什么是 Azure Active Directory B2C？

Azure Active Directory B2C以服務(wù)的形式提供企業(yè)到客戶的標(biāo)識(shí)?？蛻羰褂闷涫走x的社交、企業(yè)或本地帳戶標(biāo)識(shí)對(duì)應(yīng)用程序和API進(jìn)行單一登錄訪問。

Azure Active Directory B2C(Azure AD B2C)是一個(gè)客戶標(biāo)識(shí)訪問管理(CIAM)解決方案，每天能夠支持?jǐn)?shù)百萬用戶和數(shù)十億次身份驗(yàn)證。它負(fù)責(zé)處理身份驗(yàn)證平臺(tái)的規(guī)模和安全性，并監(jiān)視和自動(dòng)應(yīng)對(duì)拒絕服務(wù)、密碼噴灑或暴力攻擊等威脅。

自定義品牌的標(biāo)識(shí)解決方案

Azure AD B2C是一種貼牌式身份驗(yàn)證解決方案。你可以使用自己的品牌自定義整個(gè)用戶體驗(yàn)，使其能夠與Web和移動(dòng)應(yīng)用程序無縫融合。

可以自定義當(dāng)用戶注冊(cè)、登錄和修改其個(gè)人資料信息時(shí)Azure AD B2C顯示的每一頁?？梢宰远x用戶旅程中的HTML、CSS和JavaScript，使Azure AD B2C體驗(yàn)的外觀類似于應(yīng)用程序的原生組成部分。

使用用戶提供的標(biāo)識(shí)進(jìn)行單一登錄訪問

Azure AD B2C使用基于標(biāo)準(zhǔn)的身份驗(yàn)證協(xié)議，包括OpenID Connect、OAuth 2.0和SAML。它與大多數(shù)新式應(yīng)用程序和商用現(xiàn)貨軟件相集成。

Azure AD B2C充當(dāng)Web應(yīng)用程序、移動(dòng)應(yīng)用和API的中心身份驗(yàn)證機(jī)構(gòu)，使你能夠?yàn)樗羞@些應(yīng)用構(gòu)建單一登錄(SSO)解決方案。集中收集用戶個(gè)人資料和偏好信息，并捕獲有關(guān)登錄行為和注冊(cè)轉(zhuǎn)換的詳細(xì)分析。

與外部用戶存儲(chǔ)集成

Azure AD B2C提供一個(gè)目錄，其中可以保存每個(gè)用戶的100個(gè)自定義屬性。但是，你也可以與外部系統(tǒng)相集成。例如，使用Azure AD B2C進(jìn)行身份驗(yàn)證，但將權(quán)限委托給用作客戶數(shù)據(jù)真實(shí)來源的外部客戶關(guān)系管理(CRM)或客戶忠誠度數(shù)據(jù)庫。

另一種外部用戶存儲(chǔ)方案是讓Azure AD B2C處理應(yīng)用程序的身份驗(yàn)證，但與存儲(chǔ)用戶個(gè)人資料或個(gè)人數(shù)據(jù)的外部系統(tǒng)相集成。例如，滿足區(qū)域或本地?cái)?shù)據(jù)存儲(chǔ)策略規(guī)定的數(shù)據(jù)駐留要求。

Azure AD B2C有助于在注冊(cè)或編輯個(gè)人資料過程中從用戶收集信息，然后將該數(shù)據(jù)轉(zhuǎn)交到外部系統(tǒng)。在將來的身份驗(yàn)證過程中，Azure AD B2C可以從外部系統(tǒng)檢索數(shù)據(jù)，并根據(jù)需要將此數(shù)據(jù)包含為發(fā)送到應(yīng)用程序的身份驗(yàn)證令牌響應(yīng)的一部分。

漸進(jìn)式分析

另一個(gè)用戶旅程選項(xiàng)包括漸進(jìn)式分析。漸進(jìn)式分析可讓客戶通過收集極少量的信息來快速完成第一個(gè)事務(wù)。今后在客戶登錄時(shí)，將以漸進(jìn)方式從客戶收集更多的個(gè)人資料數(shù)據(jù)。

第三方標(biāo)識(shí)驗(yàn)證和證明

使用Azure AD B2C可以收集用戶數(shù)據(jù)，然后將其傳遞給第三方系統(tǒng)來執(zhí)行驗(yàn)證、信任評(píng)分和審批用戶帳戶創(chuàng)建操作，以此幫助完成標(biāo)識(shí)驗(yàn)證和證明。

這僅僅是用作企業(yè)到客戶標(biāo)識(shí)平臺(tái)的Azure AD B2C的一部分功能。本概述文章的以下部分將演練一個(gè)使用Azure AD B2C的演示應(yīng)用程序。另外，也歡迎你直接查看更深入的文章Azure AD B2C技術(shù)概述。

