Gerenciar dados do usuário no Azure Ative Directory B2C

Este artigo descreve como você pode gerenciar os dados do usuário no Azure Ative Directory B2C (Azure AD B2C) usando as operações fornecidas pela API do Microsoft Graph. O gerenciamento de dados do usuário inclui a exclusão ou exportação de dados de logs de auditoria.

Excluir dados do usuário

Os dados do usuário são armazenados no diretório do Azure AD B2C e nos logs de auditoria. Todos os dados de auditoria do usuário são retidos por 7 dias no Azure AD B2C. Se quiser excluir dados do usuário dentro desse período de 7 dias, você pode usar a operação Excluir um usuário . Uma operação DELETE é necessária para cada um dos locatários do Azure AD B2C onde os dados podem residir.

Cada usuário no Azure AD B2C recebe uma ID de objeto. A ID do objeto fornece um identificador inequívoco para você usar para excluir dados do usuário no Azure AD B2C. Dependendo da sua arquitetura, o ID do objeto pode ser um identificador de correlação útil em outros serviços, como bancos de dados financeiros, de marketing e de gerenciamento de relacionamento com o cliente.

A maneira mais precisa de obter a ID do objeto para um usuário é obtê-la como parte de uma jornada de autenticação com o Azure AD B2C. Se você receber uma solicitação válida de dados de um usuário usando outros métodos, um processo offline, como uma pesquisa por um agente de suporte de atendimento ao cliente, pode ser necessário para localizar o usuário e anotar o ID do objeto associado.

O exemplo a seguir mostra um possível fluxo de exclusão de dados:

1. O utilizador inicia sessão e seleciona Eliminar os meus dados.
2. O aplicativo oferece uma opção para excluir os dados dentro de uma seção de administração do aplicativo.
3. O aplicativo força uma autenticação para o Azure AD B2C. O Azure AD B2C fornece um token com a ID do objeto do usuário de volta ao aplicativo.
4. O token é recebido pelo aplicativo e a ID do objeto é usada para excluir os dados do usuário por meio de uma chamada para a API do Microsoft Graph. A API do Microsoft Graph exclui os dados do usuário e retorna um código de status de 200 OK.
5. O aplicativo orquestra a exclusão de dados do usuário em outros sistemas organizacionais, conforme necessário, usando o ID do objeto ou outros identificadores.
6. O aplicativo confirma a exclusão de dados e fornece os próximos passos para o usuário.

Exportar dados do cliente

O processo de exportação de dados do cliente do Azure AD B2C é semelhante ao processo de exclusão.

Os dados do usuário do Azure AD B2C estão limitados a:

• Dados armazenados na ID do Microsoft Entra: Pode recuperar dados numa autenticação de utilizador do Azure AD B2C utilizando o ID do objeto ou qualquer nome de início de sessão, como um endereço de email ou nome de utilizador.
• Relatório de eventos de auditoria específicos do usuário: você pode indexar dados usando a ID do objeto.

No exemplo a seguir de um fluxo de dados de exportação, as etapas descritas como sendo executadas pelo aplicativo também podem ser executadas por um processo de back-end ou por um usuário com uma função de administrador no diretório:

1. O usuário entra no aplicativo. O Azure AD B2C aplica a autenticação multifator do Microsoft Entra, se necessário.
2. O aplicativo usa as credenciais do usuário para chamar uma operação da API do Microsoft Graph para recuperar os atributos do usuário. A API do Microsoft Graph fornece os dados de atributo no formato JSON. Dependendo do esquema, você pode definir o conteúdo do token de ID para incluir todos os dados pessoais sobre um usuário.
3. O aplicativo recupera a atividade de auditoria do usuário. A API do Microsoft Graph fornece os dados do evento para o aplicativo.
4. A aplicação agrega os dados e disponibiliza-os ao utilizador.

Próximos passos

Para saber como gerenciar como os usuários acessam seu aplicativo, consulte Gerenciar o acesso do usuário.