Configurar requisitos de complexidade para senhas no Azure Active Directory B2C

• Criar um fluxo do usuário para que os usuários podem se registrar e entrar no seu aplicativo.
• Registrar um aplicativo Web.

• Conclua as etapas em Introdução às políticas personalizadas no Active Directory B2C. Este tutorial orienta como atualizar arquivos de política personalizados para usar a configuração de locatário do Azure AD B2C.
• Registrar um aplicativo Web.

Imposição de regra de senha

Durante a inscrição ou a redefinição de senha, um usuário final deve fornecer uma senha que atenda às regras de complexidade. As regras de complexidade de senha são aplicadas por fluxo de usuário. É possível que um fluxo de usuário exija uma senha de quatro dígitos durante a inscrição, enquanto outro fluxo de usuário requer uma cadeia de oito caracteres ao se inscrever. Por exemplo, você pode usar um fluxo de usuário com complexidade de senha diferente para adultos do que para crianças.

A complexidade da senha nunca é imposta durante a entrada. Os usuários nunca são solicitados durante a entrada a alterar sua senha porque ela não atende ao requisito de complexidade atual.

Você pode configurar a complexidade da senha nos seguintes tipos de fluxos de usuário:

• Fluxo do usuário para cadastro ou login
• Fluxo de usuário de redefinição de senha

Se você estiver usando políticas personalizadas, poderá configurar a complexidade da senha em uma política personalizada.

Configurar a complexidade da senha

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
3. No portal do Azure, pesquise e selecione Azure AD B2C.
4. Escolha Fluxos de usuário.
5. Selecione um fluxo de usuário e selecione Propriedades.
6. Em complexidade de senha, altere a complexidade da senha para esse fluxo de usuário para Simples, Forte ou Personalizado.

Gráfico de comparação

Opções personalizadas

Conjunto de caracteres

Permite que você aceite apenas dígitos (pinos) ou o conjunto de caracteres completo.

• Os números só permitem dígitos somente (0-9) ao inserir uma senha.
• Tudo permite qualquer letra, número ou símbolo.

Comprimento

Permite que você controle os requisitos de comprimento da senha.

• O comprimento mínimo deve ser de pelo menos 4.
• O comprimento máximo deve ser maior ou igual ao comprimento mínimo e, no máximo, pode ser 256 caracteres.

Classes de caracteres

Permite controlar os diferentes tipos de caracteres usados na senha.

• 2 de 4: caractere minúsculo, caractere maiúsculo, Número (0-9), o Símbolo garante que a senha contenha pelo menos dois tipos de caracteres. Por exemplo, um número e um caractere minúsculo.

• 3 de 4: caractere minúsculo, caractere maiúsculo, número (0-9), o símbolo garante que a senha contenha pelo menos três tipos de caracteres. Por exemplo, um número, um caractere minúsculo e um caractere maiúsculo.

• 4 de 4: caractere em letras minúsculas, caractere maiúsculo, Número (0-9), o Símbolo garante que a senha contenha todos os quatro tipos de caracteres.

  Observação

  Exigir 4 de 4 pode resultar em frustração do usuário final. Alguns estudos mostraram que esse requisito não melhora a entropia de senha. Confira as Diretrizes de senha do NIST

Validação do predicado de senha

Para configurar a complexidade da senha, substitua o newPassword e os reenterPasswordtipos de declaração por uma referência às validações de predicado. O elemento PredicateValidations agrupa um conjunto de predicados para formar uma validação de entrada do usuário que pode ser aplicada a um tipo de declaração. Abra o arquivo de extensões da política. Por exemplo, SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

1. Pesquise o elemento BuildingBlocks . Se o elemento não existir, adicione-o.

2. Localize o elemento ClaimsSchema . Se o elemento não existir, adicione-o.

3. Adicione as declarações newPassword e reenterPassword ao elemento ClaimsSchema.

   <!-- 
   <BuildingBlocks>
     <ClaimsSchema> -->
       <ClaimType Id="newPassword">
         <PredicateValidationReference Id="CustomPassword" />
       </ClaimType>
       <ClaimType Id="reenterPassword">
         <PredicateValidationReference Id="CustomPassword" />
       </ClaimType>
     <!-- 
     </ClaimsSchema>
   </BuildingBlocks>-->
   

4. Predicados definem uma validação básica para verificar o valor de um tipo de declaração e retornam true ou false. A validação é feita usando um elemento de método especificado e um conjunto de parâmetros relevantes para o método. Adicione os seguintes predicados ao elemento BuildingBlocks imediatamente após o fechamento do </ClaimsSchema> elemento:

