Руководство по настройке Nevis с помощью Azure Active Directory B2C для проверки подлинности без пароля

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

В этом руководстве описано, как включить проверку подлинности без пароля в Azure Active Directory B2C (Azure AD B2C) с приложением Nevis Access, чтобы включить проверку подлинности клиентов и соответствовать требованиям к транзакциям директивы 2 (PSD2). PSD2 — это директива Европейского союза (ЕС), администрируемая Европейской комиссией (генеральный внутренний рынок) для регулирования услуг оплаты и поставщиков услуг оплаты по всему ЕС и Европейской экономической зоне (EEA).

Предпосылки

Чтобы приступить к работе, потребуется следующее.

Примечание.

Чтобы интегрировать Nevis в поток политики регистрации, настройте среду Azure AD B2C для использования пользовательских политик.
См. руководство. Создание потоков пользователей и пользовательских политик в Azure Active Directory B2C.

Описание сценария

Добавьте фирменное приложение Access в серверное приложение для проверки подлинности без пароля. Следующие компоненты составляют решение:

  • Тенант Azure AD B2C с объединенной политикой входа и регистрации для вашей серверной части
  • Экземпляр Nevis и его REST API для повышения возможностей Azure AD B2C
  • Ваше фирменное приложение Access

На схеме показана реализация.

Схема, показывающая высокоуровневый поток входа в систему с использованием Azure AD B2C и Nevis.

  1. Пользователь пытается войти или зарегистрироваться в приложении с помощью политики Azure AD B2C.
  2. Во время регистрации доступ регистрируется на устройстве пользователя с помощью QR-кода. Закрытый ключ создается на устройстве пользователя и используется для подписывания запросов пользователей.
  3. Azure AD B2C использует технический профиль RESTful для запуска входа с помощью решения Nevis.
  4. Запрос на вход передается в Access в виде push-сообщения, QR-кода или глубокой ссылки.
  5. Пользователь утверждает попытку входа с биометрическими данными. Сообщение отправляется в Nevis, которое проверяет вход с помощью сохраненного открытого ключа.
  6. Azure AD B2C отправляет запрос в Nevis, чтобы подтвердить выполнение входа.
  7. Пользователю предоставляется или отказывается в доступе к приложению с сообщением об успехе или отказе от Azure AD B2C.

Интеграция клиента Azure AD B2C

Запросить учетную запись Nevis

  1. Перейдите по ссылке nevis.net для Nevis + Microsoft Azure AD B2C.
  2. Используйте форму для запроса учетной записи.
  3. Прибывают два сообщения электронной почты:
  • Уведомление учетной записи управления
  • Приглашение в мобильное приложение

Добавление клиента Azure AD B2C в учетную запись Nevis

  1. Скопируйте ключ управления из электронной почты пробной версии учетной записи управления.
  2. В браузере откройте консоль управления Nevis.
  3. Используйте ключ управления для входа в консоль управления.
  4. Выберите Добавить экземпляр.
  5. Выберите созданный экземпляр.
  6. В боковой навигации выберите "Пользовательские интеграции".
  7. Выберите "Добавить настраиваемую интеграцию".
  8. В поле "Имя интеграции" введите имя клиента Azure AD B2C.
  9. Введите https://yourtenant.onmicrosoft.com.
  10. Выберите "Далее"
  11. Нажмите кнопку Готово.

Примечание.

Позже вам потребуется токен доступа Nevis.

Установка Nevis Access на телефоне

  1. Из письма-приглашения мобильного приложения Nevis откройте приглашение в приложение Test Flight.
  2. Установите приложение.

Интеграция Azure AD B2C с Nevis

  1. Войдите на портал Azure.
  2. Перейдите в клиент Azure AD B2C. Примечание. Клиент Azure AD B2C обычно находится в отдельной учетной записи.
  3. В меню выберите Identity Experience Framework (IEF).
  4. Выберите Ключи политики.
  5. Выберите Добавить.
  6. Создайте новый ключ.
  7. В разделе "Параметры" выберите "Вручную".
  8. Для Имя выберите AuthCloudAccessToken.
  9. Для секрета вставьте сохранённый ключ доступа Nevis.
  10. Для использования ключей выберите "Шифрование".
  11. Выберите Создать.

