教學課程：使用 Azure Active Directory B2C 設定無密鑰

瞭解如何使用無密鑰無密碼解決方案來設定 Azure Active Directory B2C （Azure AD B2C）。 使用 Azure AD B2C 作為識別提供者 （IdP），整合無密鑰與客戶應用程式以提供無密碼驗證。 無密鑰 Zero-Knowledge 生物識別技術（ZKB）是無密碼多重要素驗證，可協助消除詐騙、網路釣魚和認證重複使用，同時增強客戶體驗並保護隱私權。

移至 keyless.io 以瞭解：

• 無鍵
• 無密鑰如何使用零知識證明來保護生物特徵辨識數據

先決條件

若要開始，您需要：

• Azure 訂用帳戶
  • 如果您沒有帳戶，請取得 Azure 免費帳戶
• 連結至 Azure 訂用帳戶的 Azure AD B2C 租戶
• 無金鑰雲端租戶
  • 移至 keyless.io 以 要求示範
• 安裝在用戶裝置上的無金鑰驗證器應用程式

案例描述

無金鑰整合包含下列元件：

• Azure AD B2C – 驗證使用者認證的授權伺服器。 也稱為IdP。
• Web 和行動應用程式 – 使用無金鑰和 Azure AD B2C 保護的行動或 Web 應用程式
• 無金鑰驗證器行動應用程式 – 用於向已啟用 Azure AD B2C 的應用程式進行驗證的行動應用程式

下列架構圖說明實作。

1. 用戶抵達登入頁面。 用戶選取登入/註冊，並輸入用戶名稱。
2. 應用程式會將使用者屬性傳送至 Azure AD B2C 以進行身分識別驗證。
3. Azure AD B2C 會將使用者屬性傳送至無密鑰進行驗證。
4. Keyless 會將推播通知傳送到使用者註冊的行動裝置以進行驗證，這包括臉部生物特徵掃描。
5. 用戶會回應推播通知，並被授與或拒絕存取權。

新增IdP、設定IdP，以及建立使用者流程原則

使用下列各節來新增IdP、設定IdP，以及建立使用者流程原則。

新增識別提供者

若要新增識別提供者：

1. 至少以 Azure AD B2C 租用戶的 B2C IEF 原則管理員身分登入 Azure 入口網站。
2. 選取 [目錄 + 訂用帳戶]。
3. 在 [ 入口網站設定] 的 [目錄 + 訂 用帳戶] 頁面上，於 [ 目錄名稱] 清單中，尋找您的 Azure AD B2C 目錄。
4. 選取 [切換]。
5. 在 Azure 入口網站的左上角，選取 [所有服務]。
6. 搜尋並選取 [Azure AD B2C]。
7. 瀏覽至 [儀表板]>[Azure Active Directory B2C]>[識別提供者]。
8. 選取 [識別提供者]。
9. 選取 ，然後新增。

設定識別提供者

若要設定 IdP：

1. 選取 [識別提供者類型>OpenID Connect][預覽]。
2. 針對 [名稱]，選取 [無金鑰]。
3. 針對 [中繼資料 URL]，插入託管的無金鑰驗證應用程式 URI，後面接著路徑，例如 https://keyless.auth/.well-known/openid-configuration。
4. 針對 [客戶端密碼]，選取與無密鑰驗證實例相關聯的秘密。 秘密稍後會在無金鑰容器設定中使用。
5. 針對 [用戶端識別碼]，選取用戶端標識碼。 用戶端識別碼稍後會在無密鑰容器設定中使用。
6. 針對 範圍，選取 openid。
7. 針對 [回應類型]，選取 [id_token]。
8. 針對 [回應模式]，選取 [form_post]。
9. 請選擇 [確定]。
10. 選取 [對應此識別提供者的宣告]。
11. 針對 UserID，選取 [從訂用帳戶]。
12. 針對 [顯示名稱]，選取 [從訂用帳戶]。
13. 針對 [回應模式]，選取 [從訂用帳戶]。
14. 選取 [儲存]。

建立使用者流程原則

「無金鑰」作為擁有 B2C 識別提供者的新 OpenID Connect (OIDC) IdP 出現。

1. 開啟 Azure AD B2C 租戶。
2. 在 [原則] 底下，選取 [使用者流程]。
3. 選取新的使用者流程。
4. 選取 [註冊並登入]。
5. 選取 版本。
6. 選取 ，創建。
7. 輸入原則的名稱。
8. 在 [識別提供者] 區段中，選取已建立的無密鑰識別提供者。
9. 輸入名稱。
10. 選取您建立的IdP。
11. 新增電子郵件位址。 Azure 不會將登入重新導向至 Keyless;畫面隨即出現，其中包含用戶選項。
12. 保留 [Multi-Factor Authentication ] 字段。
13. 選取 [強制執行條件式存取原則]。
14. 在 [使用者屬性和令牌宣告] 下的 [ 收集屬性 ] 選項中，選取 [ 電子郵件位址]。
15. 將使用宣告 Azure AD B2C 所收集的使用者屬性 Microsoft Entra ID 新增到用戶端應用程式。
16. 選取 ，創建。
17. 選取新的 使用者流程。
18. 在左側面板中，選取 [ 應用程式宣告]。
19. 在 [選項] 底下，選取 [電子郵件 ] 複選框。
20. 選取 [儲存]。

測試使用者流程

1. 開啟 Azure AD B2C 租戶。
2. 在 [ 原則] 底下，選取 [ 身分識別體驗架構]。
3. 選取已建立的 SignUpSignIn。
4. 選取 [執行使用者流程]。
5. 針對 [應用程式]，選取已註冊的應用程式（例如 JWT）。
6. 針對 [回覆 URL]，選取 [重新導向 URL]。
7. 選取 [執行使用者流程]。
8. 完成註冊流程並建立帳戶。
9. 建立使用者屬性之後，會在流程中呼叫 Keyless。

如果流程不完整，請確認使用者是否儲存在目錄中。

後續步驟

• Azure AD B2C 自定義原則概觀
• 教學課程：在 Azure AD B2C 中建立使用者流程和自定義原則