Visão geral técnica e de recursos do Azure Active Directory B2C

Este artigo é um complemento para Sobre o Azure Active Directory B2C e fornece uma introdução mais detalhada ao serviço. Discutiremos aqui os principais recursos com os quais você trabalha no serviço, seus recursos e aprenderemos como eles permitem que você forneça uma experiência de identidade totalmente personalizada para os clientes em seus aplicativos.

Azure AD inquilino B2C

No Azure Active Directory B2C (Azure AD B2C), um locatário representa sua organização e é um diretório de usuários. Cada locatário do Azure AD B2C é distinto e separado de outros locatários do Azure AD B2C. Um locatário do Azure AD B2C também é diferente de um locatário do Microsoft Entra, que você já pode ter.

Os principais recursos com os quais você trabalha em um locatário do Azure AD B2C são:

• Diretório – é aqui que o Azure AD B2C armazena as credenciais dos usuários, os dados de perfil e os registros do aplicativo.
• Registros de aplicativo – você pode registrar seus aplicativos Web, móveis e nativos com o Azure AD B2C para habilitar o gerenciamento de identidades. Você também pode registrar todas as APIs que deseja proteger com o Azure AD B2C.
• Fluxos de usuário e políticas personalizadas – são usados para criar experiências de identidade para seus aplicativos com fluxos de usuário internos e políticas personalizadas totalmente configuráveis:
  • Os fluxos de usuário ajudam você a habilitar rapidamente tarefas comuns de identidade, como inscrição, entrada e edição de perfil.
  • As políticas personalizadas permitem que você crie fluxos de trabalho de identidade complexos exclusivos para sua organização, clientes, funcionários, parceiros e cidadãos.
• Opções de entrada – o Azure AD B2C oferece várias opções de inscrição e entrada para usuários de seus aplicativos:
  • Nome de usuário, email e entrada por telefone – você pode configurar suas contas locais do Azure AD B2C para permitir a inscrição e a entrada com um nome de usuário, endereço de email, número de telefone ou uma combinação de métodos.
  • Provedores de identidade social - Você pode se federar com provedores sociais como Facebook, LinkedIn ou X.
  • Provedores de identidade externos – você também pode federar com protocolos de identidade padrão, como OAuth 2.0, OpenID Connect e muito mais.
• Chaves – adicione e gerencie chaves de criptografia para assinar e validar tokens, segredos do cliente, certificados e senhas.

Um locatário do Azure AD B2C é o primeiro recurso que você precisa criar para começar a usar o Azure AD B2C. Saiba como:

• Crie um locatário do Azure Active Directory B2C.
• Gerenciar seu locatário do Azure AD B2C

Contas no Azure AD B2C

O Azure AD B2C define vários tipos de contas de usuário. A ID do Microsoft Entra, o Microsoft Entra B2B e o Azure Active Directory B2C compartilham esses tipos de conta.

• Conta corporativa – os usuários com contas corporativas podem gerenciar recursos em um locatário e, com uma função de administrador, também podem gerenciar locatários. Usuários com contas corporativas podem criar contas de consumidor, redefinir senhas, bloquear/desbloquear contas e definir permissões ou atribuir uma conta a um grupo de segurança.
• Conta de convidado – são usuários externos que você convida para seu locatário como convidados. Um cenário típico para convidar um usuário convidado para seu locatário do Azure AD B2C é compartilhar responsabilidades de administração.
• Conta de consumidor – são contas gerenciadas por fluxos de usuário do Azure AD B2C e políticas personalizadas.

Figura: Diretório de usuários em um locatário do Azure AD B2C no portal do Azure.

Contas de consumidor

Com uma conta de consumidor , os usuários podem entrar nos aplicativos que você protegeu com o Azure AD B2C. No entanto, os usuários com contas de consumidor não podem acessar os recursos do Azure, por exemplo, o portal do Azure.

Uma conta de consumidor pode ser associada a estes tipos de identidade:

• Identidade local , com o nome de usuário e a senha armazenados localmente no diretório do Azure AD B2C. Muitas vezes nos referimos a essas identidades como "contas locais".
• Identidades sociais ou corporativas , em que a identidade do usuário é gerenciada por um provedor de identidade federado. Por exemplo, Facebook, Google, Microsoft, ADFS ou Salesforce.

Um usuário com uma conta de consumidor pode fazer login com várias identidades. Por exemplo, nome de usuário, e-mail, ID do funcionário, ID do governo e outros. Uma única conta pode ter várias identidades, tanto locais quanto sociais.

