【壹刊】Azure AD B2C(一)初识
一,引言(上節(jié)回顧)
上一節(jié)講到Azure AD的一些基礎概念,以及如何運用 Azure AD 包含API資源,Azure AD 是微軟提供的云端的身份標識和資源訪問服務,幫助員工/用戶/管理員訪問一些外部資源和內部資源:
? 外部資源,例如 Microsoft Office 365、Azure 門戶以及成千上萬的其他 SaaS 應用程序。
? 內部資源,例如公司網絡和 Intranet 上的應用,以及由自己的組織開發(fā)的任何云應用。
今天,引入一個新概念:Azure Active Directory B2C。下面就開始進入正文了????????????????????
二,正文
1,關于Azure AD B2C是什么?
Azure Active Directory B2C 也稱為 Azure AD B2C,它是以服務的形式提供企業(yè)到客戶的標識管理服務,用于以自定義的方式控制客戶在使用 ios,android,.net,spa以及其他應用程序如何注冊,登錄和管理其個人資料。客戶使用其首選的社交,企業(yè)或者本地賬戶標識對應用程序和API進行單一登錄訪問。
Azure AD B2C 是一種貼牌式身份驗證解決方案。?你可以使用自己的品牌自定義整個用戶體驗,使其能夠與 Web 和移動應用程序無縫融合。可以自定義當用戶注冊、登錄和修改其個人資料信息時 Azure AD B2C 顯示的每一頁。?可以自定義用戶旅程中的 HTML、CSS 和 JavaScript,使 Azure AD B2C 體驗的外觀類似于應用程序的原生組成部分。
Azure AD B2C 使用基于標準的身份驗證協(xié)議,包括 OpenID Connect、OAuth 2.0 和 SAML。?它與大多數新式應用程序和商用現貨軟件相集成。例如,FaceBook,微博,谷歌賬號,微信等等。Azure AD B2C 充當 Web 應用程序、移動應用和 API 的中心身份驗證機構,使你能夠為所有這些應用構建單一登錄 (SSO) 解決方案。?集中收集用戶個人資料和偏好信息,并捕獲有關登錄行為和注冊轉換的詳細分析。
?
?Azure AD B2C 還可以與外部用戶存儲集成,Azure AD B2C 提供一個目錄,其中可以保存每個用戶的 100 個自定義屬性。?但是,你也可以與外部系統(tǒng)相集成。?例如,使用 Azure AD B2C 進行身份驗證,但將權限委托給用作客戶數據真實來源的外部客戶關系管理 (CRM) 或客戶忠誠度數據庫。
另一種外部用戶存儲方案是讓 Azure AD B2C 處理應用程序的身份驗證,但與存儲用戶個人資料或個人數據的外部系統(tǒng)相集成。?例如,滿足區(qū)域或本地數據存儲策略規(guī)定的數據駐留要求。
2,功能概述
2.1 租戶
在 Azure Active Directory B2C (Azure AD B2C) 中,租戶表示組織,也是用戶的目錄。?每個 Azure AD B2C 租戶都是獨特的,獨立于其他 Azure AD B2C 租戶。Azure AD B2C 租戶不同于你可能已有的 Azure Active Directory 租戶,Azure AD B2C 租戶是開始使用 Azure AD B2C 之前必須先創(chuàng)建的第一個資源。?
