pour le nom de famille, utilisez family_name.
15. Pour Email, utilisez email.
16. Cliquez sur Enregistrer.

Enregistrement des utilisateurs

1. Connectez-vous à la console d’administration BlokSec avec les informations d’identification fournies.
2. Accédez à l’application Azure AD B2C créée précédemment.
3. En haut à droite, sélectionnez l’icône d’engrenage .
4. Sélectionnez Créer un compte.
5. Dans Créer un compte, entrez les informations utilisateur. Notez le nom du compte.
6. Sélectionnez Envoyer.

L’utilisateur reçoit un e-mail d’inscription de compte à l’adresse e-mail fournie. Demandez à l’utilisateur de sélectionner le lien d’inscription sur l’appareil mobile avec l’application BlokSec yuID.

Créer une stratégie de flux utilisateur

Pour obtenir les instructions suivantes, vérifiez que BlokSec est un nouveau fournisseur d’identité OIDC (IdP).

1. Dans votre locataire Azure AD B2C, sous Stratégies, sélectionnez Flux d’utilisateurs.
2. Sélectionnez Nouveau flux d’utilisateurs.
3. Sélectionnez S’inscrire et se connecter>Version>Créer.
4. Entrez un nom de stratégie.
5. Dans la section fournisseurs d’identité, sélectionnez le fournisseur d’identité BlokSec créé.
6. Pour compte local, sélectionnez Aucun. Cette action désactive l’authentification par e-mail et par mot de passe.
7. Sélectionner Exécuter le flux utilisateur
8. Dans le formulaire, entrez l’URL de réponse, telle que https://jwt.ms.
9. Le navigateur est redirigé vers la page de connexion BlokSec.
10. Entrez le nom du compte indiqué lors de l'inscription de l'utilisateur.
11. L’utilisateur reçoit une notification Push sur l’appareil mobile avec l’application BlokSec yuID.
12. L’utilisateur ouvre la notification et le défi d’authentification s’affiche.
13. Si l’authentification est acceptée, le navigateur redirige l’utilisateur vers l’URL de réponse.

Créer une clé de stratégie

Stockez le secret client que vous avez noté dans votre instance Azure AD B2C. Pour les instructions suivantes, utilisez le répertoire avec votre instance Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Dans la barre d’outils du portail, sélectionnez Répertoires + abonnements.
3. Dans les paramètres du portail, les répertoires + la page abonnements , dans la liste des noms d’annuaire , recherchez votre répertoire Azure AD B2C.
4. Sélectionnez Changer.
5. Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services
6. Recherchez et sélectionnez Azure AD B2C.
7. Dans la page Vue d’ensemble , sélectionnez Identity Experience Framework.
8. Sélectionnez Clés de stratégie.
9. Sélectionnez Ajouter.
10. Pour options, choisissez Manuel.
11. Entrez un nom de stratégie pour la clé de stratégie. Par exemple : BlokSecAppSecret. Le préfixe B2C_1A_ est ajouté au nom de la clé.
12. Dans Secret, entrez la clé secrète client que vous avez notée.
13. Pour l’utilisation de la clé, sélectionnez Signature.
14. Cliquez sur Créer.

Configurer BlokSec en tant que fournisseur d’identité

Pour permettre aux utilisateurs de se connecter à l’aide de l’identité décentralisée BlokSec, définissez BlokSec comme fournisseur de revendications. Cette action garantit qu’Azure AD B2C communique avec lui via un point de terminaison. Azure AD B2C utilise des assertions de point d'accès pour vérifier que les utilisateurs authentifient leur identité à l'aide de données biométriques, tels que l’empreinte digitale ou l’analyse faciale.

Pour définir BlokSec en tant que fournisseur de revendications, ajoutez-le à l’élément ClaimsProvider dans le fichier d’extension de stratégie.

1. Ouvrez le fichier TrustFrameworkExtensions.xml.

2. Recherchez l’élément ClaimsProviders . Si l’élément n’apparaît pas, ajoutez-le sous l’élément racine.

3. Pour ajouter un nouveau ClaimsProvider :

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Attribuez au client_id l'ID de l'application issu de l'inscription de l'application.

