Raccomandazioni e procedure consigliate per Azure Active Directory B2C

Le procedure consigliate e le raccomandazioni seguenti illustrano alcuni degli aspetti principali dell'integrazione di Azure Active Directory (Azure AD) B2C in ambienti applicazioni nuovi o esistenti.

Nozioni fondamentali

Procedure consigliate Descrizione
Scegliere i flussi utente per la maggior parte degli scenari Il framework dell'esperienza di gestione delle identità di Azure AD B2C è il punto di forza principale del servizio. I criteri descrivono in modo completo le esperienze per le identità, ad esempio iscrizione, accesso o modifica del profilo. Per poter configurare le attività di gestione delle identità più comuni, il portale di Azure AD B2C include criteri predefiniti configurabili chiamati flussi utente. Con i flussi utente, è possibile creare esperienze utente eccezionali in pochi minuti, con pochi clic. Informazioni su quando usare i flussi utente e i criteri personalizzati.
Registrazioni app Ogni applicazione (Web, nativa) e l'API protetta devono essere registrate in Azure AD B2C. Se un'app ha sia una versione Web che quella nativa di iOS e Android, è possibile registrarle come un'unica applicazione in Azure AD B2C con lo stesso ID client. Informazioni su come registrare app OIDC, SAML, Web e native. Altre informazioni sui tipi di applicazione che possono essere usati in Azure AD B2C.
Passare alla fatturazione mensile degli utenti attivi Azure AD B2C è passato dalle autenticazioni attive mensili alla fatturazione mensile degli utenti attivi (MAU). La maggior parte dei clienti troverà questo modello conveniente. Altre informazioni sulla fatturazione mensile degli utenti attivi.

Pianificazione e progettazione

Definire l'architettura dell'applicazione e del servizio, i sistemi correnti di inventario e pianificare la migrazione ad Azure AD B2C.

Procedure consigliate Descrizione
Progettare una soluzione end-to-end Includere tutte le dipendenze delle applicazioni durante la pianificazione di un'integrazione di Azure AD B2C. Prendere in considerazione tutti i servizi e i prodotti attualmente presenti nell'ambiente o che potrebbero essere aggiunti alla soluzione (ad esempio, Funzioni di Azure, sistemi CRM (Customer Relationship Management), Gateway di Azure Gestione API e servizi di archiviazione. Prendere in considerazione la sicurezza e la scalabilità per tutti i servizi.
Documentare le esperienze degli utenti Dettaglia tutti i percorsi utente che i clienti possono sperimentare nell'applicazione. Includere ogni schermata e qualsiasi flusso di diramazione che potrebbero verificarsi durante l'interazione con gli aspetti relativi all'identità e al profilo dell'applicazione. Includere usabilità, accessibilità e localizzazione nella pianificazione.
Scegliere il protocollo di autenticazione corretto Per una suddivisione dei diversi scenari di applicazione e dei relativi flussi di autenticazione consigliati, vedere Scenari e flussi di autenticazione supportati.
Pilotare un'esperienza utente end-to-end proof-of-concept (POC) Iniziare con gli esempi di codice Microsoft e gli esempi della community.
Creare un piano di migrazione La pianificazione in anticipo può rendere la migrazione più fluida. Altre informazioni sulla migrazione degli utenti.
Usabilità e sicurezza La soluzione deve raggiungere il giusto equilibrio tra l'usabilità delle applicazioni e il livello di rischio accettabile dell'organizzazione.
Spostare le dipendenze locali nel cloud Per garantire una soluzione resiliente, è consigliabile spostare le dipendenze dell'applicazione esistenti nel cloud.
Eseguire la migrazione di app esistenti a b2clogin.com La deprecazione di login.microsoftonline.com diventerà effettiva per tutti i tenant di Azure AD B2C il 04 dicembre 2020. Ulteriori informazioni.
Usare Identity Protection e l'accesso condizionale Usare queste funzionalità per un maggiore controllo sulle autenticazioni rischiose e sui criteri di accesso. È necessario Azure AD B2C Premium P2. Ulteriori informazioni.
Dimensioni del tenant È necessario pianificare le dimensioni del tenant di Azure AD B2C. Per impostazione predefinita, il tenant di Azure AD B2C può contenere 1,25 milioni di oggetti (account utente e applicazioni). È possibile aumentare questo limite a 5,25 milioni di oggetti aggiungendo un dominio personalizzato al tenant e verificandolo. Se sono necessarie dimensioni maggiori del tenant, è necessario contattare il supporto tecnico.
Usare Identity Protection e l'accesso condizionale Usare queste funzionalità per un maggiore controllo sulle autenticazioni rischiose e sui criteri di accesso. È necessario Azure AD B2C Premium P2. Ulteriori informazioni.

