Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
В этом руководстве описано, как включить проверку подлинности без пароля в Azure Active Directory B2C (Azure AD B2C) с приложением Nevis Access, чтобы включить проверку подлинности клиентов и соответствовать требованиям к транзакциям директивы 2 (PSD2). PSD2 — это директива Европейского союза (ЕС), администрируемая Европейской комиссией (генеральный внутренний рынок) для регулирования услуг оплаты и поставщиков услуг оплаты по всему ЕС и Европейской экономической зоне (EEA).
Предпосылки
Чтобы приступить к работе, потребуется следующее.
Демонстрационная учетная запись Nevis
Подписка Azure
- Если у вас ее нет, получите бесплатную учетную запись Azure.
Клиент Azure AD B2C, связанный с подпиской Azure
Примечание.
Чтобы интегрировать Nevis в поток политики регистрации, настройте среду Azure AD B2C для использования пользовательских политик.
См. руководство. Создание потоков пользователей и пользовательских политик в Azure Active Directory B2C.
Описание сценария
Добавьте фирменное приложение Access в серверное приложение для проверки подлинности без пароля. Следующие компоненты составляют решение:
- Тенант Azure AD B2C с объединенной политикой входа и регистрации для вашей серверной части
- Экземпляр Nevis и его REST API для повышения возможностей Azure AD B2C
- Ваше фирменное приложение Access
На схеме показана реализация.
- Пользователь пытается войти или зарегистрироваться в приложении с помощью политики Azure AD B2C.
- Во время регистрации доступ регистрируется на устройстве пользователя с помощью QR-кода. Закрытый ключ создается на устройстве пользователя и используется для подписывания запросов пользователей.
- Azure AD B2C использует технический профиль RESTful для запуска входа с помощью решения Nevis.
- Запрос на вход передается в Access в виде push-сообщения, QR-кода или глубокой ссылки.
- Пользователь утверждает попытку входа с биометрическими данными. Сообщение отправляется в Nevis, которое проверяет вход с помощью сохраненного открытого ключа.
- Azure AD B2C отправляет запрос в Nevis, чтобы подтвердить выполнение входа.
- Пользователю предоставляется или отказывается в доступе к приложению с сообщением об успехе или отказе от Azure AD B2C.
Интеграция клиента Azure AD B2C
Запросить учетную запись Nevis
- Перейдите по ссылке
nevis.netдля Nevis + Microsoft Azure AD B2C. - Используйте форму для запроса учетной записи.
- Прибывают два сообщения электронной почты:
- Уведомление учетной записи управления
- Приглашение в мобильное приложение
Добавление клиента Azure AD B2C в учетную запись Nevis
- Скопируйте ключ управления из электронной почты пробной версии учетной записи управления.
- В браузере откройте консоль управления Nevis.
- Используйте ключ управления для входа в консоль управления.
- Выберите Добавить экземпляр.
- Выберите созданный экземпляр.
- В боковой навигации выберите "Пользовательские интеграции".
- Выберите "Добавить настраиваемую интеграцию".
- В поле "Имя интеграции" введите имя клиента Azure AD B2C.
- Введите
https://yourtenant.onmicrosoft.com. - Выберите "Далее"
- Нажмите кнопку Готово.
Примечание.
Позже вам потребуется токен доступа Nevis.
Установка Nevis Access на телефоне
- Из письма-приглашения мобильного приложения Nevis откройте приглашение в приложение Test Flight.
- Установите приложение.
Интеграция Azure AD B2C с Nevis
- Войдите на портал Azure.
- Перейдите в клиент Azure AD B2C. Примечание. Клиент Azure AD B2C обычно находится в отдельной учетной записи.
- В меню выберите Identity Experience Framework (IEF).
- Выберите Ключи политики.
- Выберите Добавить.
- Создайте новый ключ.
- В разделе "Параметры" выберите "Вручную".
- Для Имя выберите AuthCloudAccessToken.
- Для секрета вставьте сохранённый ключ доступа Nevis.
- Для использования ключей выберите "Шифрование".
- Выберите Создать.
