Samouczek: konfigurowanie usługi Azure Active Directory B2C przy użyciu protokołu BlokSec na potrzeby uwierzytelniania bez hasła

Zanim rozpoczniesz

Usługa Azure Active Directory B2C ma dwie metody definiowania interakcji użytkownika z aplikacjami: wstępnie zdefiniowane przepływy użytkowników lub konfigurowalne zasady niestandardowe.

Usługi Azure AD B2C i BlokSec

Dowiedz się, jak zintegrować uwierzytelnianie usługi Azure Active Directory B2C (Azure AD B2C) z routerem tożsamości zdecentralizowanej bloksec. Rozwiązanie BlokSec upraszcza logowanie użytkowników przy użyciu uwierzytelniania bez hasła i uwierzytelniania wieloskładnikowego bez tokenów. Rozwiązanie chroni klientów przed atakami związanymi z tożsamością, takimi jak zasypywanie haseł, wyłudzenie informacji i atak typu człowiek-pośrodku.

Aby dowiedzieć się więcej, przejdź do bloksec.com: BlokSec Technologies Inc.

Opis scenariusza

Integracja z usługą BlokSec obejmuje następujące składniki:

• Azure AD B2C — serwer autoryzacji i dostawca tożsamości (IdP) dla aplikacji B2C
• BlokSec Zdecentralizowany Router Tożsamości — brama dla usług, które stosują BlokSec DIaaS do kierowania żądań uwierzytelniania i autoryzacji do aplikacji osobistego dostawcy tożsamości użytkownika (PIdP)
  • Jest to dostawca tożsamości OpenID Connect (OIDC) w usłudze Azure AD B2C
• Aplikacja mobilna oparta na zestawie SDK blokuSec — identyfikator PIdP użytkownika w scenariuszu zdecentralizowanego uwierzytelniania.
  • Jeśli nie używasz zestawu SDK usługi BlokSec, przejdź do sklepu Google Play, aby uzyskać bezpłatny identyfikator yuID protokołu BlokSec

Na poniższym diagramie architektury przedstawiono przepływ rejestracji i logowania w implementacji rozwiązania BlokSec.

1. Użytkownik loguje się do aplikacji usługi Azure AD B2C i jest przekazywany do zasad logowania i rejestracji usługi Azure AD B2C
2. Usługa Azure AD B2C przekierowuje użytkownika do zdecentralizowanego routera tożsamości Usługi BlokSec przy użyciu przepływu kodu autoryzacji OIDC.
3. Router BlokSec wysyła powiadomienie push do aplikacji mobilnej użytkownika ze szczegółami żądania uwierzytelniania i autoryzacji.
4. Użytkownik przegląda wyzwanie dotyczące uwierzytelniania. Zaakceptowany użytkownik jest monitowany o biometrię, taką jak odcisk palca lub skanowanie twarzy.
5. Odpowiedź jest podpisana cyfrowo przy użyciu unikatowego klucza cyfrowego użytkownika. Odpowiedź uwierzytelniania zapewnia dowód posiadania, obecności i zgody. Odpowiedź wraca do routera.
6. Router weryfikuje podpis cyfrowy pod kątem niezmiennego unikatowego klucza publicznego użytkownika przechowywanego w rejestrze rozproszonym. Router odpowiada usłudze Azure AD B2C z wynikiem uwierzytelniania.
7. Użytkownik otrzymuje lub odmawia dostępu.

Włącz BlokSec

1. Przejdź do bloksec.com i wybierz pozycję Zażądaj dzierżawy demonstracyjnej .
2. W polu komunikatu wskaż, że chcesz zintegrować z usługą Azure AD B2C.
3. Pobierz i zainstaluj bezpłatną aplikację mobilną BlokSec yuID.
4. Po przygotowaniu dzierżawy demonstracyjnej otrzymujemy wiadomość e-mail.
5. Na urządzeniu przenośnym z aplikacją BlokSec wybierz link, aby zarejestrować konto administratora za pomocą aplikacji yuID.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Subskrypcja platformy Azure
  • Jeśli go nie masz, uzyskaj konto Azfree
• Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
• Pokaz usługi BlokSec
• Rejestrowanie aplikacji internetowej
  • Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C

Zobacz również Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure AD B2C

Tworzenie rejestracji aplikacji w usłudze BlokSec

W wiadomości e-mail rejestracyjnej konta od BlokSec znajdź link do konsoli administracyjnej BlokSec.

