Azure Solution Design 配置管理系列(PART 13)
1.6 Azure B2C设计
在 Azure Active Directory B2C (Azure AD B2C) 中,租户表示组织,也是用户的目录。每个 Azure AD B2C 租户都是独特的,独立于其他 Azure AD B2C 租户。 Azure AD B2C 租户不同于你可能已有的 Azure Active Directory 租户。
在 Azure AD B2C 租户中使用的主要资源包括:
· 目录 - 目录是 Azure AD B2C 将用户的凭据和配置文件数据以及应用程序注册存储到的位置。
· 应用程序注册 - 将 Web、移动和本机应用程序注册到 Azure AD B2C 以启用标识管理。此外,应用程序注册还包括要使用 Azure AD B2C 保护的 API。
· 用户流和自定义策略 - 应用程序的内置标识体验(用户流)和完全可自定义的标识体验(自定义策略)。使用用户流可以快速配置和启用常见标识任务,例如注册、登录和配置文件编辑。使用自定义策略不仅可为常见标识任务启用用户体验,而且还能为组织、客户、员工、合作伙伴和市民的独特复杂标识工作流构建支持。
· 标识提供者 - 以下对象的联合设置:要在应用程序中支持的社交标识提供者,例如 LinkedIn。支持 OAuth 2.0、OpenID Connect 等标准标识协议的外部标识提供者。可让用户使用用户名(或者电子邮件地址或其他 ID)和密码注册和登录的本地帐户。
· 密钥 - 添加和管理用于签署与验证令牌的加密密钥。
从另一标识提供者迁移到 Azure Active Directory B2C (Azure AD B2C) 可能还需要迁移现有的用户帐户。本文将介绍两种迁移方法:批量导入和无缝迁移。 无论使用哪种方法,都需要编写一个应用程序或脚本,以使用 Microsoft Graph API 在 Azure AD B2C 中创建用户帐户。
Ø 批量导入
在批量导入流中,迁移应用程序将对每个用户帐户执行以下步骤:
· 读取旧标识提供者中的用户帐户,包括其当前凭据(用户名和密码)。
· 使用当前凭据在 Azure AD B2C 目录中创建相应的帐户。
对于以下两种情况,请使用批量导入流:
· 你有权访问用户的纯文本凭据(用户名和PIN)。
· 凭据已加密,但可将其解密。
Ø 无缝迁移
如果无法访问旧标识提供者中的纯文本密码,请使用无缝迁移流。 例如,在以下情况下使用该流:
· 密码是以单向加密格式存储的(例如,使用哈希函数)。
· 旧式标识提供者以你无法访问的方式存储了密码。例如,标识提供者通过调用 Web 服务来验证凭据。
无缝迁移流仍需批量迁移用户帐户,但随后会使用自定义策略来查询某个 REST API(由你创建),以便在每个用户首次登录时设置其密码。
详细设计内容将在Azure B2C设计表中体现。
1.7 创建 Azure SQL 数据库托管实例
1.7.1 创建 Azure SQL 数据库托管实例
Azure Solution Design 配置管理系列(PART 15)
