Visão geral técnica e de recursos do Azure Ative Directory B2C

Este artigo é um complemento de Sobre o Azure Ative Directory B2C e fornece uma introdução mais detalhada ao serviço. Discutiremos aqui os principais recursos com os quais você trabalha no serviço, seus recursos e aprenderemos como eles permitem que você forneça uma experiência de identidade totalmente personalizada para os clientes em seus aplicativos.

Locatário do Azure AD B2C

No Azure Active Directory B2C (Azure AD B2C), um locatário representa a sua organização e é um diretório de utilizadores. Cada locatário do Azure AD B2C é distinto e separado de outros locatários do Azure AD B2C. Um locatário do Azure AD B2C também é diferente de um locatário do Microsoft Entra, que talvez você já tenha.

Os principais recursos com os quais você trabalha em um locatário do Azure AD B2C são:

• Diretório - É onde o Azure AD B2C armazena as credenciais dos usuários, os dados de perfil e os registros do aplicativo.
• Registros de aplicativos - Você pode registrar seus aplicativos Web, móveis e nativos com o Azure AD B2C para habilitar o gerenciamento de identidades. Você também pode registrar quaisquer APIs que deseja proteger com o Azure AD B2C.
• Fluxos de usuário e políticas personalizadas - São usados para criar experiências de identidade para seus aplicativos com fluxos de usuário internos e políticas personalizadas totalmente configuráveis:
  • Os fluxos de usuário ajudam você a habilitar rapidamente tarefas comuns de identidade, como inscrição, login e edição de perfil.
  • As políticas personalizadas permitem criar fluxos de trabalho de identidade complexos exclusivos para sua organização, clientes, funcionários, parceiros e cidadãos.
• Opções de início de sessão - O Azure AD B2C oferece várias opções de registo e início de sessão para os utilizadores das suas aplicações:
  • Nome de usuário, email e entrada por telefone - Você pode configurar suas contas locais do Azure AD B2C para permitir a inscrição e entrar com um nome de usuário, endereço de email, número de telefone ou uma combinação de métodos.
  • Provedores de identidade social - Você pode se federar com provedores sociais como Facebook, LinkedIn ou X.
  • Provedores de identidade externos - Você também pode federar com protocolos de identidade padrão, como OAuth 2.0, OpenID Connect e muito mais.
• Chaves - Adicione e gerencie chaves de criptografia para assinar e validar tokens, segredos de cliente, certificados e senhas.

Um locatário do Azure AD B2C é o primeiro recurso que você precisa criar para começar a usar o Azure AD B2C. Saiba como:

• Crie um inquilino do Azure Active Directory B2C.
• Gerenciar seu locatário do Azure AD B2C

Contas no Azure AD B2C

O Azure AD B2C define vários tipos de contas de usuário. O Microsoft Entra ID, o Microsoft Entra B2B e o Azure Ative Directory B2C compartilham esses tipos de conta.

• Conta de trabalho - Os usuários com contas de trabalho podem gerenciar recursos em um locatário e, com uma função de administrador, também podem gerenciar locatários. Os utilizadores com contas profissionais podem criar novas contas de consumidor, repor palavras-passe, bloquear/desbloquear contas e definir permissões ou atribuir uma conta a um grupo de segurança.
• Conta de convidado - São utilizadores externos que convida para o seu locatário como convidados. Um cenário típico para convidar um usuário convidado para seu locatário do Azure AD B2C é compartilhar responsabilidades de administração.
• Conta de consumidor - São contas gerenciadas por fluxos de usuário e políticas personalizadas do Azure AD B2C.

Figura: Diretório de usuário em um locatário do Azure AD B2C no portal do Azure.

Contas de consumidor

Com uma conta de consumidor , os usuários podem entrar nos aplicativos que você protegeu com o Azure AD B2C. No entanto, os utilizadores com contas de consumidor não podem aceder aos recursos do Azure, por exemplo, ao portal do Azure.

Uma conta de consumidor pode ser associada a estes tipos de identidade:

• Identidade local , com o nome de usuário e a senha armazenados localmente no diretório B2C do Azure AD. Muitas vezes nos referimos a essas identidades como "contas locais".
• Identidades sociais ou empresariais , em que a identidade do usuário é gerenciada por um provedor de identidade federada. Por exemplo, Facebook, Google, Microsoft, ADFS ou Salesforce.

Um utilizador com uma conta de consumidor pode iniciar sessão com várias identidades. Por exemplo, nome de usuário, e-mail, ID de funcionário, ID do governo e outros. Uma única conta pode ter várias identidades, tanto locais como sociais.