Настройка и отправка файла nevis.html в хранилище BLOB-объектов Azure

  1. В среде идентификации (IDE) перейдите в папку /master/samples/Nevis/policy.
  2. В /samples/Nevis/policy/nevis.html откройте файл nevis.html.
  3. Замените authentication_cloud_url URL-адресом https://<instance_id>.mauth.nevis.cloudконсоли администрирования Nevis.
  4. Выберите Сохранить.
  5. Создайте учетную запись Azure для хранения BLOB-объектов.
  6. Загрузите файл nevis.html в хранилище BLOB-объектов Azure.
  7. Настройка CORS.
  8. Включите общий доступ к ресурсам между источниками (CORS) для файла.
  9. В списке выберите файлnevis.html .
  10. На вкладке "Обзор" рядом с URL-адресом выберите значок ссылки копирования .
  11. Откройте ссылку на новой вкладке браузера, чтобы подтвердить появление серого поля.

Примечание.

Позже вам потребуется ссылка большого двоичного объекта.

Настройка TrustFrameworkBase.xml

  1. В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
  2. Откройте TrustFrameworkBase.xml.
  3. Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
  4. Замените вашего арендатора на имя вашей учетной записи арендатора в Azure в PublicPolicyURI.
  5. Замените все authentication_cloud_url экземпляры URL-адресом консоли администрирования Nevis.
  6. Выберите Сохранить.

Настройка TrustFrameworkExtensions.xml

  1. В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
  2. Откройте TrustFrameworkExtensions.xml.
  3. Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
  4. Замените вашего арендатора на имя вашей учетной записи арендатора в Azure в PublicPolicyURI.
  5. В разделе BasePolicy в TenantId замените ваш арендатор именем учетной записи вашего арендатора в Azure.
  6. В секции BuildingBlocks замените LoadUri на URL-адрес nevis.html ссылки на blob в вашей учетной записи хранения BLOB-объектов.
  7. Выберите Сохранить.

Настройка SignUpOrSignin.xml

  1. В интегрированной среде разработки перейдите в папку /samples/Nevis/policy .
  2. Откройте файлSignUpOrSignin.xml .
  3. Замените вашего клиента именем учётной записи вашего клиента Azure в TenantId.
  4. Замените клиент именем учетной записи клиента Azure в PublicPolicyUri.
  5. В разделе BasePolicy в TenantId замените клиент именем учетной записи клиента Azure.
  6. Выберите Сохранить.

Отправка пользовательских политик в Azure AD B2C

  1. На портале Azure откройте клиент Azure AD B2C.
  2. Выберите Identity Experience Framework.
  3. Выберите " Отправить настраиваемую политику".
  4. Выберите измененный файлTrustFrameworkBase.xml .
  5. Установите флажок Перезаписать настраиваемую политику, если она уже существует.
  6. Выберите Загрузить.
  7. Повторите шаг 5 и 6 для TrustFrameworkExtensions.xml.
  8. Повторите шаг 5 и 6 для SignUpOrSignin.xml.

Тестирование потока пользователя

Проверка создания учетной записи и настройки Access

  1. На портале Azure откройте клиент Azure AD B2C.
  2. Выберите Identity Experience Framework.
  3. Прокрутите вниз до настраиваемых политик и выберите B2C_1A_signup_signin.
  4. Выберите Запустить немедленно.
  5. В окне выберите "Зарегистрироваться сейчас".
  6. Добавьте адрес электронной почты.
  7. Выберите "Отправить код проверки".
  8. Скопируйте код проверки из сообщения электронной почты.
  9. Выберите Проверить.
  10. Заполните форму новым паролем и отобразите имя.
  11. Выберите Создать.
  12. Откроется страница сканирования QR-кода.
  13. На телефоне откройте приложение Nevis Access.
  14. Выберите идентификатор лица.
  15. На экране появится сообщение о том, что регистрация в Authenticator прошла успешно.
  16. Выберите Продолжить.
  17. На телефоне выполните проверку подлинности с помощью лица.
  18. Откроется страница приветствия jwt.ms со сведениями о декодированных токенах.

Проверка входа без пароля

  1. В разделе «Платформа управления идентичностью» выберите B2C_1A_signup_signin.
  2. Выберите Запустить немедленно.
  3. В окне выберите проверку подлинности без пароля.
  4. Введите адрес электронной почты.
  5. Выберите Продолжить.
  6. На телефоне в уведомлениях выберите уведомление приложения Nevis Access.
  7. Авторизуйтесь с использованием лица.
  8. Откроется страница приветствия jwt.ms с токенами.

Дальнейшие действия