Partilhar via

Migrar utilizadores para o AAD B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.

A migração de outro provedor de identidade para o Azure Ative Directory B2C (Azure AD B2C) também pode exigir a migração de contas de usuário existentes. Dois métodos de migração são discutidos aqui, pré-migração e migração contínua. Com qualquer uma das abordagens, é necessário escrever um aplicativo ou script que use a API do Microsoft Graph para criar contas de usuário no Azure AD B2C.

Assista a este vídeo para saber mais sobre as estratégias de migração de usuários do Azure AD B2C e as etapas a serem consideradas.

Observação

Antes de iniciar a migração, verifique se a cota não utilizada do locatário do Azure AD B2C pode acomodar todos os usuários que você espera migrar. Saiba como obter os dados de utilização do seu inquilino. Se precisar de aumentar o limite de quota do seu inquilino, contacte o Suporte da Microsoft.

Pré-migração

No fluxo de pré-migração, seu aplicativo de migração executa estas etapas para cada conta de usuário:

  1. Leia a conta de usuário do provedor de identidade antigo, incluindo suas credenciais atuais (nome de usuário e senha).
  2. Crie uma conta correspondente no diretório B2C do Azure AD com as credenciais atuais.

Use o fluxo pré-migração em qualquer uma destas duas situações:

  • Você tem acesso às credenciais de texto sem formatação de um usuário (seu nome de usuário e senha).
  • As credenciais são encriptadas, mas pode desencriptar.

Para obter informações sobre como criar contas de usuário programaticamente, consulte Gerenciar contas de usuário do Azure AD B2C com o Microsoft Graph.

Migração perfeita

Use o fluxo de migração contínua se as senhas de texto sem formatação no provedor de identidade antigo não estiverem acessíveis. Por exemplo, quando:

  • A senha é armazenada em um formato criptografado unidirecional, como com uma função hash.
  • A palavra-passe é armazenada pelo antigo fornecedor de identidade de uma forma à qual não é possível aceder. Por exemplo, quando o provedor de identidade valida credenciais chamando um serviço Web.

O fluxo de migração contínua ainda requer a pré-migração de contas de usuário, mas usa uma política personalizada para consultar uma API REST (que você cria) para definir a senha de cada usuário no primeiro login.

O fluxo de migração contínuo consiste em duas fases: pré-migração e credenciais definidas.

Fase 1: Pré-migração

  1. Seu aplicativo de migração lê as contas de usuário do provedor de identidade antigo.
  2. O aplicativo de migração cria contas de usuário correspondentes em seu diretório do Azure AD B2C, mas define senhas aleatórias que você gera.

Fase 2: Definir credenciais

Após a conclusão da pré-migração das contas, sua política personalizada e a API REST executam o seguinte quando um usuário faz login:

  1. Leia a conta de usuário do Azure AD B2C correspondente ao endereço de email inserido.
  2. Verifique se a conta está sinalizada para migração avaliando um atributo de extensão booleana.
    • Se o atributo de extensão retornar True, chame a API REST para validar a senha perante o provedor de identidade legado.
      • Se a API REST determinar que a senha está incorreta, retorne um erro amigável para o usuário.
      • Se a API REST determinar que a senha está correta, escreva a senha na conta do Azure AD B2C e altere o atributo de extensão booleana para False.
    • Se o atributo de extensão booleana retornar False, continue o processo de entrada normalmente.

Para ver um exemplo de política personalizada e API REST, consulte o exemplo de migração de usuário contínuo no GitHub.

Fluxograma da abordagem de migração contínua para migração de usuários

Segurança

A abordagem de migração contínua usa sua própria API REST personalizada para validar as credenciais de um usuário em relação ao provedor de identidade herdado.

Você deve proteger sua API REST contra ataques de força bruta. Um invasor pode enviar várias senhas na esperança de eventualmente adivinhar as credenciais de um usuário. Para ajudar a derrotar esses ataques, pare de atender solicitações à sua API REST quando o número de tentativas de entrada ultrapassar um determinado limite. Além disso, proteja a comunicação entre o Azure AD B2C e sua API REST. Para saber como proteger suas APIs RESTful para produção, consulte Secure RESTful API.

Atributos do utilizador

Nem todas as informações no provedor de identidade herdado devem ser migradas para o diretório do Azure AD B2C. Identifique o conjunto apropriado de atributos de usuário para armazenar no Azure AD B2C antes de migrar.

  • Armazenamento DO no Azure AD B2C:
    • Nome de utilizador, palavra-passe, endereços de e-mail, números de telefone, números de membro/identificadores.
    • Marcadores de consentimento para a política de privacidade e contratos de licença de utilizador final.
  • NÃO armazene no Azure AD B2C:
    • Dados confidenciais, como números de cartão de crédito, números de segurança social (SSN), registos médicos ou outros dados regulados por organismos de conformidade governamentais ou da indústria.
    • Preferências de marketing ou comunicação, comportamentos do usuário e insights.

Limpeza de diretórios

Antes de iniciar o processo de migração, aproveite a oportunidade para limpar seu diretório.

  • Identifique o conjunto de atributos de usuário a serem armazenados no Azure AD B2C e migre apenas o que você precisa. Se necessário, você pode criar atributos personalizados para armazenar mais dados sobre um usuário.
  • Se você estiver migrando de um ambiente com várias fontes de autenticação (por exemplo, cada aplicativo tem seu próprio diretório de usuário), migre para uma conta unificada no Azure AD B2C.
  • Se vários aplicativos tiverem nomes de usuário diferentes, você poderá armazenar todos eles em uma conta de usuário do Azure AD B2C usando a coleção de identidades. Sobre a senha, deixe o usuário escolher uma e defina-a no diretório. Por exemplo, com a migração contínua, apenas a senha escolhida deve ser armazenada na conta do Azure AD B2C.
  • Remova contas de usuário não utilizadas ou não migre contas obsoletas.

Política de palavra-passe

Se as contas que você está migrando tiverem uma força de senha mais fraca do que a força da senha forte imposta pelo Azure AD B2C, você poderá desabilitar o requisito de senha forte. Para obter mais informações, consulte Propriedade da política de senha.

Próximos passos

O azure-ad-b2c/user-migration repositório no GitHub contém um exemplo de política personalizada de migração contínua e um exemplo de código de API REST:

Política personalizada de migração de usuário contínua e exemplo de código da API REST

  • Last updated on