Gerenciar dados do usuário no Azure Active Directory B2C

Este artigo discute como você pode gerenciar os dados do usuário no Azure AD B2C (Azure Active Directory B2C) usando as operações fornecidas pela API do Microsoft Graph. O gerenciamento de dados do usuário inclui a exclusão ou exportação de dados de logs de auditoria.

Eliminar dados de utilizador

Os dados do usuário são armazenados no diretório do Azure AD B2C e nos logs de auditoria. Todos os dados de auditoria do usuário são mantidos por 7 dias no Azure AD B2C. Se você quiser excluir dados do usuário dentro desse período de 7 dias, poderá usar a operação Excluir um usuário . Uma operação DELETE é necessária para cada um dos locatários do Azure AD B2C em que os dados podem residir.

Todos os usuários do Azure AD B2C recebem uma ID de objeto. A ID do objeto fornece um identificador inequívoco para você usar para excluir dados do usuário no Azure AD B2C. Dependendo da arquitetura, a ID do objeto pode ser um identificador de correlação útil em outros serviços, como bancos de dados financeiros, de marketing e de gerenciamento de relacionamento com o cliente.

A maneira mais precisa de obter a ID do objeto para um usuário é obtê-la como parte de um percurso de autenticação com o Azure AD B2C. Se você receber uma solicitação válida de dados de um usuário usando outros métodos, um processo offline, como uma pesquisa por um agente de suporte ao atendimento ao cliente, poderá ser necessário para localizar o usuário e observar a ID do objeto associado.

O exemplo a seguir mostra um possível fluxo de exclusão de dados:

1. O usuário entra e seleciona Excluir meus dados.
2. O aplicativo oferece uma opção para excluir os dados em uma seção de administração do aplicativo.
3. O aplicativo força uma autenticação para o Azure AD B2C. O Azure AD B2C fornece um token com a ID do objeto do usuário, devolvido ao aplicativo.
4. O token é recebido pelo aplicativo e a ID do objeto é usada para excluir os dados do usuário por meio de uma chamada à API do Microsoft Graph. A API do Microsoft Graph exclui os dados do usuário e retorna um código de status de 200 OK.
5. O aplicativo orquestra a exclusão de dados do usuário em outros sistemas organizacionais, conforme necessário, usando a ID do objeto ou outros identificadores.
6. O aplicativo confirma a exclusão de dados e fornece as próximas etapas para o usuário.

Exportar dados do cliente

O processo de exportação de dados do cliente do Azure AD B2C é semelhante ao processo de exclusão.

Os dados do usuário do Azure AD B2C são limitados a:

• Dados armazenados na ID do Microsoft Entra: você pode recuperar dados em um percurso do usuário de autenticação do Azure AD B2C usando a ID do objeto ou qualquer nome de entrada, como um endereço de email ou nome de usuário.
• Relatório de eventos de auditoria específicos do usuário: você pode indexar dados usando a ID do objeto.

No exemplo a seguir de um fluxo de dados de exportação, as etapas descritas como sendo executadas pelo aplicativo também podem ser executadas por um processo de back-end ou por um usuário com uma função de administrador no diretório:

1. O usuário entra no aplicativo. O Azure AD B2C impõe a autenticação com a autenticação multifatorial do Microsoft Entra, se necessário.
2. O aplicativo usa as credenciais do usuário para chamar uma operação de API do Microsoft Graph para recuperar os atributos do usuário. A API do Microsoft Graph fornece os dados de atributo no formato JSON. Dependendo do esquema, você pode definir o conteúdo do token de ID para incluir todos os dados pessoais sobre um usuário.
3. O aplicativo recupera a atividade de auditoria do usuário. A API do Microsoft Graph fornece os dados do evento para o aplicativo.
4. O aplicativo agrega os dados e os disponibiliza ao usuário.

Próximas etapas

Para saber como gerenciar como os usuários acessam seu aplicativo, consulte Gerenciar o acesso do usuário.