Настройка и отправка файла nevis.html в хранилище BLOB-объектов Azure
- В среде идентификации (IDE) перейдите в папку /master/samples/Nevis/policy.
- В /samples/Nevis/policy/nevis.html откройте файл
nevis.html. - Замените authentication_cloud_url URL-адресом
https://<instance_id>.mauth.nevis.cloudконсоли администрирования Nevis. - Выберите Сохранить.
- Создайте учетную запись Azure для хранения BLOB-объектов.
- Загрузите файл
nevis.htmlв хранилище BLOB-объектов Azure. - Настройка CORS.
- Включите общий доступ к ресурсам между источниками (CORS) для файла.
- В списке выберите файлnevis.html .
- На вкладке "Обзор" рядом с URL-адресом выберите значок ссылки копирования .
- Откройте ссылку на новой вкладке браузера, чтобы подтвердить появление серого поля.
Примечание.
Позже вам потребуется ссылка большого двоичного объекта.
Настройка TrustFrameworkBase.xml
- В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
- Откройте TrustFrameworkBase.xml.
- Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
- Замените вашего арендатора на имя вашей учетной записи арендатора в Azure в PublicPolicyURI.
- Замените все authentication_cloud_url экземпляры URL-адресом консоли администрирования Nevis.
- Выберите Сохранить.
Настройка TrustFrameworkExtensions.xml
- В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
- Откройте TrustFrameworkExtensions.xml.
- Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
- Замените вашего арендатора на имя вашей учетной записи арендатора в Azure в PublicPolicyURI.
- В разделе BasePolicy в TenantId замените ваш арендатор именем учетной записи вашего арендатора в Azure.
- В секции BuildingBlocks замените LoadUri на URL-адрес
nevis.htmlссылки на blob в вашей учетной записи хранения BLOB-объектов. - Выберите Сохранить.
Настройка SignUpOrSignin.xml
- В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
- Откройте файлSignUpOrSignin.xml .
- Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
- Замените клиент именем учетной записи клиента Azure в PublicPolicyUri.
- В разделе BasePolicy в TenantId замените клиент именем учетной записи клиента Azure.
- Выберите Сохранить.
Отправка пользовательских политик в Azure AD B2C
- На портале Azure откройте клиент Azure AD B2C.
- Выберите Identity Experience Framework.
- Выберите " Отправить настраиваемую политику".
- Выберите измененный файлTrustFrameworkBase.xml .
- Установите флажок Перезаписать настраиваемую политику, если она уже существует.
- Выберите Загрузить.
- Повторите шаг 5 и 6 для TrustFrameworkExtensions.xml.
- Повторите шаг 5 и 6 для SignUpOrSignin.xml.
Тестирование потока пользователя
Проверка создания учетной записи и настройки Access
- На портале Azure откройте клиент Azure AD B2C.
- Выберите Identity Experience Framework.
- Прокрутите вниз до настраиваемых политик и выберите B2C_1A_signup_signin.
- Выберите Запустить немедленно.
- В окне выберите "Зарегистрироваться сейчас".
- Добавьте адрес электронной почты.
- Выберите "Отправить код проверки".
- Скопируйте код проверки из сообщения электронной почты.
- Выберите Проверить.
- Заполните форму новым паролем и отобразите имя.
- Выберите Создать.
- Откроется страница сканирования QR-кода.
- На телефоне откройте приложение Nevis Access.
- Выберите идентификатор лица.
- На экране появится сообщение о том, что регистрация в Authenticator прошла успешно.
- Выберите Продолжить.
- На телефоне выполните проверку подлинности с помощью лица.
- Откроется страница приветствия jwt.ms со сведениями о декодированных токенах.
Проверка входа без пароля
- В разделе «Платформа управления идентичностью» выберите B2C_1A_signup_signin.
- Выберите Запустить немедленно.
- В окне выберите проверку подлинности без пароля.
- Введите адрес электронной почты.
- Выберите Продолжить.
- На телефоне в уведомлениях выберите уведомление приложения Nevis Access.
- Авторизуйтесь с использованием лица.
- Откроется страница приветствия jwt.ms с токенами.