Figura: Uma única conta de consumidor com várias identidades no Azure AD B2C

Para obter mais informações, consulte Visão geral de contas de usuário no Azure Ative Directory B2C.

Opções de início de sessão na conta local

O Azure AD B2C fornece várias maneiras pelas quais você pode autenticar um usuário. Os usuários podem entrar em uma conta local, usando nome de usuário e senha, verificação por telefone (também conhecida como autenticação sem senha). A inscrição por e-mail está habilitada por padrão nas configurações do provedor de identidade da sua conta local.

Saiba mais sobre as opções de início de sessão ou como configurar o fornecedor de identidade de conta local.

Atributos de perfil de utilizador

O Azure AD B2C permite gerenciar atributos comuns de perfis de conta de consumidor. Por exemplo, nome para exibição, sobrenome, nome próprio, cidade e outros.

Você também pode estender o esquema subjacente do Microsoft Entra ID para armazenar informações adicionais sobre seus usuários. Por exemplo, seu país/região de residência, idioma preferido e preferências, como se deseja assinar um boletim informativo ou ativar a autenticação multifator. Para obter mais informações, consulte:

• Atributos do perfil de usuário
• Adicionar atributos de usuário e personalizar a entrada do usuário em

Iniciar sessão com fornecedores de identidade externos

Você pode configurar o Azure AD B2C para permitir que os usuários entrem em seu aplicativo com credenciais de provedores de identidade social e empresarial. O Azure AD B2C pode se federar com provedores de identidade que oferecem suporte aos protocolos OAuth 1.0, OAuth 2.0, OpenID Connect e SAML. Por exemplo, Facebook, conta da Microsoft, Google, X, e Serviço de Federação do Active Directory (AD FS).

Com provedores de identidade externos, você pode oferecer aos seus consumidores a capacidade de entrar com suas contas sociais ou empresariais existentes, sem ter que criar uma nova conta apenas para seu aplicativo.

Na página de inscrição ou entrada, o Azure AD B2C apresenta uma lista de provedores de identidade externos que o usuário pode escolher para entrar. Depois de selecionar um dos provedores de identidade externos, eles são redirecionados para o site do provedor selecionado para concluir o processo de login. Depois que o usuário entra com êxito, ele retorna ao Azure AD B2C para autenticação da conta em seu aplicativo.

Para saber mais sobre provedores de identidade, consulte Adicionar provedores de identidade aos seus aplicativos no Azure Ative Directory B2C.

Experiências de identidade: fluxos de usuários ou políticas personalizadas

No Azure AD B2C, você pode definir a lógica de negócios que os usuários seguem para obter acesso ao seu aplicativo. Por exemplo, você pode determinar a sequência de etapas que os usuários seguem quando entram, se inscrevem, editam seu perfil ou redefinem uma senha. Depois de completar a sequência, o usuário adquire um token e ganha acesso ao seu aplicativo.

No Azure AD B2C, há duas maneiras de fornecer experiências de usuário de identidade:

• Fluxos de usuário - São políticas predefinidas, internas e configuráveis que fornecemos para que você possa criar experiências de inscrição, login e edição de políticas em minutos.

• Políticas personalizadas - Permitem que você crie suas próprias jornadas de usuário para cenários complexos de experiência de identidade.

A captura de tela a seguir mostra a interface do usuário de configurações de fluxo de usuário versus arquivos de configuração de política personalizados.

Para saber mais sobre fluxos de usuários e políticas personalizadas e ajudá-lo a decidir qual método funcionará melhor para suas necessidades de negócios, consulte Visão geral de fluxos de usuários e políticas personalizadas.

Interface de utilizador

No Azure AD B2C, você pode criar as experiências de identidade de seus usuários para que as páginas mostradas se misturem perfeitamente com a aparência da sua marca. Você obtém controle quase total do conteúdo HTML e CSS apresentado aos seus usuários quando eles prosseguem nas jornadas de identidade do seu aplicativo. Com essa flexibilidade, você pode manter a consistência visual e de marca entre seu aplicativo e o Azure AD B2C.

Para obter informações sobre a personalização da interface do usuário, consulte:

• Personalizar a interface do usuário
• Personalizar a interface do usuário com modelos HTML
• Ativar JavaScript e selecionar uma versão de layout de página

Domínio personalizado

Você pode personalizar seu domínio do Azure AD B2C nos URIs de redirecionamento para seu aplicativo. O domínio personalizado permite que você crie uma experiência perfeita para que as páginas mostradas se misturem perfeitamente com o nome de domínio do seu aplicativo. Da perspetiva do usuário, eles permanecem em seu domínio durante o processo de entrada em vez de redirecionar para o domínio padrão do Azure AD B2C .b2clogin.com.