   <!-- 
   <BuildingBlocks>-->
     <Predicates>
       <Predicate Id="LengthRange" Method="IsLengthRange">
         <UserHelpText>The password must be between 6 and 64 characters.</UserHelpText>
         <Parameters>
           <Parameter Id="Minimum">6</Parameter>
           <Parameter Id="Maximum">64</Parameter>
         </Parameters>
       </Predicate>
       <Predicate Id="Lowercase" Method="IncludesCharacters">
         <UserHelpText>a lowercase letter</UserHelpText>
         <Parameters>
           <Parameter Id="CharacterSet">a-z</Parameter>
         </Parameters>
       </Predicate>
       <Predicate Id="Uppercase" Method="IncludesCharacters">
         <UserHelpText>an uppercase letter</UserHelpText>
         <Parameters>
           <Parameter Id="CharacterSet">A-Z</Parameter>
         </Parameters>
       </Predicate>
       <Predicate Id="Number" Method="IncludesCharacters">
         <UserHelpText>a digit</UserHelpText>
         <Parameters>
           <Parameter Id="CharacterSet">0-9</Parameter>
         </Parameters>
       </Predicate>
       <Predicate Id="Symbol" Method="IncludesCharacters">
         <UserHelpText>a symbol</UserHelpText>
         <Parameters>
           <Parameter Id="CharacterSet">@#$%^&amp;*\-_+=[]{}|\\:',.?/`~"();!</Parameter>
         </Parameters>
       </Predicate>
     </Predicates>
   <!-- 
   </BuildingBlocks>-->
   

5. Adicione as seguintes validações de predicado ao elemento BuildingBlocks imediatamente após o fechamento do </Predicates> elemento:

   <!-- 
   <BuildingBlocks>-->
     <PredicateValidations>
       <PredicateValidation Id="CustomPassword">
         <PredicateGroups>
           <PredicateGroup Id="LengthGroup">
             <PredicateReferences MatchAtLeast="1">
               <PredicateReference Id="LengthRange" />
             </PredicateReferences>
           </PredicateGroup>
           <PredicateGroup Id="CharacterClasses">
             <UserHelpText>The password must have at least 3 of the following:</UserHelpText>
             <PredicateReferences MatchAtLeast="3">
               <PredicateReference Id="Lowercase" />
               <PredicateReference Id="Uppercase" />
               <PredicateReference Id="Number" />
               <PredicateReference Id="Symbol" />
             </PredicateReferences>
           </PredicateGroup>
         </PredicateGroups>
       </PredicateValidation>
     </PredicateValidations>
   <!-- 
   </BuildingBlocks>-->
   

Desabilitar senha forte

Os perfis técnicos a seguir são perfis técnicos do Active Directory, que leem e gravam dados na ID do Microsoft Entra. Substitua esses perfis técnicos no arquivo de extensão. Use PersistedClaims para desabilitar a política de senha forte. Localize o elemento ClaimsProviders. Adicione os seguintes provedores de declaração conforme demonstrado abaixo:

<!-- 
<ClaimsProviders>-->
  <ClaimsProvider>
    <DisplayName>Azure Active Directory</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="AAD-UserWriteUsingLogonEmail">
        <PersistedClaims>
          <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
        </PersistedClaims>
      </TechnicalProfile>
      <TechnicalProfile Id="AAD-UserWritePasswordUsingObjectId">
        <PersistedClaims>
          <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration, DisableStrongPassword"/>
        </PersistedClaims>
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
<!-- 
</ClaimsProviders>-->

Se você usar a política de entrada baseada em nome de usuário, atualize os perfis técnicos AAD-UserWriteUsingLogonEmail, AAD-UserWritePasswordUsingObjectId e LocalAccountWritePasswordUsingObjectId com a política DisableStrongPassword.

Salve o arquivo de política.

Testar sua política

Carregar os arquivos

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
3. Escolha Todos os serviços no canto superior esquerdo do Portal do Azure, pesquise Azure AD B2C e selecione-o.
4. Selecione a Estrutura de Experiência de Identidade.
5. Na página Políticas Personalizadas, selecione Carregar Política.
6. Selecione Substituir a política se ela existir, depois procure o arquivo TrustFrameworkExtensions.xml e selecione-o.
7. Selecione Carregar.

Executar a política

1. Abra a política de cadastro ou login, por exemplo, B2C_1A_signup_signin.
2. Para o Aplicativo, selecione seu aplicativo que você registrou anteriormente. Para ver o token, a URL de Resposta deve mostrar https://jwt.ms.
3. Selecione Executar agora.
4. Selecione Inscrever-se agora, insira um endereço de email e insira uma nova senha. As diretrizes são apresentadas sobre restrições de senha. Conclua a inserção das informações do usuário e selecione Criar. Você deve ver o conteúdo do token que foi retornado.

Conteúdo relacionado

• Saiba como configurar a alteração de senha no Azure Active Directory B2C.
• Saiba mais sobre os Predicados e os elementos PredicateValidations na referência do IEF.