Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Découvrez comment configurer Azure Active Directory B2C (Azure AD B2C) avec la solution sans mot de passe sans clé. Avec Azure AD B2C en tant que fournisseur d’identité (IdP), intégrez Keyless aux applications client pour fournir une authentification sans mot de passe. L’authentification multifacteur sans mot de passe Zero-Knowledge Biométrique (ZKB) permet d’éliminer les fraudes, le hameçonnage et la réutilisation des informations d’identification, tout en améliorant l’expérience client et en protégeant la confidentialité.
Rendez-vous sur keyless.io pour en savoir plus sur :
- Keyless
- Comment Keyless utilise des preuves à connaissance zéro pour protéger vos données biométriques
Conditions préalables
Avant de commencer, vérifiez que vous disposez des éléments suivants :
- Un abonnement Azure
- Si vous n’en avez pas, obtenez un compte gratuit Azure
- Un client Azure AD B2C lié à l’abonnement Azure
- Un locataire cloud sans clé
- Rendez-vous sur keyless.io pour demander une démo
- L’application Keyless Authenticator installée sur un appareil utilisateur
Description du scénario
L’intégration Keyless comprend les composants suivants :
- Azure AD B2C : serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur. Également connu sous le nom d’IdP.
- Applications web et mobiles : applications mobiles ou web à protéger avec Keyless et Azure AD B2C
- L’application mobile Keyless Authenticator : application mobile pour l’authentification auprès des applications compatibles Azure AD B2C
Le diagramme d’architecture suivant illustre une implémentation.
- L’utilisateur arrive sur une page de connexion. L’utilisateur sélectionne connexion/inscription et saisit le nom d’utilisateur.
- L’application envoie des attributs utilisateur à Azure AD B2C pour la vérification d’identité.
- Azure AD B2C envoie des attributs utilisateur à Keyless pour l’authentification.
- Keyless envoie une notification Push à l’appareil mobile de l’utilisateur inscrit pour effectuer une authentification sous la forme d’une analyse biométrique faciale.
- L’utilisateur répond à la notification push et se voit accorder ou refuser l’accès.
Ajouter un fournisseur d’identité, configurer le fournisseur d’identité et créer une stratégie de flux d’utilisateurs
Utilisez les sections suivantes pour ajouter un fournisseur d’identité, configurer le fournisseur d’identité et créer une stratégie de flux d’utilisateurs.
Ajouter un nouveau fournisseur d’identité
Pour ajouter un nouveau fournisseur d’identité :
- Connectez-vous au portail Azure en tant qu'administrateur de stratégie IEF B2C au minimum pour le locataire Azure AD B2C.
- Sélectionnez Annuaires + abonnements.
- Dans les paramètres du portail, les répertoires + la page abonnements , dans la liste des noms d’annuaire , recherchez votre répertoire Azure AD B2C.
- Sélectionnez Changer.
- Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services.
- Recherchez et sélectionnez Azure AD B2C.
- Accédez au tableau de bord> desfournisseurs d’identité>.
- Sélectionnez Fournisseurs d’identité.
- Sélectionnez Ajouter.
Configurer un fournisseur d’identité
Pour configurer un IdP :
- Sélectionnez Le type >OpenID Connect (préversion).
- Pour Nom, sélectionnez Sans clé.
- Pour URL de métadonnées, insérez l'URI de l'application d'authentification sans clé hébergée, suivi du chemin d'accès, par exemple
https://keyless.auth/.well-known/openid-configuration. - Pour Clé secrète client, sélectionnez la clé secrète associée à l’instance d’authentification sans clé. Le secret est utilisé ultérieurement dans la configuration du conteneur sans clé.
- Pour ID client, sélectionnez l’ID client. L’ID client est utilisé ultérieurement dans la configuration du conteneur sans clé.
- Pour Étendue, sélectionnez openid.
- Pour le type de réponse, sélectionnez id_token.
- Pour Mode de réponse, sélectionnez form_post.
- Cliquez sur OK.
- Sélectionnez Mapper les revendications de ce fournisseur d’identité.
- Pour UserID, sélectionnez À partir de l’abonnement.
- Pour Nom d’affichage, sélectionnez À partir de l’abonnement.
- Pour Mode de réponse, sélectionnez À partir de l’abonnement.
- Cliquez sur Enregistrer.
Créer une stratégie de flux utilisateur
Keyless apparaît en tant que nouveau fournisseur d’identité OpenID Connect (OIDC) avec des fournisseurs d’identité B2C.
- Ouvrez l'instance Azure AD B2C.
- Sous Stratégies, sélectionnez Flux utilisateur.
- Sélectionnez Nouveau flux d’utilisateurs.
- Sélectionnez S’inscrire et connectez-vous.
- Sélectionnez une version.
- Cliquez sur Créer.
- Entrez un nom pour votre stratégie.
- Dans la section Fournisseurs d’identité, sélectionnez le fournisseur d’identité sans clé créé.
- Entrez un nom.
- Sélectionnez l’IdP que vous avez créé.
- Ajoutez une adresse e-mail. Azure ne redirige pas la connexion vers Keyless ; Un écran s’affiche avec une option utilisateur.
- Laissez le champ Authentification multifacteur .
- Sélectionnez Appliquer les stratégies d’accès conditionnel.
- Sous Attributs utilisateur et revendications de jeton, dans l’option Collecter l’attribut , sélectionnez Adresse e-mail.
- Ajoutez les attributs utilisateur que Microsoft Entra ID collecte avec les réclamations qu'Azure AD B2C renvoie à l'application cliente.
- Cliquez sur Créer.
- Sélectionnez le nouveau flux d’utilisateurs.
- Dans le panneau de gauche, sélectionnez Déclarations d’application.
- Sous Options, cochez la case E-mail .
- Cliquez sur Enregistrer.
Tester le flux utilisateur
- Ouvrez l'instance Azure AD B2C.
- Sous Stratégies , sélectionnez Cadre d’expérience d’identité.
- Sélectionnez le SignUpSignIn créé.
- Sélectionner Exécuter le flux utilisateur.
- Pour Application, sélectionnez l’application enregistrée (par exemple, JWT).
- Pour l’URL de réponse, sélectionnez l’URL de redirection.
- Sélectionner Exécuter le flux utilisateur.
- Terminez le flux d’inscription et créez un compte.
- Une fois l’attribut utilisateur créé, Keyless est appelé pendant le flux.
Si le flux est incomplet, vérifiez que l’utilisateur est ou n’est pas enregistré dans l’annuaire.