Para obter mais informações, consulte Habilitar domínios personalizados.

Localização

A personalização de idioma no Azure AD B2C permite acomodar diferentes idiomas para atender às necessidades do cliente. A Microsoft fornece localizações para 36 idiomas, mas você também pode fornecer suas próprias localizações para qualquer idioma.

Veja como a localização funciona na personalização de idioma no Azure Ative Directory B2C.

Verificação de e-mail

O Azure AD B2C garante endereços de email válidos exigindo que os clientes os verifiquem durante a inscrição e os fluxos de redefinição de senha. Isso também impede que agentes mal-intencionados usem processos automatizados para gerar contas fraudulentas em seus aplicativos.

Você pode personalizar o e-mail enviado aos usuários que se inscrevem para usar seus aplicativos. Usando um provedor de e-mail de terceiros, você pode usar seu próprio modelo de e-mail e De: endereço e assunto, bem como suporte à localização e configurações personalizadas de senha de uso único (OTP). Para obter mais informações, consulte:

• Verificação de e-mail personalizada com Mailjet
• Verificação de e-mail personalizada com o SendGrid

Adicione sua própria lógica de negócios e chame APIs RESTful

Você pode integrar com uma API RESTful em fluxos de usuário e políticas personalizadas. A diferença é que, nos fluxos de usuários, você faz chamadas em locais específicos, enquanto nas políticas personalizadas, adiciona sua própria lógica de negócios à jornada. Esse recurso permite recuperar e usar dados de fontes de identidade externas. O Azure AD B2C pode trocar dados com um serviço RESTful para:

• Exiba mensagens de erro personalizadas e fáceis de usar.
• Valide a entrada do usuário para evitar que dados malformados persistam no diretório do usuário. Por exemplo, você pode modificar os dados inseridos pelo usuário, como colocar o primeiro nome em maiúsculas se ele o inseriu em letras minúsculas.
• Enriqueça os dados do usuário integrando-se ainda mais ao seu aplicativo corporativo de linha de negócios.
• Usando chamadas RESTful, você pode enviar notificações por push, atualizar bancos de dados corporativos, executar um processo de migração de usuários, gerenciar permissões, auditar bancos de dados e muito mais.

Os programas de fidelidade são outro cenário habilitado pelo suporte do Azure AD B2C para chamar APIs REST. Por exemplo, seu serviço RESTful pode receber o endereço de email de um usuário, consultar seu banco de dados de clientes e retornar o número de fidelidade do usuário para o Azure AD B2C.

Os dados de retorno podem ser armazenados na conta de diretório do usuário no Azure AD B2C. Os dados, então, podem ser avaliados em etapas subsequentes na política ou ser incluídos no token de acesso.

Você pode adicionar uma chamada de API REST em qualquer etapa de uma jornada do usuário definida por uma política personalizada. Por exemplo, você pode chamar uma API REST:

• Durante o início de sessão, imediatamente antes de o Azure AD B2C validar as credenciais
• Imediatamente após o início de sessão
• Antes do Azure AD B2C criar uma nova conta no diretório
• Depois que o Azure AD B2C cria uma nova conta no diretório
• Antes de o Azure AD B2C emitir um token de acesso

Para obter mais informações, consulte Sobre conectores de API no Azure AD B2C.

Protocolos e tokens

• Para aplicativos, o Azure AD B2C dá suporte aos protocolos OAuth 2.0, OpenID Connect e SAML para jornadas do usuário. Seu aplicativo inicia a jornada do usuário emitindo solicitações de autenticação para o Azure AD B2C. O resultado de uma solicitação ao Azure AD B2C é um token de segurança, como um token de ID, token de acesso ou token SAML. Esse token de segurança define a identidade do usuário dentro do aplicativo.

• Para identidades externas, o Azure AD B2C dá suporte à federação com qualquer provedor de identidade OAuth 1.0, OAuth 2.0, OpenID Connect e SAML.