Figura: Uma única conta de consumidor com várias identidades no Azure AD B2C

Para obter mais informações, consulte Visão geral das contas de usuário no Azure Active Directory B2C.

Opções de login na conta local

O Azure AD B2C fornece várias maneiras pelas quais você pode autenticar um usuário. Os usuários podem entrar em uma conta local, usando nome de usuário e senha, verificação por telefone (também conhecida como autenticação sem senha). A entrada com email é habilitada por padrão nas configurações do provedor de identidade da conta local.

Saiba mais sobre as opções de login ou como configurar o provedor de identidade da conta local.

Atributos de perfil do usuário

O Azure AD B2C permite gerenciar atributos comuns de perfis de conta de consumidor. Por exemplo, nome de exibição, sobrenome, nome próprio, cidade e outros.

Você também pode estender o esquema subjacente da ID do Microsoft Entra para armazenar informações adicionais sobre seus usuários. Por exemplo, seu país/região de residência, idioma preferido e preferências, como se desejam assinar um boletim informativo ou habilitar a autenticação multifator. Para obter mais informações, consulte:

• Atributos de perfil do usuário
• Adicione atributos de usuário e personalize a entrada do usuário em

Entrar com provedores de identidade externos

Você pode configurar o Azure AD B2C para permitir que os usuários entrem em seu aplicativo com credenciais de provedores de identidade social e corporativa. O Azure AD B2C pode federar com provedores de identidade que dão suporte aos protocolos OAuth 1.0, OAuth 2.0, OpenID Connect e SAML. Por exemplo, Facebook, conta da Microsoft, Google, X e Serviço de Federação do Active Directory (AD FS).

Com provedores de identidade externos, você pode oferecer aos seus consumidores a capacidade de fazer login com suas contas sociais ou corporativas existentes, sem precisar criar uma nova conta apenas para seu aplicativo.

Na página de inscrição ou entrada, o Azure AD B2C apresenta uma lista de provedores de identidade externos que o usuário pode escolher para entrar. Depois de selecionar um dos provedores de identidade externos, eles são redirecionados para o site do provedor selecionado para concluir o processo de login. Depois que o usuário entrar com êxito, ele será retornado ao Azure AD B2C para autenticação da conta em seu aplicativo.

Para saber mais sobre provedores de identidade, consulte Adicionar provedores de identidade aos seus aplicativos no Azure Active Directory B2C.

Experiências de identidade: fluxos de usuário ou políticas personalizadas

No Azure AD B2C, você pode definir a lógica de negócios que os usuários seguem para obter acesso ao seu aplicativo. Por exemplo, você pode determinar a sequência de etapas que os usuários seguem quando fazem login, se inscrevem, editam seu perfil ou redefinem uma senha. Depois de concluir a sequência, o usuário adquire um token e obtém acesso ao seu aplicativo.

No Azure AD B2C, há duas maneiras de fornecer experiências de usuário de identidade:

• Fluxos de usuário – são políticas predefinidas, internas e configuráveis que fornecemos para que você possa criar experiências de inscrição, entrada e edição de políticas em minutos.

• Políticas personalizadas – permitem que você crie seus próprios percursos de usuário para cenários complexos de experiência de identidade.

A captura de tela a seguir mostra a interface do usuário das configurações de fluxo do usuário, versus arquivos de configuração de política personalizados.

Para saber mais sobre fluxos de usuário e políticas personalizadas e ajudá-lo a decidir qual método funcionará melhor para suas necessidades de negócios, consulte Visão geral de fluxos de usuário e políticas personalizadas.

Interface do usuário

No Azure AD B2C, você pode criar as experiências de identidade dos usuários para que as páginas mostradas se misturem perfeitamente com a aparência da sua marca. Você obtém controle quase total do conteúdo HTML e CSS apresentado aos usuários quando eles avançam nas jornadas de identidade do aplicativo. Com essa flexibilidade, você pode manter a consistência visual e de marca entre seu aplicativo e o Azure AD B2C.

Para obter informações sobre a personalização da interface do usuário, consulte:

• Personalizar a interface do usuário
• Personalizar a interface do usuário com modelos HTML
• Ativar o JavaScript e selecionar uma versão de layout de página

Domínio personalizado

Você pode personalizar seu domínio do Azure AD B2C nos URIs de redirecionamento do seu aplicativo. O domínio personalizado permite que você crie uma experiência perfeita para que as páginas mostradas se misturem perfeitamente com o nome de domínio do seu aplicativo. Do ponto de vista do usuário, eles permanecem em seu domínio durante o processo de entrada, em vez de redirecionar para o domínio padrão do Azure AD B2C .b2clogin.com.