Implementazione

Durante la fase di implementazione, prendere in considerazione le raccomandazioni seguenti.

Procedure consigliate Descrizione
Modificare criteri personalizzati con l'estensione Azure AD B2C per Visual Studio Code Scaricare Visual Studio Code e questa estensione compilata dalla community da Visual Studio Code Marketplace. Anche se non è un prodotto Microsoft ufficiale, l'estensione Azure AD B2C per Visual Studio Code include diverse funzionalità che semplificano l'uso dei criteri personalizzati.
Informazioni su come risolvere i problemi di Azure AD B2C Informazioni su come risolvere i problemi relativi ai criteri personalizzati durante lo sviluppo. Informazioni sull'aspetto di un normale flusso di autenticazione e sull'uso degli strumenti per individuare anomalie ed errori. Ad esempio, usare Application Insights per esaminare i log di output dei percorsi utente.
Sfruttare la libreria di modelli di criteri personalizzati comprovati Trovare esempi per percorsi utente avanzati di gestione delle identità dei clienti e degli accessi (CIAM) di Azure AD B2C avanzati.

Test in corso

Testare e automatizzare l'implementazione di Azure AD B2C.

Procedure consigliate Descrizione
Account per il traffico globale Usare le origini del traffico da indirizzi globali diversi per testare i requisiti di prestazioni e localizzazione. Assicurarsi che tutte le licenze HTM, CSS e dipendenze possano soddisfare le esigenze di prestazioni.
Test funzionali e dell'interfaccia utente Testare i flussi utente end-to-end. Aggiungere test sintetici ogni pochi minuti usando Selenium, VS Web Test e così via.
Test penna Prima di passare in tempo reale con la soluzione, eseguire esercizi di test di penetrazione per verificare che tutti i componenti siano sicuri, incluse eventuali dipendenze di terze parti. Verificare di aver protetto le API con token di accesso e di aver usato il protocollo di autenticazione corretto per lo scenario dell'applicazione. Altre informazioni sui test di penetrazione e sulle regole di engagement per i test di penetrazione unificata di Microsoft Cloud.
Test A/B Eseguire il volo delle nuove funzionalità con un piccolo set casuale di utenti prima di implementare l'intera popolazione. Con JavaScript abilitato in Azure AD B2C, è possibile eseguire l'integrazione con strumenti di test A/B come Optimizely, Clarity e altri.
Test di carico Azure AD B2C può essere ridimensionato, ma l'applicazione può essere ridimensionata solo se tutte le relative dipendenze possono essere ridimensionate. Testare il carico delle API e delle rete CDN. Altre informazioni sulla resilienza tramite le procedure consigliate per gli sviluppatori.
Limitazione Azure AD B2C limita il traffico se troppe richieste vengono inviate dalla stessa origine in un breve periodo di tempo. Usare diverse origini di traffico durante il test di carico e gestire correttamente il AADB2C90229 codice di errore nelle applicazioni.
Automazione Usare pipeline di integrazione e recapito continuo (CI/CD) per automatizzare i test e le distribuzioni, ad esempio Azure DevOps.

