Что такое Azure Active Directory B2C What is Azure Active Directory B2C?

Azure Active Directory B2C предоставляет службу корпоративного управления удостоверениями для клиентов. Azure Active Directory B2C provides business-to-customer identity as a service. Ваши клиенты получат возможность единого входа в ваши приложения и API, используя выбранные удостоверения социальных сетей, предприятий или локальных учетных записей. Your customers use their preferred social, enterprise, or local account identities to get single sign-on access to your applications and APIs.

Azure Active Directory B2C — это решение для управления удостоверениям и доступом клиентов (CIAM), способное обслуживать миллионы пользователей и миллиарды проверок подлинности ежедневно. Azure Active Directory B2C (Azure AD B2C) is a customer identity access management (CIAM) solution capable of supporting millions of users and billions of authentications per day. Это решение отвечает за масштабирование и безопасность платформы проверки подлинности, мониторинг и автоматическую обработку разных угроз, таких как отказ в обслуживании, распыление паролей или атаки методом подбора. It takes care of the scaling and safety of the authentication platform, monitoring and automatically handling threats like denial-of-service, password spray, or brute force attacks.

Решение для идентификации с пользовательским оформлением Custom-branded identity solution

Azure AD B2C предоставляет небрендированное решение для проверки подлинности. Azure AD B2C is a white-label authentication solution. Вы можете изменить весь пользовательский интерфейс под оформление своей торговой марки, чтобы он хорошо смотрелся в мобильных и веб-приложениях. You can customize the entire user experience with your brand so that it blends seamlessly with your web and mobile applications.

Настройте каждую страницу, которую Azure AD B2C отображает при регистрации пользователей, входе в систему и изменении профилей. Customize every page displayed by Azure AD B2C when your users sign up, sign in, and modify their profile information. Настройте HTML, CSS и JavaScript в путях взаимодействия пользователя, чтобы интерфейс Azure AD B2C не отличался от основного приложения. Customize the HTML, CSS, and JavaScript in your user journeys so that the Azure AD B2C experience looks and feels like it’s a native part of your application.

Единый вход с использованием удостоверений, предоставленных пользователем Single sign-on access with a user-provided identity

Azure AD B2C использует протоколы проверки подлинности на основе стандартов, включая OpenID Connect, OAuth 2.0 и SAML. Azure AD B2C uses standards-based authentication protocols including OpenID Connect, OAuth 2.0, and SAML. Это решение интегрируется с большинством современных приложений и коммерческих версий программного обеспечения. It integrates with most modern applications and commercial off-the-shelf software.

Azure AD B2C выполняет роль центра проверки подлинности для веб-приложений, мобильных приложений и интерфейсов API, позволяя создать для них общее решение единого входа. By serving as the central authentication authority for your web applications, mobile apps, and APIs, Azure AD B2C enables you to build a single sign-on (SSO) solution for them all. Создайте централизованную коллекцию профилей пользователей и сведений о предпочтениях, собирайте данные о поведении при входе и преобразовании в регистрации для подробного анализа. Centralize the collection of user profile and preference information, and capture detailed analytics about sign-in behavior and sign-up conversion.

Интеграция с внешними хранилищами пользователей Integrate with external user stores

Azure AD B2C предоставляет каталог, который может содержать 100 настраиваемых атрибутов для каждого пользователя. Azure AD B2C provides a directory that can hold 100 custom attributes per user. Но поддерживается и интеграция с внешними системами. However, you can also integrate with external systems. Например, вы можете использовать Azure AD B2C для проверки подлинности, а источником данных о пользователях назначить внешнюю систему CRM или базу данных лояльности клиентов. For example, use Azure AD B2C for authentication, but delegate to an external customer relationship management (CRM) or customer loyalty database as the source of truth for customer data.

Внешнее хранилище пользователей можно также применять для хранения профилей пользователей или персональных данных, оставив обработку проверки подлинности в Azure AD B2C. Another external user store scenario is to have Azure AD B2C handle the authentication for your application, but integrate with an external system that stores user profile or personal data. Например, это будет полезно при наличии требований к местонахождению, таких как региональные или локальные политики хранения данных. For example, to satisfy data residency requirements like regional or on-premises data storage policies.