2.2 賬戶
用戶可以通過使用者帳戶登錄到通過 Azure AD B2C 保護的應用程序。?但是,具有使用者帳戶的用戶無法訪問 Azure 資源(例如 Azure 門戶)。可將使用者帳戶關聯(lián)到以下標識類型:
本地標識:將用戶名和密碼存儲在 Azure AD B2C 目錄本地。?我們通常將此類標識稱為“本地帳戶”。
社交或企業(yè)標識:用戶的標識由 Microsoft、ADFS 或 Salesforce 等聯(lián)合標識提供者進行管理。
具有使用者帳戶的用戶可以通過多個標識(例如用戶名、電子郵件、員工 ID、政府 ID 等)登錄。?單個賬戶可以有多個本地和社交標識。
2.3 外部標識提供者-第三方授權中心
可以配置 Azure AD B2C,以允許用戶使用外部社交或企業(yè)標識提供者 (IdP) 提供的憑據登錄到你的應用程序。Azure AD B2C 支持外部標識提供者和任何支持 OAuth 1.0、OAuth 2.0、OpenID Connect、SAML 或 WS-Federation 協(xié)議的標識提供者。使用外部標識提供者聯(lián)合,可讓使用者通過其現有的社交帳戶或企業(yè)帳戶登錄,而不必僅僅出于訪問你的應用程序的目的創(chuàng)建一個新帳戶。
在注冊或登錄頁上,Azure AD B2C 會提供外部標識提供者的列表,供用戶選擇用來登錄。?用戶選擇一個外部標識提供者后,將會轉到(重定向到)所選提供者的網站,以完成登錄過程。?用戶成功登錄后,將返回到 Azure AD B2C,以便對應用程序中的帳戶進行身份驗證。
2.4,用戶流或者自定義策略
Azure AD B2C 的核心優(yōu)勢在于它的可擴展策略框架。?策略描述用戶的標識體驗,例如注冊、登錄和配置文件編輯。
在 Azure AD B2C 中,可以通過兩個主要途徑來提供這些標識體驗:用戶流和自定義策略。
用戶流是我們提供的預定義的內置可配置策略,使你能夠在幾分鐘內創(chuàng)建注冊、登錄和策略編輯體驗。
使用自定義策略可為復雜的標識體驗方案創(chuàng)建自己的用戶旅程。
用戶流和自定義策略均由 Identity Experience Framework(Azure AD B2C 的策略業(yè)務流程引擎)提供支持。
2.5 協(xié)議,令牌
Azure AD B2C 支持 OpenID Connect 和 OAuth 2.0 協(xié)議。?在 OpenID Connect 的 Azure AD B2C 實現中,應用程序通過向 Azure AD B2C 發(fā)出身份驗證請求,來啟動此認證。向 Azure AD B2C 發(fā)出請求后會獲得一個安全令牌,例如 ID 令牌或訪問令牌。?此安全令牌定義用戶的標識。?令牌是從 Azure AD B2C 終結點(例如?/token?或?/authorize?終結點)接收的。?通過這些令牌,可以訪問用于驗證標識以及允許訪問安全資源的聲明。
上圖顯示了 Azure AD B2C 如何使用同一身份驗證流中的各種協(xié)議進行通信:
信賴方應用程序使用 OpenID Connect 向 Azure AD B2C 發(fā)起授權請求。
當應用程序的用戶選擇通過使用 SAML 協(xié)議的外部標識提供者登錄時,Azure AD B2C 將調用 SAML 協(xié)議來與該標識提供者通信。
用戶使用外部標識提供者完成登錄操作后,Azure AD B2C 會使用 OpenID Connect 將令牌返回給信賴方應用程序。
2.6,應用程序集成Azure AD B2C
當用戶想要登錄到你的應用程序時(無論是 Web、移動、桌面還是單頁應用程序 (SPA)),該應用程序都會向用戶流或自定義策略提供的終結點發(fā)起授權請求。?用戶流或自定義策略定義并控制用戶的體驗。?當用戶完成用戶流(例如注冊或登錄流)后,Azure AD B2C 會生成一個令牌,然后將用戶重定向回到應用程序。
多個應用程序可以使用同一個用戶流或自定義策略。?單個應用程序可以使用多個用戶流或自定義策略。例如,若要登錄到某個應用程序,該應用程序將使用注冊或登錄用戶流。?用戶登錄后,他們可能想要編輯其配置文件,在這種情況下,應用程序將發(fā)起另一個授權請求(這一次使用的是配置文件編輯用戶流)。
2.7 支持自定義UI
對于用戶注冊、登錄和修改用戶資料等常見的功能,AAD B2C 提供了用戶流的功能,直白的講,就是提供了這些模塊的UI,并且可以自定義樣式。
三、結尾
今天大概介紹了一下AD B2C的一些概述和功能,我們可以配置 Azure AD B2C,以允許用戶使用外部社交或企業(yè)標識提供者 (IDP) 提供的憑據登錄到你的應用程序。下一篇,正式開講創(chuàng)建并且體驗AAD B2C注冊和登陸用戶流。
作者:Allen?
版權:轉載請在文章明顯位置注明作者及出處。如發(fā)現錯誤,歡迎批評指正。
參考微軟文檔出處:
?中文文檔:
https://docs.azure.cn/zh-cn/active-directory-b2c/overview
?英文文檔:
https://docs.azure.cn/en-us/active-directory-b2c/overview
總結
以上是生活随笔為你收集整理的【壹刊】Azure AD B2C(一)初识的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Sql Server之旅——第六站 为什
- 下一篇: 使用自定义DelegatingHandl