Para obter mais informações, consulte Habilitar domínios personalizados.

Localização

A personalização de idioma no Azure AD B2C permite que você acomode diferentes idiomas para atender às necessidades do cliente. A Microsoft fornece localizações para 36 idiomas, mas você também pode fornecer suas próprias localizações para qualquer idioma.

Veja como a localização funciona em Personalização de idioma no Azure Active Directory B2C.

Verificação de email

O Azure AD B2C garante endereços de email válidos, exigindo que os clientes os verifiquem durante a inscrição e os fluxos de redefinição de senha. Isso também impede que agentes mal-intencionados usem processos automatizados para gerar contas fraudulentas em seus aplicativos.

Você pode personalizar o e-mail enviado aos usuários que se inscrevem para usar seus aplicativos. Ao usar um provedor de e-mail de terceiros, você pode usar seu próprio modelo de e-mail e De: endereço e assunto, bem como oferecer suporte à localização e às configurações personalizadas de senha de uso único (OTP). Para obter mais informações, consulte:

• Verificação de email personalizada com o Mailjet
• Verificação de email personalizada com SendGrid

Adicione sua própria lógica de negócios e chame APIs RESTful

Você pode integrar com uma API RESTful em fluxos de usuário e políticas personalizadas. A diferença é que, nos fluxos de usuário, você faz chamadas em locais específicos, enquanto nas políticas personalizadas, você adiciona sua própria lógica de negócios à jornada. Esse recurso permite que você recupere e use dados de fontes de identidade externas. O Azure AD B2C pode trocar dados com um serviço RESTful para:

• Exiba mensagens de erro personalizadas e fáceis de usar.
• Valide a entrada do usuário para evitar que dados malformados persistam em seu diretório de usuário. Por exemplo, você pode modificar os dados inseridos pelo usuário, como colocar o nome em maiúscula se ele o tiver digitado em letras minúsculas.
• Enriqueça os dados do usuário integrando-se ainda mais ao seu aplicativo de linha de negócios corporativo.
• Usando chamadas RESTful, você pode enviar notificações por push, atualizar bancos de dados corporativos, executar um processo de migração de usuário, gerenciar permissões, auditar bancos de dados e muito mais.

Os programas de fidelidade são outro cenário habilitado pelo suporte do Azure AD B2C para chamar APIs REST. Por exemplo, seu serviço RESTful pode receber o endereço de email de um usuário, consultar seu banco de dados de clientes e retornar o número de fidelidade do usuário para o Azure AD B2C.

Os dados de retorno podem ser armazenados na conta de diretório do usuário no Azure AD B2C. Os dados podem ser avaliados em etapas subsequentes na política ou incluídos no token de acesso.

Você pode adicionar uma chamada à API REST em qualquer etapa de um percurso do usuário definido por uma política personalizada. Por exemplo, você pode chamar uma API REST:

• Durante a entrada, pouco antes de o Azure AD B2C validar as credenciais
• Imediatamente após o login
• Antes que o Azure AD B2C crie uma nova conta no diretório
• Depois que o Azure AD B2C criar uma nova conta no diretório
• Antes que o Azure AD B2C emita um token de acesso

Para obter mais informações, consulte Sobre conectores de API no Azure AD B2C.

Protocolos e tokens

• Para aplicativos, o Azure AD B2C dá suporte aos protocolos OAuth 2.0, OpenID Connect e SAML para percursos do usuário. Seu aplicativo inicia o percurso do usuário emitindo solicitações de autenticação para o Azure AD B2C. O resultado de uma solicitação para o Azure AD B2C é um token de segurança, como um token de ID, um token de acesso ou um token SAML. Esse token de segurança define a identidade do usuário dentro do aplicativo.

• Para identidades externas, o Azure AD B2C dá suporte à federação com qualquer provedor de identidade OAuth 1.0, OAuth 2.0, OpenID Connect e SAML.

