Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.
Följande metodtips och rekommendationer omfattar några av de viktigaste aspekterna av att integrera Azure Active Directory (Azure AD) B2C i befintliga eller nya programmiljöer.
Grundläggande principer
| Bästa praxis | Beskrivning |
|---|---|
| Skapa konto för nödåtkomst | Det här kontot för nödåtkomst hjälper dig att få åtkomst till din Azure AD B2C-klient under omständigheter som att den enda administratören inte kan nås när autentiseringsuppgifterna behövs. Lär dig hur du skapar ett konto för nödåtkomst |
| Välj användarflöden för de flesta scenarier | Identity Experience Framework i Azure AD B2C är tjänstens kärnstyrka. Principer beskriver fullständigt identitetsupplevelser som registrering, inloggning eller profilredigering. För att hjälpa dig att konfigurera de vanligaste identitetsuppgifterna innehåller Azure AD B2C-portalen fördefinierade, konfigurerbara principer som kallas användarflöden. Med användarflöden kan du skapa fantastiska användarupplevelser på några minuter, med bara några klick. Lär dig när du ska använda användarflöden jämfört med anpassade principer. |
| Appregistreringar | Varje program (webb, inbyggt) och API som skyddas måste registreras i Azure AD B2C. Om en app har både en webbversion och en intern version av iOS och Android kan du registrera dem som ett program i Azure AD B2C med samma klient-ID. Lär dig hur du registrerar OIDC, SAML, webbappar och interna appar. Läs mer om programtyper som kan användas i Azure AD B2C. |
| Flytta till fakturering för månatliga aktiva användare | Azure AD B2C har flyttats från månatliga aktiva autentiseringar till fakturering för månatliga aktiva användare (MAU). De flesta kunder tycker att den här modellen är kostnadseffektiv. Läs mer om fakturering för månatliga aktiva användare. |
| Följ metodtips för säkerhet | Det finns kontinuerliga och föränderliga hot och attacker, och precis som alla ägda resurser bör din Azure AD B2C-distribution följa metodtipsen för säkerhet, inklusive vägledning om hur du implementerar WAF:er (skydd mot hot som DDOS och robotar) och annat skydd i djup bästa vägledning B2C-säkerhetsarkitektur. |
Planering och design
Definiera din program- och tjänstarkitektur, inventera aktuella system och planera migreringen till Azure AD B2C.
| Bästa praxis | Beskrivning |
|---|---|
| Skapa en lösning från slutpunkt till slutpunkt | Inkludera alla programberoenden när du planerar en Azure AD B2C-integrering. Tänk på alla tjänster och produkter som för närvarande finns i din miljö eller som kan behöva läggas till i lösningen (till exempel Azure Functions, CRM-system (customer relationship management), Azure API Management-gateway och lagringstjänster). Ta hänsyn till säkerhet och skalbarhet för alla tjänster. |
| Dokumentera användarnas upplevelser | Information om alla användarresor som dina kunder kan uppleva i ditt program. Inkludera varje skärm och eventuella förgreningsflöden som de kan stöta på när de interagerar med identitets- och profilaspekterna i ditt program. Inkludera användbarhet, tillgänglighet och lokalisering i din planering. |
| Välj rätt autentiseringsprotokoll | En uppdelning av de olika programscenarierna och deras rekommenderade autentiseringsflöden finns i Scenarier och autentiseringsflöden som stöds. |
| Pilotera en proof of concept (PoC) användarupplevelse från början till slut | Börja med våra Microsoft-kodexempel och community-exempel. |
| Skapa en migreringsplan | Att planera framåt kan göra migreringen smidigare. Läs mer om användarmigrering. |
| Användbarhet jämfört med säkerhet | Din lösning måste hitta rätt balans mellan användbarhet för program och organisationens godtagbara risknivå. |
| Flytta lokala beroenden till molnet | För att säkerställa en elastisk lösning bör du överväga att flytta befintliga programberoenden till molnet. |
| Migrera befintliga appar till b2clogin.com | Utfasningen av login.microsoftonline.com träder i kraft för alla Azure AD B2C-klienter den 4 december 2020. Läs mer. |
| Använda identitetsskydd och villkorsstyrd åtkomst | Använd dessa funktioner för betydligt större kontroll över riskfyllda autentiseringar och åtkomstprinciper. Azure AD B2C Premium P2 krävs. Läs mer. |
| Hyresgäststorlek | Du måste planera med Azure AD B2C-klientstorleken i åtanke. Som standard kan Azure AD B2C-klientorganisationen hantera 1,25 miljoner objekt (användarkonton och program). Du kan öka den här gränsen till 5,25 miljoner objekt genom att lägga till en anpassad domän till ditt klientkonto och verifiera den. Om du behöver en större hyresstorlek måste du kontakta support. |
Genomförande
Under implementeringsfasen bör du överväga följande rekommendationer.