O diagrama a seguir mostra como o Azure AD B2C pode se comunicar usando vários protocolos dentro do mesmo fluxo de autenticação:

1. O aplicativo de terceira parte confiável inicia uma solicitação de autorização para o Azure AD B2C usando o OpenID Connect.
2. Quando um usuário do aplicativo escolhe entrar usando um provedor de identidade externo que usa o protocolo SAML, o Azure AD B2C invoca o protocolo SAML para se comunicar com esse provedor de identidade.
3. Depois que o usuário concluir a operação de entrada com o provedor de identidade externo, o Azure AD B2C retorna o token para o aplicativo de terceira parte confiável usando o OpenID Connect.

Integração de aplicações

Quando um usuário deseja entrar em seu aplicativo, o aplicativo inicia uma solicitação de autorização para um fluxo de usuário ou ponto de extremidade fornecido por política personalizada. O fluxo do usuário ou a política personalizada define e controla a experiência do usuário. Quando eles concluem um fluxo de usuário, por exemplo, o fluxo de inscrição ou entrada , o Azure AD B2C gera um token e, em seguida, redireciona o usuário de volta para seu aplicativo. Esse token é específico do Azure AD B2C e não deve ser confundido com o token emitido por provedores de identidade de terceiros ao usar contas sociais. Para obter informações sobre como usar tokens de terceiros, consulte Passar um token de acesso de provedor de identidade para seu aplicativo no Azure Ative Directory B2C.

Vários aplicativos podem usar o mesmo fluxo de usuário ou política personalizada. Um único aplicativo pode usar vários fluxos de usuário ou políticas personalizadas.

Por exemplo, para entrar em um aplicativo, o aplicativo usa o fluxo de usuário de inscrição ou login . Depois que o usuário entrar, ele pode querer editar seu perfil, para que o aplicativo inicie outra solicitação de autorização, desta vez usando o fluxo de usuário de edição de perfil .

Autenticação multifator (MFA)

A Autenticação Multifator (MFA) do Azure AD B2C ajuda a proteger o acesso a dados e aplicativos, mantendo a simplicidade para seus usuários. Ele fornece segurança extra, exigindo uma segunda forma de autenticação, e fornece autenticação forte, oferecendo uma variedade de métodos de autenticação fáceis de usar.

Seus usuários podem ou não ser desafiados para MFA com base em decisões de configuração que você pode tomar como administrador.

Para obter mais informações, consulte Habilitar autenticação multifator no Azure Ative Directory B2C.

Acesso Condicional

Os recursos de deteção de risco da Proteção de ID do Microsoft Entra, incluindo usuários arriscados e entradas arriscadas, são detetados e exibidos automaticamente em seu locatário do Azure AD B2C. Você pode criar políticas de Acesso Condicional que usam essas deteções de risco para determinar ações de correção e impor políticas organizacionais.

O Azure AD B2C avalia cada evento de entrada e garante que todos os requisitos de política sejam atendidos antes de conceder acesso ao usuário. Usuários arriscados ou entradas arriscadas podem ser bloqueados ou desafiados com uma correção específica, como a autenticação multifator (MFA). Para obter mais informações, consulte Proteção de identidade e acesso condicional.

Complexidade da palavra-passe

Durante a inscrição ou a redefinição de senha, os usuários devem fornecer uma senha que atenda às regras de complexidade. Por padrão, o Azure AD B2C impõe uma política de senha forte. O Azure AD B2C também fornece opções de configuração para especificar os requisitos de complexidade das senhas que seus clientes usam quando usam contas locais.

Para obter mais informações, consulte Configurar requisitos de complexidade para senhas no Azure AD B2C.

Forçar redefinição de senha

Como administrador de locatário do Azure AD B2C, você pode redefinir a senha de um usuário se o usuário esquecer sua senha. Ou você pode definir uma política para forçar os usuários a redefinir sua senha periodicamente. Para obter mais informações, consulte Configurar um fluxo de redefinição de senha forçada.

Bloqueio inteligente de conta

Para evitar tentativas de adivinhação de senha de força bruta, o Azure AD B2C usa uma estratégia sofisticada para bloquear contas com base no IP da solicitação, nas senhas inseridas e em vários outros fatores. A duração do bloqueio é automaticamente aumentada com base no risco e no número de tentativas.

Para obter mais informações sobre como gerenciar configurações de proteção por senha, consulte Mitigar ataques de credenciais no Azure AD B2C.

Proteja recursos e identidades de clientes

O Azure AD B2C está em conformidade com os compromissos de segurança, privacidade e outros descritos na Central de Confiabilidade do Microsoft Azure.

