Configurar a Ferramenta de Administração do TheAccessHub com o Azure Active Directory B2C

Neste tutorial, saiba como integrar o Azure Active Directory B2C (Azure AD B2C) à Ferramenta de Administração do TheAccessHub da N8 Identity N8ID. A solução aborda a migração da conta do cliente e a administração da CSR (solicitação de atendimento ao cliente).

Use esta solução para os seguintes cenários:

• Você tem um site e deseja migrar para o Azure AD B2C.
  • No entanto, a migração da conta do cliente é desafiadora, incluindo senhas.
• Você precisa de uma ferramenta CSR para administrar contas do Azure AD B2C.
• A administração de CSR delegada é um requisito.
• Você deseja sincronizar e mesclar dados de repositórios no Azure AD B2C.

Pré-requisitos

Para começar, você precisa do seguinte:

• Uma assinatura do Azure

  • Se você não tiver uma, poderá obter uma conta gratuita do Azure

• Um tenant do Azure AD B2C vinculado à sua assinatura do Azure
• Ambiente da Ferramenta de Administração do TheAccessHub
  • Confira N8 Identity/contato para um novo ambiente
• Opcional:
  • Informações de conexão e credencial para bancos de dados ou LDAPs (Protocolos de Acesso ao Diretório Leve), dos quais você deseja migrar dados do cliente
  • Um ambiente do Azure AD B2C configurado para políticas personalizadas para integrar o TheAccessHub Admin Tool ao fluxo de política de inscrição

Descrição do cenário

A Ferramenta de Administração do TheAccessHub é executada na assinatura do Azure N8ID ou na assinatura do cliente. O diagrama de arquitetura a seguir mostra a implementação.

1. O usuário chega em uma página de entrada, cria uma conta e insere informações. O Azure AD B2C coleta atributos de usuário.
2. O Azure AD B2C chama a Ferramenta de Administração do TheAccessHub e passa os atributos de usuário.
3. A Ferramenta de Administração do TheAccessHub verifica seu banco de dados quanto às informações atuais do usuário.
4. Os registros de usuário são sincronizados do banco de dados com a Ferramenta de Administração do TheAccessHub.
5. A Ferramenta de Administração do TheAccessHub compartilha os dados com a CSR delegada ou o administrador de assistência técnica.
6. A Ferramenta de Administração do TheAccessHub sincroniza registros de usuário com o Azure AD B2C.
7. Com base na resposta da Ferramenta de Administração do TheAccessHub, o Azure AD B2C envia um email de boas-vindas personalizado aos usuários.

Criar um administrador do provedor de identidade externo e um administrador de fluxo de usuário B2C em seu locatário do Azure AD B2C

As permissões da Ferramenta de Administração do TheAccessHub atuam em nome de um Administrador do Provedor de Identidade Externo e do Administrador de Fluxo de Usuário B2C para fazer as leitura das informações do usuário e realizar alterações em seu locatário do Azure AD B2C. As alterações em seus administradores regulares não afetam a interação da Ferramenta de Administração do TheAccessHub com o locatário.

Para criar um Administrador do Provedor de Identidade Externo e um Administrador de Fluxo de Usuário B2C:

1. No portal do Azure, entre no seu locatário do Azure AD B2C como Administrador.
2. Acesse Microsoft Entra ID>Usuários.
3. Selecione Novo Usuário.
4. Escolha Criar Usuário para criar um usuário de diretório regular e não um cliente.
5. No formulário de informações de identidade:

• Insira o nome de usuário, como theaccesshub.
• Insira o nome da conta, como a Conta de Serviço do TheAccessHub.

7. Selecione Mostrar Senha.
8. Copie e salve a senha inicial.
9. Para atribuir a função Administrador do Provedor de Identidade Externa e Administrador de Fluxo de Usuário B2C, para Usuário, selecione a função atual do usuário.
10. Selecione os registros Administrador do Provedor de Identidade Externo e Administrador de Fluxo de Usuário B2C.
11. Selecione Criar.

Conectar a Ferramenta de Administração do TheAccessHub ao locatário do Azure AD B2C

A Ferramenta de Administração do TheAccessHub usa a API do Microsoft Graph para ler e fazer alterações em um diretório. Ele atua como um Administrador do Provedor de Identidade Externo e Administrador de Fluxo de Usuário B2C no locatário. Use as instruções a seguir para adicionar as permissões necessárias.

