通过

Microsoft Entra 外部 ID 部署指南简介

本文档适用于安全与标识团队中的标识架构师和工程领导。 它假定读者了解客户标识和访问管理(CIAM)功能和相关的业务用例。 使用本指南来帮助规划、设计、实施和操作 Microsoft Entra 外部 ID 租户。

CIAM 是一组技术和流程,包含多重身份验证等安全方法,以确保只有经过授权的个人才能访问组织的敏感信息。

CIAM 设计

设计 CIAM 解决方案时,需要考虑一些方面。 例如,你的客户依赖机制帮助他们进行服务的身份验证。 无摩擦自助服务体验是 CIAM 解决方案的一部分。 它可以通过面向客户的接触点(包括 CIAM 解决方案)一致地描绘品牌。

越来越多的数字身份用于全渠道和混合场景,例如通过手机轻触进行店内结帐。

下图演示了关键方面:

CIAM 功能和选项的关系图。

还要考虑你的操作细节:

  • 监测
  • 伐木业
  • 配置管理
  • 支持
  • 事件响应

Microsoft Entra 客户外部 ID:用户体验

在 Microsoft Entra 外部 ID 中,可以通过多种方式自定义身份验证流的用户体验。 若要降低身份验证旅程的放弃率,请提高完成率和转换率。 创建身份验证流:

  • 与其他数字接触点一致地描绘你的品牌
  • 提供便捷的自助服务体验以支持注册、登录和密码重置
  • 与社交标识提供者(IdP)或其他 IdP 集成
  • 启用提供给客户的单一登录(SSO)应用程序
  • 本地化内容以覆盖世界各地的用户

在 Microsoft Entra 外部 ID 中,可以创建 用户流 来定义身份验证流的结构、体验和品牌。 用户流定义客户遵循的一系列注册和登录步骤。 登录方法包括电子邮件和密码、一次性密码(OTP)或 Google 或 Facebook 中的社交帐户。 在注册期间启用用户流以从客户那里收集信息:从内置用户属性中进行选择或添加自定义属性。 配置用户流以执行自定义工作流或与安全断言标记语言(SAML)和 OpenID Connect (OIDC) IDP 联合。

使用您的品牌要求来配置用户在通过用户流进行身份验证时所看到的屏幕的外观和风格。 品牌在 Microsoft Entra 外部 ID 租户的所有用户流程中均有呈现。 有一个近期目标是为每个应用程序添加品牌标识。

建议使用自定义域对用户进行身份验证。 使用与品牌匹配的域名,例如 login.contoso.com。 通过使用拥有的域名,可以改进对可公开访问的身份验证终结点的保护。

Microsoft Entra ID 用户流是一个容器,用于保存身份验证流的用户体验自定义。 将其分配给所有或部分应用程序。 根据需要,为每个应用程序创建更专门的用户流。 我们建议您在整个应用程序套件中启用一致的用户体验,因为用户会熟悉工作流程。

自定义

设计用户流时,可能需要更多工作流。 例如,验证客户会员号码时,可能会发生触发器,或者可能会发送欢迎电子邮件。 使用 自定义身份验证扩展 功能实现这些方案。 通过创建的 REST API 终结点运行自己的自定义逻辑。

控制身份验证过程,并与业务流程集成。

安全

CIAM 向互联网公开匿名访问的终结点,这些终结点对用户进行身份验证以访问您的服务。 这些终结点包括:

  • 身份验证终结点
  • 元数据端点

在进行应用程序身份验证时,这些终结点是主要的访问入口。 因此,实现多层安全控制来保护终结点。

  • 边缘保护 - 使用 Azure Web 应用程序防火墙 (WAF) 保护终结点免受机器人滥用
  • 注册欺诈预防 - 集成欺诈预防技术,例如电子邮件验证、短信验证(SMS)、验证码控件以及欺诈分析技术,以帮助确保机器人无法注册
  • 帐户接管保护 - 集成基于风险的身份验证解决方案以检测登录风险,并在必要时提示更强大的身份验证因素。 Microsoft的目标是添加集成的第三方帐户接管保护解决方案。
  • 授权 - 使用Microsoft Entra 组和角色来确定哪些用户有权访问应用程序,以及他们可以在应用程序中访问的内容

用户目录

CIAM 解决方案需要目录存储来保留用户配置文件和属性。 此配置可确保跨服务以一种方式表示用户,并具有由其他系统引用的唯一标识符。 例如,在构建客户关系并为业务生成见解时,安全地冗余地保存此数据。

Microsoft Entra 外部 ID 使用 Microsoft Entra ID 目录技术实现可扩展性、可靠性和冗余。 创建Microsoft Entra 外部 ID 租户,以便自动访问关联的用户目录。

警报和监视

身份验证过程是服务的前门。 监视它以确定其整体运行状况:身份验证旅程成功率、多重身份验证(MFA)速率、限制和日志记录。 使用此数据改进身份验证过程,以实现无摩擦和安全性之间的平衡。 若要确定部署之间的平衡,请将收集的数据呈现给业务。

Microsoft Entra 外部 ID 具有用户洞察仪表板,用于生成用户与身份验证过程交互的分析数据。 请参阅更详细的身份验证日志,以使用 Microsoft Entra ID 登录和审核日志进行分析。 使用 Microsoft Azure MonitorMicrosoft 图形 API 导出它们。 使用 Azure Monitor 时,日志将保留在 Log Analytics 工作区中长达两年。 使用存储帐户可以实现更长时间的日志存档。 在 安全操作中了解详细信息。

后续步骤

使用以下文章帮助你开始使用 Microsoft Entra 外部 ID 部署:

  • Last updated on