As sessões são modeladas como dados criptografados, com a chave de descriptografia conhecida apenas pelo STS (Serviço de Token de Segurança) do Azure AD B2C. Um algoritmo de criptografia forte, AES-192, é usado. Todos os caminhos de comunicação são protegidos com TLS para confidencialidade e integridade. Nosso Serviço de Token de Segurança usa um certificado de Validação Estendida (EV) para TLS. Em geral, o Serviço de Token de Segurança mitiga ataques de cross-site scripting (XSS) ao não renderizar inputs não confiáveis.

Acesso aos dados do utilizador

Os locatários do Azure AD B2C compartilham muitas características com os locatários corporativos do Microsoft Entra usados para funcionários e parceiros. Os aspetos compartilhados incluem mecanismos para exibir funções administrativas, atribuir funções e auditar atividades.

Você pode atribuir funções para controlar quem pode executar determinadas ações administrativas no Azure AD B2C, incluindo:

• Criar e gerenciar todos os aspetos dos fluxos de usuários
• Criar e gerenciar o esquema de atributos disponível para todos os fluxos de usuário
• Configurar provedores de identidade para uso em federação direta
• Criar e gerenciar políticas de estrutura de confiança no Identity Experience Framework (políticas personalizadas)
• Gerenciar segredos para federação e criptografia no Identity Experience Framework (políticas personalizadas)

Para obter mais informações sobre as funções do Microsoft Entra, incluindo o suporte à função de administração do Azure AD B2C, consulte Permissões de função de administrador na ID do Microsoft Entra.

Auditoria e registos

O Azure AD B2C cria logs de auditoria contendo informações de atividade sobre seus recursos, tokens emitidos e acesso de administrador. Você pode usar os logs de auditoria para entender a atividade da plataforma e diagnosticar problemas. As entradas do log de auditoria ficam disponíveis logo após a ocorrência da atividade que gerou o evento.

Em um log de auditoria, que está disponível para seu locatário do Azure AD B2C ou para um usuário específico, você pode encontrar informações, incluindo:

• Atividades relativas à autorização de um usuário para acessar recursos B2C (por exemplo, um administrador acessando uma lista de políticas B2C)
• Atividades relacionadas a atributos de diretório recuperados quando um administrador entra usando o portal do Azure
• Operações de criação, leitura, atualização e eliminação (CRUD) em aplicações B2C
• Operações CRUD em chaves armazenadas em um contêiner de chaves B2C
• Operações CRUD em recursos B2C (por exemplo, políticas e provedores de identidade)
• Validação de credenciais de usuário e emissão de token

Para obter mais informações sobre logs de auditoria, consulte Acessando logs de auditoria do Azure AD B2C.

Análise de uso

O Azure AD B2C permite que você descubra quando as pessoas se inscrevem ou entram em seu aplicativo, onde os usuários estão localizados e quais navegadores e sistemas operacionais eles usam.

Ao integrar o Azure Application Insights nas políticas personalizadas do Azure AD B2C, você pode obter informações sobre como as pessoas se inscrevem, entram, redefinem a senha ou editam o perfil. Com esse conhecimento, você pode tomar decisões orientadas por dados para seus próximos ciclos de desenvolvimento.

Para obter mais informações, consulte Controlar o comportamento do usuário no Azure Ative Directory B2C usando o Application Insights.

Disponibilidade de região e residência dos dados

O serviço Azure AD B2C está geralmente disponível em todo o mundo com a opção de residência de dados em regiões, conforme especificado em Produtos disponíveis por região. A residência de dados é determinada pelo país/região que você seleciona ao criar seu locatário.

Saiba mais sobre a disponibilidade de região e residência de dados do serviço Azure Active Directory B2C e o Acordo de Nível de Serviço (SLA) do Azure Active Directory B2C.

Automação usando a API do Microsoft Graph

Use a API de gráfico do MS para gerenciar seu diretório do Azure AD B2C. Você também pode criar o próprio diretório do Azure AD B2C. Você pode gerenciar usuários, provedores de identidade, fluxos de usuários, políticas personalizadas e muito mais.

Saiba mais sobre como gerenciar o Azure AD B2C com o Microsoft Graph.

Limites e restrições de serviço do Azure AD B2C

Saiba mais sobre os limites e restrições de serviço do Azure AD B2C

Próximos passos

Agora que você tem uma visão mais profunda dos recursos e aspetos técnicos do Azure Ative Directory B2C:

• Comece com nosso tutorial para criar um locatário B2C do Azure Ative Directory.
• Configurar o início de sessão para uma aplicação de página única utilizando o Azure Ative Directory B2C
• Conceitos do Azure Ative Directory B2C