Azure AD B2C может помогать в сборе данных о пользователе во время регистрации или изменения профиля, а затем передавать эти данные во внешнюю систему. Azure AD B2C can facilitate collecting the information from the user during registration or profile editing, then hand that data off to the external system. Затем, при проверках подлинности, Azure AD B2C будет получать эти данные из внешней системы и при необходимости включать их в маркер проверки подлинности, который отправляется в приложение в качестве ответа. Then, during future authentications, Azure AD B2C can retrieve the data from the external system and, if needed, include it as a part of the authentication token response it sends to your application.

Прогрессивное профилирование Progressive profiling

Следующий вариант пути взаимодействия пользователя включает прогрессивное профилирование. Another user journey option includes progressive profiling. Прогрессивное профилирование позволяет клиентам быстро завершить первую транзакцию, при которой собирается минимальный объем информации. Progressive profiling allows your customers to quickly complete their first transaction by collecting a minimal amount of information. Затем дополнительные данные для профиля собираются от клиента при последующих входах. Then, gradually collect more profile data from the customer on future sign-ins.

Проверка личности и подтверждение у сторонних поставщиков Third-party identity verification and proofing

Azure AD B2C поможет упростить проверку личности и подтверждение, собирая данные пользователей и передавая их в систему стороннего поставщика для проверки, оценки доверия и утверждения создаваемой учетной записи пользователя. Use Azure AD B2C to facilitate identity verification and proofing by collecting user data, then passing it to a third party system to perform validation, trust scoring, and approval for user account creation.

Это лишь часть действий, которые можно выполнить, используя Azure AD B2C в качестве платформы идентификации категории «бизнес — клиент». These are just some of the things you can do with Azure AD B2C as your business-to-customer identity platform. В следующих разделах этой обзорной статьи описывается демонстрационное приложение, в котором используется Azure AD B2C. The following sections of this overview walk you through a demo application that uses Azure AD B2C. Вы также можете сразу перейти к более подробному техническому обзору Azure AD B2C. You’re also welcome to move on directly to a more in-depth technical overview of Azure AD B2C.

Пример WoodGrove Groceries Example: WoodGrove Groceries

WoodGrove Groceries создано и опубликовано корпорацией Майкрософт как веб-приложение для демонстрации нескольких функций Azure AD B2C. WoodGrove Groceries is a live web application created by Microsoft to demonstrate several Azure AD B2C features. В следующих нескольких разделах рассматриваются некоторые варианты проверки подлинности, предоставляемые Azure AD B2C на веб-сайте WoodGrove. The next few sections review some of the authentication options provided by Azure AD B2C to the WoodGrove website.

Обзор бизнеса Business overview

WoodGrove — это Интернет-магазин, который продает бакалейные товары отдельным потребителям и бизнес-клиентам. WoodGrove is an online grocery store that sells groceries to both individual consumers and business customers. Бизнес-клиенты приобретают товары от имени компании, в которой они работают или которой управляют. Their business customers buy groceries on behalf of their company, or businesses that they manage.

Параметры входа Sign-in options

WoodGrove Groceries предлагает несколько вариантов для входа в зависимости от отношений клиента с магазином. WoodGrove Groceries offers several sign-in options based on the relationship their customers have with the store:

• Индивидуальные клиенты выполняют регистрацию и вход с личными учетными записями, существующими в социальных сетях либо у локального поставщика удостоверений или же по адресу электронной почты и паролю. Individual customers can sign up or sign in with individual accounts, such as with a social identity provider or an email address and password.
• Бизнес-клиенты могут зарегистрироваться или войти в систему, используя корпоративные учетные данные. Business customers can sign up or sign in with their enterprise credentials.
• Партнеры и поставщики — это пользователи, которые предоставляют магазину продукты для продажи. Partners and suppliers are individuals who supply the grocery store with products to sell. Удостоверения партнеров предоставляются из Azure Active Directory B2B. Partner identity is provided by Azure Active Directory B2B.