| Bästa praxis | Beskrivning |
|---|---|
| Redigera anpassade principer med Azure AD B2C-tillägget för Visual Studio Code | Ladda ned Visual Studio Code och det här community-byggda tillägget från Visual Studio Code Marketplace. Även om det inte är en officiell Microsoft-produkt innehåller Azure AD B2C-tillägget för Visual Studio Code flera funktioner som gör det enklare att arbeta med anpassade principer. |
| Lär dig hur du felsöker Azure AD B2C | Lär dig hur du felsöker anpassade principer under utvecklingen. Lär dig hur ett normalt autentiseringsflöde ser ut och använd verktyg för att identifiera avvikelser och fel. Du kan till exempel använda Application Insights för att granska utdataloggar för användarresor. |
| Utnyttja vårt bibliotek med beprövade anpassade principmönster | Hitta exempel för förbättrade användarresor för Azure AD B2C-kundidentitet och åtkomsthantering (CIAM). |
Testa
Testa och automatisera din Azure AD B2C-implementering.
| Bästa praxis | Beskrivning |
|---|---|
| Konto för global trafik | Använd trafikkällor från olika globala adresser för att testa prestanda- och lokaliseringskraven. Kontrollera att alla HTML:er, CSS och beroenden kan uppfylla dina prestandabehov. |
| Funktions- och användargränssnittstestning | Testa användarflödena från slutpunkt till slutpunkt. Lägg till syntetiska tester med några minuters mellanrum med Selenium, VS Web Test osv. |
| Penntestning | Innan du börjar använda lösningen bör du utföra övningar för penetrationstestning för att kontrollera att alla komponenter är säkra, inklusive eventuella beroenden från tredje part. Kontrollera att du har skyddat dina API:er med åtkomsttoken och använt rätt autentiseringsprotokoll för ditt programscenario. Läs mer om intrångstestning och Microsoft Cloud Unified Penetration Testing Rules of Engagement. |
| A/B-test | Testa dina nya funktioner med en liten, slumpmässig grupp användare innan du distribuerar till alla dina användare. Med JavaScript aktiverat i Azure AD B2C kan du integrera med A/B-testverktyg som Optimizely, Clarity och andra. |
| Belastningstestning | Azure AD B2C kan skalas, men ditt program kan bara skalas om alla dess beroenden kan skalas. Vi rekommenderar att du belastningstestar din princip i produktionsläge genom att sätta attributet DeploymentMode till <TrustFrameworkPolicy> i elementet Production i din anpassade principfil. Den här inställningen säkerställer att prestandan under testet matchar prestanda på produktionsnivå. Belastningstesta dina API:er och CDN. Läs mer om motståndskraft genom bästa praxis för utvecklare. |
| Strypning | Azure AD B2C begränsar trafiken om för många begäranden skickas från samma källa på kort tid. Använd flera trafikkällor vid belastningstestning och hantera AADB2C90229 felkoden korrekt i dina program. |
| Automatisering | Använd CI/CD-pipelines (continuous integration and delivery) för att automatisera testning och distributioner, till exempel Azure DevOps. |
Operativa åtgärder
Hantera din Azure AD B2C-miljö.
