Tutorial: Configurar o Azure Active Directory B2C com o Datawiza para fornecer acesso híbrido seguro

Neste tutorial, saiba como integrar o Azure AD B2C (Azure Active Directory B2C) ao DaP (Datawiza Access Proxy), que permite o SSO (logon único) e o controle de acesso granular, ajudando o Azure AD B2C a proteger aplicativos herdados locais. Com essa solução, as empresas podem fazer a transição do herdado para o Azure AD B2C sem reescrever aplicativos.

Pré-requisitos

Para começar, você precisará de:

• Uma assinatura do Microsoft Entra
  • Se você não tiver uma, poderá obter uma conta gratuita do Azure
• Um tenant do Azure AD B2C vinculado à sua assinatura do Azure
• O Docker, uma plataforma aberta para desenvolver, enviar e executar aplicativos, é necessário para executar o DAB
  • Seus aplicativos podem ser executados em plataformas, como máquina virtual e computador bare-metal
• Um aplicativo local para fazer a transição de um sistema de identidade herdado para o Azure AD B2C
  • Neste tutorial, o DAB é implantado no mesmo servidor que o aplicativo
  • O aplicativo é executado no localhost: 3001 e o DAP encaminha o tráfego para os aplicativos via localhost: 9772
  • O tráfego do aplicativo atinge o DAB primeiro e, em seguida, é enviado para o aplicativo

Descrição do cenário

A integração do Datawiza inclui os seguintes componentes:

• Azure AD B2C: o servidor de autorização para verificar as credenciais do usuário
  • Usuários autenticados acessam aplicativos locais usando uma conta local armazenada no diretório do Azure AD B2C
• Datawiza Access Proxy (DAP): o serviço que transfere a identidade para aplicativos através de cabeçalhos HTTP
• Console de Gerenciamento de Nuvem do Datawiza (DCMC): um console de gerenciamento para DAB. A interface do usuário do DCMC e as APIs RESTful ajudam a gerenciar as configurações do DAB e as políticas de controle de acesso

O diagrama de arquitetura a seguir mostra a implementação.

1. O usuário solicita acesso a um aplicativo local. O DAB encaminha a solicitação para o aplicativo.
2. O DAP verifica o estado da autenticação do usuário. Sem nenhum token de sessão ou um token inválido, o usuário vai para o Azure AD B2C para autenticação.
3. O Azure AD B2C envia a solicitação do usuário para o ponto de extremidade especificado durante o registro do DAP no locatário do Azure AD B2C.
4. O DAP avalia as políticas de acesso e calcula valores de atributo em cabeçalhos HTTP encaminhados para o aplicativo. O DAP pode realizar uma chamada ao provedor de identidade (IdP) para recuperar informações necessárias para definir os valores do cabeçalho. O DAP define os valores de cabeçalho e envia a solicitação para o aplicativo.
5. O usuário é autenticado com acesso ao aplicativo.

Integração com o Datawiza

Para integrar seu aplicativo local herdado ao Azure AD B2C, entre em contato com o Datawiza.

Configure seu tenant do Azure AD B2C

Vá para docs.datawiza.com para:

1. Saiba como registrar seu aplicativo Web em um locatário do Azure AD B2C e configurar um fluxo de usuário de inscrição e entrada. Para obter mais informações, consulte Azure AD B2C.

2. Configure um fluxo de usuário no portal do Azure.

Criar um aplicativo no DCMC

1. No DCMC, crie um aplicativo e gere um par de chaves de PROVISIONING_KEY e PROVISIONING_SECRET para este aplicativo. Veja o Console de Gerenciamento de Nuvem do Datawiza.

2. Configure o IdP com o Azure AD B2C. Veja a parte I: Configuração do Azure AD B2C.

   

Executar o DAB com um aplicativo baseado em cabeçalho

Você pode usar o Docker ou o Kubernetes para executar o DAP. Use a imagem do Docker para os usuários criarem um aplicativo baseado em cabeçalho de exemplo.

Saiba mais: Para configurar a integração do DAP e do SSO, consulte Implantar o Proxy de Acesso do Datawiza com seu aplicativo

Uma imagem de exemplo do docker docker-compose.yml file é fornecida. Entre no registro de contêiner para baixar as imagens do DAP e do aplicativo baseado em cabeçalho.

1. Implante o Proxy de Acesso do Datawiza com seu aplicativo.

   version: '3'
   
   services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
     - "9772:9772"
   environment:
     PROVISIONING_KEY: #############################
     PROVISIONING_SECRET: #############################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   container_name: ab-demo-header-app
   restart: always
   environment:
     CONNECTOR: B2C
   ports:
     - "3001:3001"
   

2. O aplicativo baseado em cabeçalho tem o SSO habilitado com o Azure AD B2C.

3. Abra um navegador e insira http://localhost:9772/.

4. Uma página de entrada do Azure AD B2C é exibida.

Passar atributos de usuário para o aplicativo baseado em cabeçalho

O DAB obtém atributos de usuário do IdP e os passa para o aplicativo com cabeçalho ou cookie. Depois de configurar atributos de usuário, o sinal de verificação verde será exibido para atributos de usuário.

Saiba mais: Passe atributos de usuário , como endereço de email, nome e sobrenome para o aplicativo baseado em cabeçalho.

Testar o fluxo

1. Navegue até a URL do aplicativo local.
2. O DAP redireciona para a página configurada em seu fluxo de usuário.
3. Na lista, escolha o IdP.
4. Quando solicitado, insira suas credenciais. Se necessário, inclua um token de autenticação multifator do Microsoft Entra.
5. Você é redirecionado para o Azure AD B2C, que encaminha a solicitação de aplicativo para o URI de redirecionamento do DAP.
6. O DAB avalia políticas, calcula cabeçalhos e envia o usuário para o aplicativo upstream.
7. O aplicativo solicitado é exibido.

Próximas etapas

• Políticas personalizadas no Azure AD B2C
• Introdução às políticas personalizadas no Azure AD B2C