Para autorizar a Ferramenta de Administração do TheAccessHub a acessar seu diretório:

1. Utilize as credenciais fornecidas pela N8 Identity para acessar a Ferramenta de Administração do TheAccessHub.
2. Vá para Administrador do Sistema>Configuração do Azure AD B2C.
3. Selecione Autorizar Conexão.
4. Na nova janela, entre com a sua conta de Administrador do Provedor de Identidade Externo e Administrador de Fluxo de Usuário B2C. Quando você entra pela primeira vez com a nova conta de serviço, um prompt para redefinir sua senha pode aparecer.
5. Siga os prompts e selecione Aceitar.

Configurar um novo usuário de CSR com sua identidade corporativa

Crie um usuário CSR ou Helpdesk que acesse a Ferramenta de Administração do TheAccessHub com credenciais corporativas do Microsoft Entra.

Para configurar um usuário do CSR ou do Helpdesk com SSO (logon único):

1. Utilize as credenciais fornecidas pela N8 Identity para acessar a Ferramenta de Administração do TheAccessHub.
2. Vá para Ferramentas do Gerente>Gerenciar Colegas.
3. Selecione Adicionar Colega.
4. Para Tipo de Colega, selecione Administrador do Azure.
5. Para as informações do perfil, selecione uma organização principal para controlar quem tem permissão para gerenciar este usuário.
6. Para ID de login/Nome de usuário do Azure AD, insira o nome principal do usuário da conta do Microsoft Entra.
7. Na guia das Funções do TheAccessHub, selecione a função gerenciada de Suporte técnico.
8. Selecione Enviar.

Configurar um novo usuário de CSR com uma nova identidade

Crie um usuário CSR ou Helpdesk para acessar a Ferramenta de Administração do TheAccessHub com uma nova credencial local. Esse usuário é para organizações que não usam a ID do Microsoft Entra.

Consulte a Ferramenta de Administração do AccessHub: Adicionar Administrador de Colegas sem SSO.

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Vá para Ferramentas do Gerente>Gerenciar Colegas.
3. Selecione Adicionar Colega.
4. Para Tipo de Colega, selecione Administrador Local.
5. Para as informações do perfil, selecione uma organização principal para controlar quem tem permissão para gerenciar este usuário.
6. Na guia das Funções do TheAccessHub, selecione a função gerenciada de Suporte técnico.
7. Copie a ID de logon/email e os atributos de senha única . Forneça-os ao novo usuário para entrar na Ferramenta de Administração do TheAccessHub.
8. Selecione Enviar.

Configurar a administração de CSR particionada

Na Ferramenta de Administração do TheAccessHub, as permissões para gerenciar usuários de cliente e CSR/Helpdesk são gerenciadas por meio de uma hierarquia da organização. Colegas e clientes têm uma organização doméstica. Você pode atribuir colegas ou grupos de colegas como proprietários da organização.

Os proprietários da organização podem gerenciar e alterar colegas e clientes em organizações ou suborganizações que possuem. Para vários colegas gerenciarem um conjunto de usuários, crie um grupo com vários membros. Em seguida, configure o grupo como dono da organização. Todos os membros do grupo podem gerenciar colegas e clientes na organização.

Criar um novo grupo

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Acesse Organização > Gerenciar Grupos.
3. Selecione Adicionar Grupo.
4. Insira valores para o nome do grupo, a descrição do grupo e o proprietário do grupo.
5. Procure e selecione as caixas de seleção para que os colegas se tornem membros do grupo.
6. Selecione Adicionar.
7. Os membros do grupo aparecem na parte inferior da página. Selecione o X em uma linha para remover um membro.
8. Selecione Enviar.

Criar uma nova organização

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Acesse Organização>Gerenciar Organizações.
3. Selecione Adicionar Organização.
4. Insira valores para nome da organização, proprietário da organização e organização pai
5. Selecione Enviar.

Modificar a hierarquia por meio da visualização em árvore.

Use essa função para visualizar o gerenciamento de grupos e colegas.

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Acesse Ferramentas do Gerenciador>Exibição de Árvore.
3. Modifique a hierarquia arrastando organizações para as organizações pai.
4. Clique em Salvar.

Personalizar a notificação de boas-vindas

Se você estiver usando a Ferramenta de Administração do TheAccessHub para migrar usuários de uma solução para o Azure AD B2C, você poderá personalizar a notificação de boas-vindas do usuário. A notificação vai para os usuários durante a migração e pode incluir um link para definir uma nova senha no diretório do Azure AD B2C.