1. Zaloguj się do konsoli administracyjnej usługi BlokSec.
2. Na głównym pulpicie nawigacyjnym wybierz pozycję Dodaj aplikację > Utwórz niestandardową.
3. W polu Nazwa wprowadź wartość Azure AD B2C lub nazwę aplikacji.
4. Dla typu SSO wybierz OIDC.
5. Wprowadź link do obrazu logo w polu Identyfikator URI logo.
6. W przypadku URI przekierowania użyj https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Na przykład https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. W przypadku domeny niestandardowej wprowadź .https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
7. W polu Identyfikatory URI przekierowania po wylogowaniu wprowadź .https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout
8. Wybierz utworzoną aplikację usługi Azure AD B2C, aby otworzyć konfigurację aplikacji.
9. Wybierz pozycję Generuj klucz tajny aplikacji.

Dowiedz się więcej: Wysyłanie żądania wylogowania.

Dodawanie nowego dostawcy tożsamości w usłudze Azure AD B2C

Użyj katalogu, który zawiera Twoją dzierżawę Azure AD B2C, do wykonania poniższych instrukcji.

1. Zaloguj się do witryny Azure Portal jako co najmniej administrator zasad protokołu IEF B2C dzierżawy usługi Azure AD B2C.
2. Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.
4. Wybierz opcję Przełącz.
5. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi.
6. Wyszukaj i wybierz Azure AD B2C.
7. Przejdź do pozycji Pulpit nawigacyjny>usługi Azure Active Directory B2C>Dostawcy tożsamości.
8. Wybierz Nowego dostawcę OpenID Connect.
9. Wybierz Dodaj.

Skonfiguruj dostawcę tożsamości

1. Wybierz typ > dostawcy tożsamości OpenID Connect
2. W polu Nazwa wprowadź wartość BlokSec yuID Passwordless lub inną nazwę.
3. W polu Adres URL metadanych wpisz https://api.bloksec.io/oidc/.well-known/openid-configuration.
4. W polu Identyfikator klienta wprowadź identyfikator aplikacji z poziomu interfejsu użytkownika administratora usługi BlokSec.
5. W polu Klucz tajny klienta wprowadź tajny klucz aplikacji z interfejsu administratora BlokSec.
6. W polu Zakres wybierz pozycję Profil poczty e-mail OpenID.
7. W polu Typ odpowiedzi wybierz pozycję Kod.
8. W polu Wskazówka dotycząca domeny wybierz yuID.
9. Kliknij przycisk OK.
10. Wybierz pozycję Mapuj oświadczenia tego dostawcy tożsamości.
11. W polu Identyfikator użytkownika wybierz pozycję sub.
12. W polu Nazwa wyświetlana wybierz nazwę.
13. W polu Dana nazwa użyj given_name.
14. W przypadku nazwiska użyj family_name.
15. W obszarze Poczta e-mail użyj adresu e-mail.
16. Wybierz Zapisz.

Rejestracja użytkownika

1. Zaloguj się do konsoli administracyjnej BlokSec za pomocą podanych danych uwierzytelniających.
2. Przejdź do utworzonej wcześniej aplikacji usługi Azure AD B2C.
3. W prawym górnym rogu wybierz ikonę koła zębatego .
4. Wybierz pozycję Utwórz konto.
5. W obszarze Tworzenie konta wprowadź informacje o użytkowniku. Zanotuj nazwę konta.
6. Wybierz Prześlij.