示例：WoodGrove Groceries

WoodGrove Groceries是Microsoft創(chuàng)建的用于演示多個(gè)Azure AD B2C功能的實(shí)時(shí)Web應(yīng)用程序。后面的幾個(gè)部分將會(huì)介紹Azure AD B2C在WoodGrove網(wǎng)站中提供的某些身份驗(yàn)證選項(xiàng)。

企業(yè)概述

WoodGrove是一家在線雜貨商店，向個(gè)人消費(fèi)者和企業(yè)客戶銷售雜貨。其企業(yè)客戶代表他們的公司或者他們管理的企業(yè)購買雜貨。

登錄選項(xiàng)

WoodGrove Groceries根據(jù)其客戶與自身商店之間的關(guān)系提供多個(gè)登錄選項(xiàng)：

·個(gè)人客戶可以使用個(gè)人帳戶（例如社交標(biāo)識(shí)提供者或電子郵件地址和密碼）進(jìn)行注冊(cè)或登錄。

·企業(yè)客戶可以使用其企業(yè)憑據(jù)進(jìn)行注冊(cè)或登錄。

·合作伙伴和供應(yīng)商是向該雜貨店提供銷售產(chǎn)品的個(gè)人。合作伙伴標(biāo)識(shí)由Azure Active Directory B2B提供。

對(duì)個(gè)人客戶進(jìn)行身份驗(yàn)證

當(dāng)客戶選擇“使用個(gè)人帳戶登錄”時(shí)，將重定向到Azure AD B2C托管的自定義登錄頁。在下圖中可以看到，我們已自定義用戶界面(UI)，其外觀與WoodGrove Groceries網(wǎng)站非常類似。WoodGrove的客戶應(yīng)該不知道身份驗(yàn)證體驗(yàn)是由Azure AD B2C托管和保護(hù)的。

WoodGrove允許其客戶使用Google、Facebook或Microsoft帳戶作為標(biāo)識(shí)提供者進(jìn)行注冊(cè)和登錄?；蛘?，其客戶可以使用電子郵件地址和密碼創(chuàng)建所謂的“本地帳戶”來完成注冊(cè)。

當(dāng)客戶依次選擇“使用個(gè)人帳戶注冊(cè)”、“立即注冊(cè)”時(shí)，將會(huì)看到自定義注冊(cè)頁。

在客戶輸入電子郵件地址并選擇“發(fā)送驗(yàn)證碼”后，Azure AD B2C會(huì)向客戶發(fā)送驗(yàn)證碼。輸入驗(yàn)證碼，選擇“驗(yàn)證代碼”，并在表單中輸入其他信息后，客戶還必須同意服務(wù)條款。

單擊“創(chuàng)建”按鈕后，Azure AD B2C會(huì)將用戶重定向回到WoodGrove Groceries網(wǎng)站。在重定向時(shí)，Azure AD B2C會(huì)將OpenID Connect身份驗(yàn)證令牌傳遞給WoodGrove Web應(yīng)用程序。用戶現(xiàn)已完成登錄并已準(zhǔn)備好繼續(xù)操作，其顯示名稱將顯示在右上角，表示他們已登錄。

對(duì)企業(yè)客戶進(jìn)行身份驗(yàn)證

當(dāng)客戶選擇“企業(yè)客戶”下的某個(gè)選項(xiàng)時(shí)，WoodGrove Groceries網(wǎng)站會(huì)調(diào)用一個(gè)不同的Azure AD B2C策略，該策略不同于針對(duì)個(gè)人客戶調(diào)用的策略。

此策略為用戶提供一個(gè)使用其公司憑據(jù)進(jìn)行注冊(cè)和登錄的選項(xiàng)。在WoodGrove示例中，系統(tǒng)會(huì)提示用戶使用任何工作或?qū)W校帳戶登錄。此策略使用多租戶Azure AD應(yīng)用程序和/common Azure AD終結(jié)點(diǎn)將Azure AD B2C聯(lián)合到全球的任何Microsoft 365客戶。

對(duì)合作伙伴進(jìn)行身份驗(yàn)證

“使用供應(yīng)商帳戶登錄”鏈接使用Azure Active Directory B2B的協(xié)作功能。Azure AD B2B是Azure Active Directory中用于管理合作伙伴標(biāo)識(shí)的功能系列?？梢詮腁zure Active Directory聯(lián)合這些標(biāo)識(shí)，以訪問Azure AD B2C保護(hù)的應(yīng)用程序。

有關(guān)Azure AD B2B的詳細(xì)信息，請(qǐng)參閱什么是Azure Active Directory B2B中的來賓用戶訪問權(quán)限？。