Migrar os usuários para o Azure AD B2C

A migração de outro provedor de identidade para o Azure AD B2C (Azure Active Directory B2C) também pode exigir a migração de contas de usuário existentes. Dois métodos de migração são discutidos aqui, pré-migração e migração perfeita. Com qualquer abordagem, você precisa escrever um aplicativo ou script que use a API do Microsoft Graph para criar contas de usuário no Azure AD B2C.

Assista a este vídeo para saber mais sobre as estratégias e as etapas de migração de usuário do Azure AD B2C a serem consideradas.

Pré-migração

No fluxo de pré-migração, seu aplicativo de migração executa estas etapas para cada conta de usuário:

1. Leia a conta de usuário do provedor de identidade antigo, incluindo suas credenciais atuais (nome de usuário e senha).
2. Crie uma conta correspondente no diretório do Azure AD B2C com as credenciais atuais.

Use o fluxo de pré-migração em qualquer uma dessas duas situações:

• Você tem acesso às credenciais de texto sem formatação de um usuário (seu nome de usuário e senha).
• As credenciais são criptografadas, mas você pode descriptografá-las.

Para obter informações sobre como criar contas de usuário programaticamente, consulte Gerenciar contas de usuário do Azure AD B2C com o Microsoft Graph.

Migração contínua

Use o fluxo de migração contínuo se as senhas de texto não criptografado no provedor de identidade antigo não estiverem acessíveis. Por exemplo, quando:

• A senha é armazenada em um formato criptografado unidirecional, como com uma função de hash.
• A senha é armazenada pelo provedor de identidade herdado de maneira que você não pode acessá-la. Por exemplo, quando o provedor de identidade valida as credenciais chamando um serviço Web.

O fluxo de migração contínuo ainda requer a pré-migração de contas de usuário, mas usa uma política personalizada para consultar uma API REST (que você cria) para definir a senha de cada usuário na primeira entrada.

O fluxo de migração contínuo consiste em duas fases: pré-migração e definir credenciais.

Fase 1: Pré-migração

1. Seu aplicativo de migração lê as contas de usuário do provedor de identidade antigo.
2. O aplicativo de migração cria contas de usuário correspondentes em seu diretório do Azure AD B2C, mas define senhas aleatórias que você gera.

Fase 2: Definir credenciais

Depois que a pré-migração das contas for concluída, sua política personalizada e a API REST executarão o seguinte quando um usuário entrar:

1. Leia a conta de usuário do Azure AD B2C correspondente ao endereço de email inserido.
2. Verifique se a conta está sinalizada para migração avaliando um atributo de extensão booliana.
   • Se o atributo de extensão retornar True, chame sua API REST para validar a senha no provedor de identidade herdado.
     • Se a API REST determinar que a senha está incorreta, retorne um erro amigável ao usuário.
     • Se a API REST determinar que a senha está correta, escreva a senha na conta do Azure AD B2C e altere o atributo de extensão booliano para False.
   • Se o atributo de extensão booliano retornar False, continue o processo de entrada normalmente.

Para ver um exemplo de política personalizada e API REST, consulte o exemplo de migração de usuário contínuo no GitHub.

Segurança

A abordagem de migração perfeita usa sua própria API REST personalizada para validar as credenciais de um usuário no provedor de identidade herdado.

Você deve proteger sua API REST contra ataques de força bruta. Um invasor pode enviar várias senhas na esperança de, eventualmente, adivinhar as credenciais de um usuário. Para ajudar a derrotar esses ataques, pare de atender solicitações à sua API REST quando o número de tentativas de entrada passar um determinado limite. Além disso, proteja a comunicação entre o Azure AD B2C e sua API REST. Para saber como proteger suas APIs RESTful para produção, consulte a API RESTful Segura.

Atributos de usuário

Nem todas as informações no provedor de identidade herdada devem ser migradas para o diretório do Azure AD B2C. Identifique o conjunto apropriado de atributos de usuário a serem armazenados no Azure AD B2C antes de migrar.

• Repositório DO no Azure AD B2C:
  • Nome de usuário, senha, endereços de email, números de telefone, números de associação/identificadores.
  • Marcadores de consentimento para política de privacidade e contratos de licença do usuário final.
• NÃO armazene no Azure AD B2C:
  • Dados confidenciais, como números de cartão de crédito, SSN (números de seguridade social), registros médicos ou outros dados regulamentados por órgãos de conformidade do governo ou do setor.
  • Preferências de marketing ou comunicação, comportamentos do usuário e insights.

Limpeza de diretório

Antes de iniciar o processo de migração, aproveite a oportunidade para limpar seu diretório.

• Identifique o conjunto de atributos de usuário a serem armazenados no Azure AD B2C e migre apenas o que você precisa. Se necessário, você pode criar atributos personalizados para armazenar mais dados sobre um usuário.
• Se você estiver migrando de um ambiente com várias fontes de autenticação (por exemplo, cada aplicativo tem seu próprio diretório de usuário), migre para uma conta unificada no Azure AD B2C.
• Se vários aplicativos tiverem nomes de usuário diferentes, você poderá armazenar todos eles em uma conta de usuário do Azure AD B2C usando a coleção de identidades. Sobre a senha, permita que o usuário escolha uma e defina-a no diretório. Por exemplo, com a migração perfeita, apenas a senha escolhida deve ser armazenada na conta do Azure AD B2C.
• Remova contas de usuário não utilizados ou não migre contas obsoletas.

Política de senha

Se as contas que você está migrando tiverem uma força de senha mais fraca do que a forte força de senha imposta pelo Azure AD B2C, você poderá desabilitar o forte requisito de senha. Para obter mais informações, veja Propriedade da política de senha.

Próximas etapas

O azure-ad-b2c/user-migration repositório no GitHub contém um exemplo de política personalizada de migração contínua e um exemplo de código da API REST:

Política personalizada de migração de usuário perfeita e exemplo de código da API REST