Użytkownik otrzymuje wiadomość e-mail dotyczącą rejestracji konta na podanym adresie e-mail. Poinstruuj użytkownika, aby wybrał link rejestracji na urządzeniu przenośnym za pomocą aplikacji BlokSec yuID.

Tworzenie zasad przepływu użytkownika

Aby spełnić poniższe wymogi, upewnij się, że BlokSec jest nowym dostawcą tożsamości OIDC (IdP).

1. W dzierżawie usługi Azure AD B2C w sekcji Zasady wybierz pozycję Przepływy użytkownika.
2. Wybierz pozycję Nowy przepływ użytkownika.
3. Wybierz Zarejestruj się i zaloguj>Wersja>Utwórz.
4. Wprowadź nazwę polityki.
5. W sekcji Dostawcy tożsamości wybierz utworzonego dostawcę tożsamości BlokSec.
6. W polu Konto lokalne wybierz pozycję Brak. Ta akcja wyłącza uwierzytelnianie oparte na wiadomościach e-mail i hasłach.
7. Wybierz pozycję Uruchom przepływ użytkownika
8. W formularzu wprowadź adres URL odpowiedzi, taki jak https://jwt.ms.
9. Przeglądarka jest przekierowywana do strony logowania bloksec.
10. Wprowadź nazwę konta z rejestracji użytkownika.
11. Użytkownik otrzymuje powiadomienie push na urządzeniu mobilnym z aplikacją BlokSec yuID.
12. Użytkownik otworzy powiadomienie, a zostanie wyświetlone wyzwanie dotyczące uwierzytelniania.
13. Jeśli uwierzytelnianie zostanie zaakceptowane, przeglądarka przekierowuje użytkownika do adresu URL odpowiedzi.

Tworzenie klucza zasad

Zapisz tajny klucz klienta zanotowany w dzierżawie Azure AD B2C. Aby wykonać poniższe instrukcje, użyj katalogu z dzierżawcą usługi Azure AD B2C.

1. Zaloguj się do witryny Azure Portal.
2. Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.
4. Wybierz opcję Przełącz.
5. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi
6. Wyszukaj i wybierz Azure AD B2C.
7. Na stronie Przegląd wybierz pozycję Identity Experience Framework.
8. Wybierz Klucze zasad.
9. Wybierz Dodaj.
10. W obszarze Opcje wybierz pozycję Ręczne.
11. Wprowadź nazwę polityki dla klucza polityki. Na przykład BlokSecAppSecret. Prefiks B2C_1A_ jest dodawany do nazwy klucza.
12. W polu Tajny klucz wprowadź zanotowane tajne hasło klienta.
13. W obszarze Użycie klucza wybierz pozycję Podpis.
14. Wybierz Utwórz.

Skonfiguruj BlokSec jako dostawcę tożsamości

Aby umożliwić użytkownikom logowanie się przy użyciu zdecentralizowanej tożsamości BlokuSec, zdefiniuj bloksec jako dostawcę oświadczeń. Ta akcja gwarantuje, że usługa Azure AD B2C komunikuje się z nią za pośrednictwem punktu końcowego. Usługa Azure AD B2C używa oświadczeń punktu końcowego do weryfikowania tożsamości użytkowników przy użyciu biometrii, takich jak odcisk palca lub skanowanie twarzy.

Aby zdefiniować bloksec jako dostawcę oświadczeń, dodaj go do elementu ClaimsProvider w pliku rozszerzenia zasad.

1. Otwórz TrustFrameworkExtensions.xml.

2. Znajdź element ClaimsProviders . Jeśli element nie zostanie wyświetlony, dodaj go pod elementem głównym.

3. Aby dodać nowy element ClaimsProvider:

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Ustaw client_id na identyfikator aplikacji z rejestracji aplikacji.