O diagrama a seguir mostra como o Azure AD B2C pode se comunicar usando vários protocolos dentro do mesmo fluxo de autenticação:

1. O aplicativo de terceira parte confiável inicia uma solicitação de autorização para o Azure AD B2C usando o OpenID Connect.
2. Quando um usuário do aplicativo opta por entrar usando um provedor de identidade externo que usa o protocolo SAML, o Azure AD B2C invoca o protocolo SAML para se comunicar com esse provedor de identidade.
3. Depois que o usuário concluir a operação de entrada com o provedor de identidade externo, o Azure AD B2C retornará o token para o aplicativo de terceira parte confiável usando o OpenID Connect.

Integração de aplicações

Quando um usuário deseja entrar em seu aplicativo, o aplicativo inicia uma solicitação de autorização para um fluxo de usuário ou ponto de extremidade fornecido por política personalizada. O fluxo de usuário ou a política personalizada define e controla a experiência do usuário. Quando eles concluem um fluxo de usuário, por exemplo, o fluxo de inscrição ou entrada , o Azure AD B2C gera um token e redireciona o usuário de volta para seu aplicativo. Esse token é específico do Azure AD B2C e não deve ser confundido com o token emitido por provedores de identidade de terceiros ao usar contas sociais. Para obter informações sobre como usar tokens de terceiros, consulte Passar um token de acesso do provedor de identidade para seu aplicativo no Azure Active Directory B2C.

Vários aplicativos podem usar o mesmo fluxo de usuário ou política personalizada. Um único aplicativo pode usar vários fluxos de usuário ou políticas personalizadas.

Por exemplo, para entrar em um aplicativo, o aplicativo usa o fluxo de usuário de inscrição ou entrada . Depois que o usuário tiver entrado, ele poderá editar seu perfil, para que o aplicativo inicie outra solicitação de autorização, desta vez usando o fluxo de edição de usuário de perfil .

MFA (autenticação multifator)

A MFA (Autenticação Multifator) do Azure AD B2C ajuda a proteger o acesso a dados e aplicativos, mantendo a simplicidade para seus usuários. Ele fornece segurança extra ao exigir uma segunda forma de autenticação e oferece autenticação forte, oferecendo uma variedade de métodos de autenticação fáceis de usar.

Seus usuários podem ou não ser desafiados para MFA com base em decisões de configuração que você pode tomar como administrador.

Para obter mais informações, consulte Habilitar a autenticação multifator no Azure Active Directory B2C.

Acesso condicional

Os recursos de detecção de risco do Microsoft Entra ID Protection, incluindo usuários e entradas arriscados, são detectados e exibidos automaticamente em seu locatário do Azure AD B2C. Você pode criar políticas de Acesso Condicional que usam essas detecções de risco para determinar ações de correção e impor políticas organizacionais.

O Azure AD B2C avalia cada evento de entrada e garante que todos os requisitos de política sejam atendidos antes de conceder acesso ao usuário. Usuários arriscados ou entradas arriscadas podem ser bloqueados ou desafiados com uma correção específica, como autenticação multifator (MFA). Para obter mais informações, consulte Proteção de identidade e acesso condicional.

Complexidade de senha

Durante a inscrição ou a redefinição de senha, os usuários devem fornecer uma senha que atenda às regras de complexidade. Por padrão, o Azure AD B2C impõe uma política de senha forte. O Azure AD B2C também fornece opções de configuração para especificar os requisitos de complexidade das senhas que seus clientes usam quando usam contas locais.

Para obter mais informações, consulte Configurar requisitos de complexidade para senhas no Azure AD B2C.

Forçar redefinição de senha

Como administrador de locatários do Azure AD B2C, você pode redefinir a senha de um usuário se o usuário esquecer sua senha. Ou você pode definir uma política para forçar os usuários a redefinir suas senhas periodicamente. Para obter mais informações, consulte Configurar um fluxo de redefinição de senha forçada.

Bloqueio de conta inteligente

Para evitar tentativas de adivinhação de senha de força bruta, o Azure AD B2C usa uma estratégia sofisticada para bloquear contas com base no IP da solicitação, nas senhas inseridas e em vários outros fatores. A duração do bloqueio é aumentada automaticamente com base no risco e no número de tentativas.

Para obter mais informações sobre como gerenciar configurações de proteção por senha, consulte Mitigar ataques de credenciais no Azure AD B2C.

Proteja recursos e identidades de clientes

O Azure AD B2C está em conformidade com os compromissos de segurança, privacidade e outros compromissos descritos na Central de Confiabilidade do Microsoft Azure.