Проверка подлинности для индивидуальных клиентов Authenticate individual customers

Когда клиент выбирает вход с личной учетной записью он перенаправляется на настроенную страницу входа в Azure AD B2C. When a customer selects Sign in with your personal account, they’re redirected to a customized sign-in page hosted by Azure AD B2C. На следующем рисунке можно заметить, что мы настроили пользовательский интерфейс и внешний вид так же, как на веб-сайте WoodGrove Groceries. You can see in the following image that we’ve customized the user interface (UI) to look and feel just like the WoodGrove Groceries website. Клиенты WoodGrove не должны замечать, что процесс проверки подлинности размещается и защищается в Azure AD B2C. WoodGrove’s customers should be unaware that the authentication experience is hosted and secured by Azure AD B2C.

WoodGrove позволяет своим клиентам регистрироваться и входить в систему с учетными записями, поставщиком удостоверений для которых является Google, Facebook или Майкрософт. WoodGrove allows their customers to sign up and sign in by using their Google, Facebook, or Microsoft accounts as their identity provider. Также они могут зарегистрироваться, указав личный адрес электронной почты и пароль для создания локальной учетной записи. Or, they can sign up by using their email address and a password to create what’s called a local account.

Когда клиент выбирает вход с личной учетной записью, а затем ссылку Зарегистрироваться, ему предоставляется пользовательская страница регистрации. When a customer selects Sign up with your personal account and then Sign up now, they’re presented with a custom sign-up page.

Когда клиент вводит адрес электронной почты и выбирает отправку проверочного кода, Azure AD B2C отправляет ему этот код. After entering an email address and selecting Send verification code, Azure AD B2C sends them the code. Клиент вводит код и нажимает кнопку Проверить код, а затем вводит другие сведения в форме и подтверждает согласие с условиями предоставления услуг. Once they enter their code, select Verify code, and then enter the other information on the form, they must also agree to the terms of service.

Когда пользователь нажмет кнопку Создать, Azure AD B2C перенаправит его обратно на веб-сайт WoodGrove Groceries. Clicking the Create button causes Azure AD B2C to redirect the user back to the WoodGrove Groceries website. При этом перенаправлении Azure AD B2C передает маркер проверки подлинности OpenID Connect в веб-приложение WoodGrove. When it redirects, Azure AD B2C passes an OpenID Connect authentication token to the WoodGrove web application. Теперь пользователь считается вошедшим в систему и может начинать работу, а его имя отображается в правом верхнем углу как признак успешного входа. The user is now signed-in and ready to go, their display name shown in the top-right corner to indicate they’re signed in.

Проверка подлинности для бизнес-клиентов Authenticate business customers

Когда клиент выбирает любой из вариантов в разделе Бизнес-клиенты, веб-сайт WoodGrove Groceries вызывает другую политику Azure AD B2C, которая отличается от политики для индивидуальных клиентов. When a customer selects one of the options under Business customers, the WoodGrove Groceries website invokes a different Azure AD B2C policy than it does for individual customers.

Эта политика позволяет ввести корпоративные учетные данные для регистрации и входа. This policy presents the user with an option to use their corporate credentials for sign-up and sign-in. В примере WoodGrove пользователям предлагается выполнить вход с любой рабочей или учебной учетной записью. In the WoodGrove example, users are prompted to sign in with any work or school account. Эта политика использует мультитенантное приложение Azure AD и конечную точку /common Azure AD для федерации Azure AD B2C с любым клиентом Microsoft 365. This policy uses a multi-tenant Azure AD application and the /common Azure AD endpoint to federate Azure AD B2C with any Microsoft 365 customer in the world.

Проверка подлинности для партнеров Authenticate partners

С ссылкой для входа с учетной записью поставщика используется функция совместной работы из Azure Active Directory B2B. The Sign in with your supplier account link uses Azure Active Directory B2B’s collaboration functionality. Azure AD B2B — это семейство компонентов Azure Active Directory для управления удостоверениями партнеров. Azure AD B2B is a family of features in Azure Active Directory to manage partner identities. Для этих удостоверений можно настроить федерацию из Azure Active Directory для доступа к приложениям, защищенным с помощью Azure AD B2C. Those identities can be federated from Azure Active Directory for access into Azure AD B2C-protected applications.

Дальнейшие действия Next steps

Теперь, когда у вас есть представление о том, что такое Azure AD B2C и в каких ситуациях есть смысл использовать это решение, переходите к изучению технических возможностей и компонентов системы. Now that you have an idea of what Azure AD B2C is and some of the scenarios it can help with, dig a little deeper into its features and technical aspects.