Udostępnij przez

Samouczek: konfigurowanie funkcji bezkluczykowych przy użyciu usługi Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Dowiedz się, jak skonfigurować usługę Azure Active Directory B2C (Azure AD B2C) za pomocą rozwiązania bezkluczykowego bez hasła. Dzięki usłudze Azure AD B2C jako dostawcy tożsamości (IdP) zintegruj usługę Keyless z aplikacjami klienckimi, aby zapewnić uwierzytelnianie bez hasła. Keyless Zero-Knowledge Biometric (ZKB) to bezhasłowe uwierzytelnianie wieloskładnikowe, które pomaga wyeliminować oszustwa, wyłudzanie informacji i ponowne wykorzystanie danych uwierzytelniających, jednocześnie poprawiając jakość obsługi klienta i chroniąc prywatność.

Przejdź do keyless.io, aby dowiedzieć się więcej o:

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

Opis scenariusza

Integracja Keyless obejmuje następujące komponenty:

  • Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika. Znany również jako IdP.
  • Aplikacje internetowe i mobilne — aplikacje mobilne lub internetowe do ochrony za pomocą Keyless i Azure AD B2C
  • Aplikacja mobilna Keyless Authenticator — aplikacja mobilna do uwierzytelniania w aplikacjach z obsługą usługi Azure AD B2C

Poniższy diagram architektury ilustruje implementację.

Obraz przedstawia diagram architektury bezkluczykowej

  1. Użytkownik trafia na stronę logowania. Użytkownik wybiera opcję logowania/rejestracji i wprowadza nazwę użytkownika.
  2. Aplikacja wysyła atrybuty użytkownika do usługi Azure AD B2C w celu weryfikacji tożsamości.
  3. Azure AD B2C wysyła atrybuty użytkownika do trybu bezkluczowego w celu uwierzytelnienia.
  4. Keyless wysyła powiadomienie push na zarejestrowane urządzenie mobilne użytkownika w celu uwierzytelnienia, skanowania biometrycznego twarzy.
  5. Użytkownik odpowiada na powiadomienie push i otrzymuje lub odmawia dostępu.

Dodaj dostawcę tożsamości, skonfiguruj dostawcę tożsamości i utwórz politykę przepływu użytkowników.

Skorzystaj z poniższych sekcji, aby dodać dostawcę tożsamości, skonfigurować dostawcę tożsamości i utworzyć zasady przepływu użytkowników.

Dodaj nowego dostawcę tożsamości

Aby dodać nowego dostawcę tożsamości:

  1. Zaloguj się do portalu Azure jako co najmniej administrator zasad IEF B2C w dzierżawie usługi Azure AD B2C.
  2. Wybierz pozycję Katalogi + subskrypcje.
  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.
  4. Wybierz opcję Przełącz.
  5. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi.
  6. Wyszukaj i wybierz Azure AD B2C.
  7. Przejdź do pozycji Pulpit nawigacyjny>usługi Azure Active Directory B2C>Dostawcy tożsamości.
  8. Wybierz pozycję Dostawcy tożsamości.
  9. Wybierz Dodaj.

Skonfiguruj dostawcę tożsamości

Aby skonfigurować IdP (dostawcę tożsamości):

  1. Wybierz typ >OpenID Connect (wersja zapoznawcza).
  2. W polu Nazwa wybierz pozycję Bezkluczykowe.
  3. W polu Adres URL metadanych wstaw identyfikator URI hostowanej aplikacji uwierzytelniania bezkluczowego, a następnie ścieżkę, taką jak https://keyless.auth/.well-known/openid-configuration.
  4. W polu Klucz tajny klienta wybierz klucz tajny skojarzony z wystąpieniem uwierzytelniania bezkluczowego. Wpis sekretny jest używany później w konfiguracji kontenera bez klucza.
  5. W polu Identyfikator klienta wybierz identyfikator klienta. Identyfikator klienta jest używany później w konfiguracji kontenera bezkluczykowego.
  6. W polu Zakres wybierz pozycję openid.
  7. W polu Typ odpowiedzi wybierz pozycję id_token.
  8. W polu Tryb odpowiedzi wybierz pozycję form_post.
  9. Kliknij przycisk OK.
  10. Wybierz pozycję Mapuj oświadczenia tego dostawcy tożsamości.
  11. W polu UserID wybierz pozycję Z subskrypcji.
  12. W polu Nazwa wyświetlana wybierz pozycję Z subskrypcji.
  13. W polu Tryb odpowiedzi wybierz Z subskrypcji.
  14. Wybierz Zapisz.

Tworzenie zasad przepływu użytkownika

Funkcja bezkluczykowa jest wyświetlana jako nowy dostawca tożsamości OpenID Connect (OIDC) z dostawcami tożsamości B2C.

  1. Otwórz tenant Azure AD B2C.
  2. W obszarze Zasady wybierz pozycję Przepływy użytkownika.
  3. Wybierz pozycję Przepływ nowego użytkownika.
  4. Wybierz pozycję Zarejestruj się i zaloguj się.
  5. Wybierz wersję.
  6. Wybierz Utwórz.
  7. Wprowadź nazwę swojej polityki.
  8. W sekcji Dostawcy tożsamości wybierz utworzonego dostawcę tożsamości bezkluczykowej.
  9. Wprowadź nazwę.
  10. Wybierz utworzony IdP.
  11. Dodaj adres e-mail. Platforma Azure nie przekieruje logowania do pozycji bezkluczowej; Pojawi się ekran z opcją użytkownika.
  12. Pozostaw pole Uwierzytelnianie wieloskładnikowe.
  13. Wybierz pozycję Wymuszaj zasady dostępu warunkowego.
  14. W obszarze Atrybuty użytkownika i oświadczenia tokenów w opcji Zbieranie atrybutów wybierz pozycję Adres e-mail.
  15. Dodawanie atrybutów użytkownika, które identyfikator Microsoft Entra zbiera z oświadczeniami, które usługa Azure AD B2C zwraca do aplikacji klienckiej.
  16. Wybierz Utwórz.
  17. Wybierz nowy przepływ użytkownika.
  18. W panelu po lewej stronie wybierz pozycję Oświadczenia aplikacji.
  19. W sekcji Opcje zaznacz pole wyboru e-mail.
  20. Wybierz Zapisz.

Testowanie przepływu użytkownika

  1. Otwórz tenant Azure AD B2C.
  2. W obszarze Zasady wybierz pozycję Identity Experience Framework.
  3. Wybierz utworzony element SignUpSignIn.
  4. Wybierz Uruchom przepływ użytkownika.
  5. W polu Aplikacja wybierz zarejestrowaną aplikację (w tym przykładzie jest to JWT).
  6. W polu Adres URL odpowiedzi wybierz adres URL przekierowania.
  7. Wybierz Uruchom przepływ użytkownika.
  8. Ukończ przepływ rejestracji i utwórz konto.
  9. Po utworzeniu atrybutu użytkownika funkcja Keyless jest wywoływana podczas procesu.

Jeśli przepływ jest niekompletny, upewnij się, że użytkownik jest lub nie jest zapisany w katalogu.

Dalsze kroki

  • Last updated on