5. Wybierz Zapisz.

Dodanie ścieżki użytkownika

Skorzystaj z poniższych instrukcji, jeśli dostawca tożsamości jest skonfigurowany, ale nie pojawia się na żadnej stronie logowania. Jeśli nie masz niestandardowej podróży użytkownika, skopiuj podróż użytkownika z szablonu.

1. Otwórz plik TrustFrameworkBase.xml w pakiecie startowym.
2. Znajdź i skopiuj zawartość elementu UserJourneys , który zawiera identyfikator=SignUpOrSignIn.
3. Otwórz TrustFrameworkExtensions.xml.
4. Znajdź element UserJourneys . Jeśli element nie zostanie wyświetlony, dodaj go.
5. Wklej zawartość elementu UserJourney skopiowaną jako element podrzędny elementu UserJourneys .
6. Zmień nazwę identyfikatora podróży użytkownika. Na przykład ID=CustomSignUpSignIn.

Dodaj dostawcę tożsamości do podróży użytkownika

Jeśli masz podróż użytkownika, dodaj do niego nowego dostawcę tożsamości. Najpierw dodaj przycisk logowania, a następnie połącz go z akcją, którą jest utworzony profil techniczny.

1. Podczas podróży użytkownika znajdź element kroku orkiestracji zawierający Type=CombinedSignInAndSignUp lub Type=ClaimsProviderSelection. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections zawiera listę dostawców tożsamości na potrzeby logowania użytkownika. Kolejność elementów kontroluje kolejność przycisków logowania widocznych przez użytkownika.
2. Dodaj element XML ClaimsProviderSelection.
3. Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.
4. W następnym kroku aranżacji dodaj element ClaimsExchange .
5. Ustaw identyfikator na wartość docelowego identyfikatora wymiany oświadczeń.
6. Zaktualizuj wartość TechnicalProfileReferenceId na identyfikator utworzonego profilu technicznego.

Poniższy kod XML przedstawia dwa pierwsze kroki organizacji ścieżki użytkownika z dostawcą tożsamości:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurowanie polityki podmiotu polegającego

Polityka zaufanej strony, na przykład SignUpSignIn.xml, określa ścieżkę użytkownika realizowaną przez Azure AD B2C.

1. Znajdź element DefaultUserJourney w stronie polegającej.
2. Zaktualizuj identyfikator ReferenceId , aby był zgodny z identyfikatorem podróży użytkownika, w którym dodano dostawcę tożsamości.

W poniższym przykładzie, dla podróży użytkownika CustomSignUpOrSignIn, identyfikator ReferenceId jest ustawiony na CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Przekaż zasady niestandardowe

Aby wykonać poniższe instrukcje, użyj katalogu z dzierżawcą usługi Azure AD B2C.

1. Zaloguj się do witryny Azure Portal.
2. Na pasku narzędzi portalu wybierz katalogi i subskrypcje.
3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C
4. Wybierz opcję Przełącz.
5. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
6. W obszarze Policieswybierz pozycję Identity Experience Framework.
7. Wybierz Przekaż niestandardową politykę.
8. Przekaż dwa zmienione pliki zasad w następującej kolejności:

• Polityka rozszerzeń, na przykład TrustFrameworkExtensions.xml
• Zasady podmiotu polegającego, takie jak SignUpSignIn.xml

Przetestuj politykę niestandardową

1. Wybierz zasady zaufanej strony, na przykład B2C_1A_signup_signin.
2. W polu Aplikacja wybierz zarejestrowaną aplikację internetową.
3. Adres URL odpowiedzi jest wyświetlany jako https://jwt.ms.
4. Wybierz opcję Uruchom teraz.
5. Na stronie rejestracji lub logowania wybierz pozycję Google , aby zalogować się przy użyciu konta Google.
6. Przeglądarka jest przekierowywana do https://jwt.ms. Zobacz zawartość tokenu zwróconą przez usługę Azure AD B2C.

Dowiedz się więcej : Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure Active Directory B2C

Dalsze kroki

• Omówienie zasad niestandardowych usługi Azure AD B2C
• Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure AD B2C