Para personalizar a notificação:

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Vá paraNotificações de > do Sistema.
3. Selecione o modelo Criar Colega .
4. Selecione Editar.
5. Faça as alterações necessárias na mensagem e no modelo. O campo Modelo tem reconhecimento HTML e pode enviar notificações formatadas em HTML.
6. Clique em Salvar.

Migrar dados de fontes de dados externas para o Azure AD B2C

Com a Ferramenta de Administração do TheAccessHub, você pode importar dados de vários bancos de dados, LDAPs e arquivos .csv e, em seguida, enviar esses dados para seu locatário do Azure AD B2C. Você carrega os dados para migrá-los para o tipo de colega de usuário do Azure AD B2C na Ferramenta de Administração do TheAccessHub.

Configurar uma fonte de dados

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Vá para Administrador do Sistema>Fontes de Dados.
3. Selecione Adicionar Fonte de Dados.
4. Forneça valores de Nome e Tipo para esta fonte de dados.
5. Insira dados de formulário para bancos de dados:

• Tipo: Banco de dados
• Tipo de banco de dados: selecione um banco de dados com suporte
• URL de conexão: insira uma cadeia de conexão JDBC (Conectividade de Banco de Dados Java), como jdbc:postgresql://myhost.com:5432/databasename
• Nome de usuário: nome de usuário para acessar o banco de dados
• Senha: senha para acessar o banco de dados
• Consulta: a consulta SQL para extrair detalhes do cliente, como SELECT * FROM mytable;'
• Selecione Testar Conexão. Um exemplo de dados aparece para confirmar se a conexão está funcionando.

6. Insira dados de formulário para LDAPs:

• Tipo: LDAP
• Host: nome do host ou endereço IP do computador no qual o servidor LDAP é executado, como mysite.com
• Porta, número da porta no qual o servidor LDAP está escutando
• SSL, selecione a caixa da Ferramenta de Administração do TheAccessHub para se comunicar com o LDAP com SSL (recomendado)
• Login DN: nome distinguido da conta de usuário (DN) para efetuar o login e realizar a pesquisa LDAP
• Senha: senha do usuário
• Base DN: DN no topo da hierarquia onde realizar a pesquisa
• Filtro: cadeia de caracteres de filtro LDAP para obter seus registros de cliente
• Atributos: lista de atributos separados por vírgulas, de seus registros de clientes, para passar para a Ferramenta de Administração do TheAccessHub
• Selecione a Conexão de Teste. Um exemplo de dados aparece para confirmar se a conexão está funcionando.

7. Insira dados para o OneDrive. Tipo: OneDrive for Business.'
8. Selecione Autorizar Conexão.
9. Uma nova janela solicita que você entre no OneDrive. Faça login com acesso de leitura na conta do OneDrive. A Ferramenta de Administração do TheAccessHub lê arquivos de carregamento .csv.
10. Siga os prompts e selecione Aceitar.
11. Clique em Salvar.

Sincronize dados da sua fonte de dados para o Azure AD B2C

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Acesse Administrador do Sistema>Sincronização de Dados.
3. Selecione Nova Carga.
4. Tipo de Colega: Usuário do Azure AD B2C.
5. Selecione Origem. Na caixa de diálogo, selecione sua fonte de dados. Se você criou uma fonte de dados do OneDrive, selecione o arquivo.
6. Para criar contas de clientes, altere a primeira política, SE o colega não for encontrado no TheAccessHub, ENTÃO: Não fazer nada.
7. Para atualizar as contas de clientes, altere a segunda política, SE a fonte e os dados do AccessHub são incompatíveis, ENTÃO: Não fazer nada.
8. Selecione Próximo.
9. Na configuração de Mapeamento de Pesquisa, identifique a correlação de registro de carga com os clientes na Ferramenta de Administração do TheAccessHub.
10. Selecione atributos de identificação de origem. Corresponder atributos dos atributos da Ferramenta de Administração do TheAccessHub com os mesmos valores. Se houver uma correspondência, o registro será substituído. Caso contrário, um novo cliente será criado.
11. Sequenciar o número de verificações. Por exemplo, verifique primeiro o e-mail, depois o nome e o sobrenome.
12. No menu esquerdo, selecione Mapeamento de Dados.
13. Em Configuração de mapeamento de dados, defina os atributos da Ferramenta de Administração do TheAccessHub para serem preenchidos com base nos atributos de origem. Os atributos não mapeados permanecem inalterados para os clientes. Se você mapear o atributo org_name com um valor de organização atual, os clientes criados entrarão na organização.
14. Selecione Próximo.
15. Para que essa carga seja recorrente, selecione Diário/Semanal ou Mensal. Caso contrário, mantenha o padrão, Agora.
16. Selecione Enviar.
17. Para o agendamento Agora , um novo registro é adicionado às Sincronizações de Dados.
18. Quando a validação for de 100%, selecione o novo registro para ver o resultado. Para cargas agendadas, os registros são exibidos após o horário agendado.
19. Se não houver erros, selecione Executar. Caso contrário, para remover a carga, no menu Mais , selecione Remover.
20. Se houver erros, você poderá atualizar manualmente os registros. Em cada registro, selecione Atualizar e fazer correções.
21. Quando a Sincronização de Dados é de 100%, os clientes aparecem ou recebem alterações no Azure AD B2C.