5. Cliquez sur Enregistrer.

Ajouter un parcours utilisateur

Utilisez les instructions suivantes si le fournisseur d’identité est configuré, mais qu’il n’apparaît pas dans les pages de connexion. Si vous n’avez pas de parcours utilisateur personnalisé, copiez un modèle de parcours utilisateur.

1. À partir du pack de démarrage, ouvrez le TrustFrameworkBase.xml fichier.
2. Recherchez et copiez le contenu de l’élément UserJourneys qui inclut ID=SignUpOrSignIn.
3. Ouvrez le fichier TrustFrameworkExtensions.xml.
4. Recherchez l’élément UserJourneys . Si l’élément n’apparaît pas, ajoutez-en un.
5. Collez le contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys .
6. Renommez l’ID de parcours utilisateur. Par exemple, ID=CustomSignUpSignIn.

Ajouter le fournisseur d’identité à un parcours utilisateur

Si vous avez un parcours utilisateur, ajoutez-y le nouveau fournisseur d’identité. Tout d’abord, ajoutez un bouton de connexion, puis liez-le à une action, qui est le profil technique que vous avez créé.

1. Dans le parcours utilisateur, recherchez l’élément d’étape d’orchestration qui inclut Type=CombinedSignInAndSignUpou Type=ClaimsProviderSelection. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité pour la connexion utilisateur. L’ordre des éléments contrôle l’ordre des boutons de connexion que l’utilisateur voit.
2. Ajoutez un élément XML ClaimsProviderSelection .
3. Définissez la valeur de TargetClaimsExchangeId sur un nom convivial.
4. À l’étape d’orchestration suivante, ajoutez un élément ClaimsExchange .
5. Définissez l’ID sur la valeur de l’ID cible d’échange des revendications.
6. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé.

Le code XML suivant illustre les deux premières étapes d’orchestration de parcours utilisateur avec le fournisseur d’identité :

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurer la stratégie de partie de confiance

La stratégie de la partie de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur exécuté par Azure AD B2C.

1. Recherchez l’élément DefaultUserJourney dans le tiers de confiance.
2. Mettez à jour le ReferenceId pour qu'il corresponde à l'identifiant du parcours utilisateur dans lequel vous avez ajouté le fournisseur d'identité.

Dans l'exemple suivant, pour le parcours utilisateur CustomSignUpOrSignIn, le ReferenceId est défini sur CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Charger la politique personnalisée

Pour les instructions suivantes, utilisez le répertoire avec votre instance Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Dans la barre d’outils du portail, sélectionnez les répertoires + abonnements.
3. Dans les paramètres du portail, répertoires + abonnements, dans la liste du nom d’annuaire, recherchez votre annuaire Azure AD B2C
4. Sélectionnez Changer.
5. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
6. Sous Stratégies, sélectionnez Identity Experience Framework.
7. Sélectionnez Charger une stratégie personnalisée.
8. Chargez les deux fichiers de stratégie que vous avez modifiés dans l’ordre suivant :

• Stratégie d’extension, par exemple TrustFrameworkExtensions.xml
• Stratégie de la partie de confiance, comme SignUpSignIn.xml

Tester la stratégie personnalisée

1. Sélectionnez votre stratégie de partie de confiance, par exemple B2C_1A_signup_signin.
2. Pour l’application, sélectionnez une application web que vous avez inscrite.
3. L’URL de réponse s’affiche sous la forme https://jwt.ms.
4. Sélectionnez Exécuter maintenant.
5. Dans la page d’inscription ou de connexion, sélectionnez Google pour vous connecter avec un compte Google.
6. Le navigateur est redirigé vers https://jwt.ms. Consultez le contenu du jeton retourné par Azure AD B2C.

En savoir plus : Tutoriel : Inscrire une application web dans Azure Active Directory B2C

Étapes suivantes

• Vue d’ensemble de la stratégie personnalisée Azure AD B2C
• Tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure AD B2C