Operazioni

Gestire l'ambiente Azure AD B2C.

Procedure consigliate Descrizione
Creare più ambienti Per semplificare le operazioni e l'implementazione della distribuzione, creare ambienti separati per lo sviluppo, il test, la pre-produzione e la produzione. Creare tenant di Azure AD B2C per ognuno di essi.
Usare il controllo della versione per i criteri personalizzati È consigliabile usare GitHub, Azure Repos o un altro sistema di controllo della versione basato sul cloud per i criteri personalizzati di Azure AD B2C.
Usare l'API Microsoft Graph per automatizzare la gestione dei tenant B2C API Microsoft Graph:
Gestire il framework dell'esperienza di gestione delle identità (criteri personalizzati)
Chiavi
Flussi utente
Integrazione con Azure DevOps Una pipeline CI/CD semplifica lo spostamento del codice tra ambienti diversi e garantisce sempre l'idoneità per la produzione.
Distribuire criteri personalizzati Azure AD B2C si basa sulla memorizzazione nella cache per offrire prestazioni agli utenti finali. Quando si distribuisce un criterio personalizzato usando qualsiasi metodo, prevedere un ritardo massimo di 30 minuti per consentire agli utenti di visualizzare le modifiche. Di conseguenza di questo comportamento, prendere in considerazione le procedure seguenti quando si distribuiscono i criteri personalizzati:
- Se si esegue la distribuzione in un ambiente di sviluppo, impostare l'attributo DeploymentMode su Development nell'elemento del file di <TrustFrameworkPolicy> criteri personalizzato.
- Distribuire i file di criteri aggiornati in un ambiente di produzione quando il traffico nell'app è basso.
- Quando si esegue la distribuzione in un ambiente di produzione per aggiornare i file di criteri esistenti, caricare i file aggiornati con nuovi nomi e quindi aggiornare il riferimento dell'app ai nuovi nomi. Successivamente, è possibile rimuovere i file di criteri precedenti.
- È possibile impostare su DeploymentMode Development in un ambiente di produzione per ignorare il comportamento di memorizzazione nella cache. Tuttavia, questa pratica non è consigliata. Se si raccolgono i log di Azure AD B2C con Application Insights, vengono raccolte tutte le attestazioni inviate a e dai provider di identità, ovvero un rischio per la sicurezza e le prestazioni.
Distribuire gli aggiornamenti della registrazione delle app Quando si modifica la registrazione dell'applicazione nel tenant di Azure AD B2C, ad esempio l'aggiornamento dell'URI di reindirizzamento dell'applicazione, si prevede un ritardo massimo di 2 ore (3600) per rendere effettive le modifiche nell'ambiente di produzione. È consigliabile modificare la registrazione dell'applicazione nell'ambiente di produzione quando il traffico nell'app è basso.
Integrazione con Monitoraggio di Azure Gli eventi del log di controllo vengono conservati solo per sette giorni. Eseguire l'integrazione con Monitoraggio di Azure per conservare i log per l'uso a lungo termine o integrarsi con strumenti SIEM (Security Information and Event Management) di terze parti per ottenere informazioni dettagliate sull'ambiente.
Configurare avvisi e monitoraggio attivi Tenere traccia del comportamento degli utenti in Azure AD B2C usando Application Insights.

Aggiornamenti di supporto e stato

Rimanere aggiornati sullo stato del servizio e trovare le opzioni di supporto.

Procedure consigliate Descrizione
Aggiornamenti del servizio Rimanere aggiornati con gli aggiornamenti e gli annunci del prodotto Azure AD B2C.
Supporto tecnico Microsoft Inviare una richiesta di supporto per i problemi tecnici di Azure AD B2C. Il supporto per fatturazione e gestione delle sottoscrizioni viene fornito gratuitamente.
Stato di Azure Visualizzare lo stato di integrità corrente di tutti i servizi di Azure.