| Bästa praxis | Beskrivning |
|---|---|
| Skapa flera miljöer | Skapa separata miljöer för utveckling, testning, förproduktion och produktion för enklare drift och distribution. Skapa Azure AD B2C-klientorganisationer för var och en. |
| Använd versionskontroll för dina anpassade policyer | Överväg att använda GitHub, Azure Repos eller ett annat molnbaserat versionskontrollsystem för dina anpassade Azure AD B2C-principer. |
| Använd Microsoft Graph API för att automatisera din hantering av B2C-klienter | Api:er för Microsoft Graph: Hantera Identity Experience Framework (anpassade principer) Nycklar Användarflöden |
| Integrera med Azure DevOps | En CI/CD-pipeline gör det enkelt att flytta kod mellan olika miljöer och säkerställer alltid produktionsberedskap. |
| Distribuera anpassad princip | Azure AD B2C förlitar sig på cachelagring för att leverera prestanda till dina slutanvändare. När du distribuerar en anpassad princip med vilken metod som helst kan du förvänta dig en fördröjning på upp till 30 minuter så att användarna kan se ändringarna. Som ett resultat av det här beteendet bör du överväga följande metoder när du distribuerar dina anpassade principer: – Om du distribuerar till en utvecklingsmiljö, ställ in attributet DeploymentMode i elementet <TrustFrameworkPolicy> i din anpassade principfil till Production. – Distribuera dina uppdaterade principfiler till en produktionsmiljö när trafiken i din app är låg. – När du distribuerar till en produktionsmiljö för att uppdatera befintliga principfiler laddar du upp de uppdaterade filerna med nya namn, som fungerar som nya versioner av principerna. Uppdatera sedan appreferenserna till de nya namnen/versionerna. Du kan ta bort de gamla principfilerna efteråt eller behålla dem som din senaste kända bra konfiguration för enkel återställning. – Om du behöver distribuera till en produktionsmiljö för att uppdatera befintliga principfiler utan versionshantering, gör du den nya principen bakåtkompatibel med den gamla principen genom att följa några enkla regler. Om du behöver ändra en teknisk profil, anspråk eller SubJourney, skapar du en ny version av den, publicerar policyn och väntar i 30 minuter på att Azure AD B2C-cacheminnen ska hämta den nya versionen. I en efterföljande uppdatering gör du sedan ändringar för att använda den nya versionen och utföra en annan principuppdatering. Vänta i ytterligare 30 minuter och ta bort den gamla versionen av elementen om det behövs. Se till att all affärslogik finns i SubJourneys. – Du kan ange DeploymentMode till Development i en produktionsmiljö för att kringgå cachelagringsbeteendet. Vi rekommenderar dock inte den här metoden. Om du samlar in Azure AD B2C-loggar med Application Insights samlas alla anspråk som skickas till och från identitetsprovidrar in, vilket är en säkerhets- och prestandarisk. |
| Distribuera uppdateringar för appregistrering | När du ändrar programregistreringen i din Azure AD B2C-klientorganisation, till exempel när du uppdaterar programmets omdirigerings-URI, kan du förvänta dig en fördröjning på upp till 2 timmar (7200-talet) för att ändringarna ska börja gälla i produktionsmiljön. Vi rekommenderar att du ändrar programregistreringen i produktionsmiljön när trafiken i appen är låg. |
| Integrera med Azure Monitor | Granskningslogghändelser behålls bara i sju dagar. Integrera med Azure Monitor för att behålla loggarna för långsiktig användning eller integrera med siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för att få insikter om din miljö. |
| Konfigurera aktiv avisering och övervakning | Spåra användarbeteende i Azure AD B2C med Application Insights. |
Support- och statusuppdateringar
Håll dig uppdaterad om tjänstens tillstånd och hitta supportalternativ.
| Bästa praxis | Beskrivning |
|---|---|
| Uppdateringar av tjänsten | Håll dig uppdaterad med Produktuppdateringar och meddelanden för Azure AD B2C. |
| Microsoft Support | Skicka in en supportbegäran för tekniska problem med Azure AD B2C. Support för fakturering och prenumerationshantering ges utan kostnad. |
| Azure-status | Visa den aktuella hälsostatusen för alla Azure-tjänster. |