Sincronizar dados do cliente do Azure AD B2C

A Ferramenta de Administração do TheAccessHub pode sincronizar informações do cliente do Azure AD B2C com o TheAccessHub Admin Tool como uma operação única ou contínua. Essa operação garante que os administradores de CSR ou de Assistência técnica vejam informações atualizadas sobre o cliente.

Para sincronizar dados do Azure AD B2C com a Ferramenta de Administração do TheAccessHub:

1. Utilize as credenciais N8ID fornecidas para fazer login na Ferramenta de Administração do TheAccessHub.
2. Acesse Administrador do Sistema>Sincronização de Dados.
3. Selecione Nova Carga.
4. Tipo de Colega: Usuário do Azure AD B2C.
5. Para Opções, deixe os padrões.
6. Selecione Próximo.
7. Para Mapeamento e Pesquisa de Dados, deixe os padrões. Exceção: se você mapear o atributo org_name para um valor de organização atual, os clientes criados aparecerão na organização.
8. Selecione Próximo.
9. Para que a carga seja recorrente, selecione uma agenda diária/semanal ou mensal . Caso contrário, deixe o padrão Agora . É recomendável a recorrência.
10. Selecione Enviar.
11. Se você selecionou Agora, um novo registro será exibido nas Sincronizações de Dados. Depois que a validação for de 100%, selecione o novo registro para ver o resultado da carga. Para cargas agendadas, os registros são exibidos após o horário agendado.
12. Se não houver erros, selecione Executar. Caso contrário, para remover a carga, no menu Mais , selecione Remover.
13. Se houver erros, atualize manualmente cada registro e selecione Atualizar.
14. Quando a Sincronização de Dados é de 100%, as alterações são iniciadas.

Configurar políticas do Azure AD B2C

Se você ocasionalmente sincronizar a Ferramenta de Administração do TheAccessHub, talvez ela não esteja atualizada com o Azure AD B2C. Você pode usar a API da Ferramenta de Administração do TheAccessHub e as políticas do Azure AD B2C para informar a Ferramenta de Administração do TheAccessHub sobre as alterações. Essa solução requer conhecimento técnico das políticas personalizadas do Azure AD B2C.

Criar uma credencial segura para invocar a API da Ferramenta de Administração do TheAccessHub

Para suas políticas personalizadas de inscrição, as etapas a seguir permitem que um certificado seguro notifique a Ferramenta de Administração do TheAccessHub de novas contas.

1. Para entrar na Ferramenta de Administração do TheAccessHub, use as credenciais fornecidas pelo N8ID.
2. Vá para Administração do Sistema>Ferramentas de Administração>Segurança da API.
3. Selecione Gerar.
4. Copie a senha do certificado.
5. Para o certificado do cliente, selecione Baixar.
6. Use a instrução na autenticação de certificado do cliente HTTPS para adicionar o certificado do cliente ao Azure AD B2C.

Obtenha seus exemplos de política personalizados

1. Utilize as credenciais fornecidas pela N8 Identity para acessar a Ferramenta de Administração do TheAccessHub.
2. Acesse o Admin do Sistema>Ferramentas de Administração>Políticas do Azure B2C.
3. Forneça seu domínio de locatário do Azure AD B2C e as duas IDs do Identity Experience Framework da configuração do Identity Experience Framework.
4. Clique em Salvar.
5. Selecione Baixar para obter um arquivo .zip com políticas básicas que adicionam clientes à Ferramenta de administração do TheAccessHub à medida que os clientes se inscrevem.
6. Para criar políticas personalizadas no Azure AD B2C, use as instruções em Criar fluxos de usuário.

Próximas etapas

• Políticas personalizadas no Azure AD B2C
• Introdução às políticas personalizadas no Azure AD B2C