As sessões são modeladas como dados criptografados, com a chave de descriptografia conhecida apenas pelo STS (Serviço de Token de Segurança) do Azure AD B2C. Um algoritmo de criptografia forte, AES-192, é usado. Todos os caminhos de comunicação são protegidos com TLS para confidencialidade e integridade. Nosso serviço de token de segurança usa um certificado de validação estendida (EV) para TLS. Em geral, o Serviço de Token de Segurança atenua ataques XSS (cross-site scripting) não renderizando entrada não confiável.

Acesso aos dados do usuário

Os locatários do Azure AD B2C compartilham muitas características com os locatários corporativos do Microsoft Entra usados para funcionários e parceiros. Os aspectos compartilhados incluem mecanismos para exibir funções administrativas, atribuir funções e atividades de auditoria.

Você pode atribuir funções para controlar quem pode executar determinadas ações administrativas no Azure AD B2C, incluindo:

• Criar e gerenciar todos os aspectos dos fluxos de usuário
• Criar e gerenciar o esquema de atributo disponível para todos os fluxos de usuário
• Configurar provedores de identidade para uso na federação direta
• Criar e gerenciar políticas de estrutura de confiança na Estrutura de experiência de identidade (políticas personalizadas)
• Gerenciar segredos para federação e criptografia no Identity Experience Framework (políticas personalizadas)

Para obter mais informações sobre as funções do Microsoft Entra, incluindo o suporte à função de administração do Azure AD B2C, consulte Permissões de função de administrador na ID do Microsoft Entra.

Auditoria e registros

O Azure AD B2C cria logs de auditoria contendo informações de atividade sobre seus recursos, tokens emitidos e acesso de administrador. Você pode usar os logs de auditoria para entender a atividade da plataforma e diagnosticar problemas. As entradas de log de auditoria estão disponíveis logo após a ocorrência da atividade que gerou o evento.

Em um log de auditoria, que está disponível para seu locatário do Azure AD B2C ou para um usuário específico, você pode encontrar informações, incluindo:

• Atividades relacionadas à autorização de um usuário para acessar recursos B2C (por exemplo, um administrador acessando uma lista de políticas B2C)
• Atividades relacionadas aos atributos de diretório recuperados quando um administrador entra usando o portal do Azure
• Operações de criação, leitura, atualização e exclusão (CRUD) em aplicativos B2C
• Operações CRUD em chaves armazenadas em um contêiner de chaves B2C
• Operações CRUD em recursos B2C (por exemplo, políticas e provedores de identidade)
• Validação de credenciais de usuário e emissão de token

Para obter mais informações sobre logs de auditoria, consulte Acessando logs de auditoria do Azure AD B2C.

Análise de uso

O Azure AD B2C permite que você descubra quando as pessoas se inscrevem ou entram em seu aplicativo, onde os usuários estão localizados e quais navegadores e sistemas operacionais eles usam.

Ao integrar o Azure Application Insights às políticas personalizadas do Azure AD B2C, você pode obter informações sobre como as pessoas se inscrevem, entram, redefinem a senha ou editam o perfil. Com esse conhecimento, você pode tomar decisões baseadas em dados para seus próximos ciclos de desenvolvimento.

Para obter mais informações, consulte Acompanhar o comportamento do usuário no Azure Active Directory B2C usando o Application Insights.

Disponibilidade de região e residência de dados

O serviço Azure AD B2C está em disponibilidade geral em todo o mundo com a opção de residência de dados em regiões, conforme especificado em Produtos disponíveis por região. A residência de dados é determinada pelo país/região selecionado ao criar seu locatário.

Saiba mais sobre o serviço do Azure Active Directory B2C, a disponibilidade de região e a residência de dados e o SLA (Contrato de Nível de Serviço) do Azure Active Directory B2C.

Automação usando a API do Microsoft Graph

Use a API do MS graph para gerenciar seu diretório do Azure AD B2C. Você também pode criar o próprio diretório do Azure AD B2C. Você pode gerenciar usuários, provedores de identidade, fluxos de usuários, políticas personalizadas e muito mais.

Saiba mais sobre como gerenciar o Azure AD B2C com o Microsoft Graph.

Limites e restrições de serviço do Azure AD B2C

Saiba mais sobre os limites e restrições de serviço do Azure AD B2C

Próximas etapas

Agora que você tem uma visão mais profunda dos recursos e aspectos técnicos do Azure Active Directory B2C:

• Comece com nosso tutorial para criar um locatário do Azure Active Directory B2C.
• Configurar a entrada para um aplicativo de página única usando o Azure Active Directory B2C
• Conceitos do Azure Active Directory B2C