Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Leitfaden lernen Sie die Grundlagen der Migration von Benutzern und Anmeldeinformationen von Ihrem aktuellen Identitätsanbieter, einschließlich Azure AD B2C, zur externen Microsoft Entra-ID kennen. In diesem Handbuch werden verschiedene Lösungen behandelt, die Sie je nach ihrer aktuellen Konfiguration verwenden können. Bei jedem dieser Ansätze müssen Sie eine Anwendung oder ein Skript schreiben, die die Microsoft Graph-API zum Erstellen von Benutzerkonten in der externen ID verwendet.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie unter "Ist Azure AD B2C weiterhin zum Kauf verfügbar?" in unseren HÄUFIG gestellten Fragen.
Voraussetzungen
Bevor Sie mit der Migration von Benutzern zu externer ID beginnen, benötigen Sie Folgendes:
- Ein externer Mieter. Um eine zu erstellen, wählen Sie aus den folgenden Methoden aus:
- Verwenden Sie die Microsoft Entra External ID-Erweiterung, um einen externen Mandanten direkt in Visual Studio Code einzurichten.
- Erstellen Sie einen neuen externen Mandanten im Microsoft Entra Admin Center.
Vorbereitung: Verzeichnisbereinigung
Bevor Sie den Benutzermigrationsprozess starten, sollten Sie sich zeitaufwendigen, Daten in Ihrem Legacyidentitätsanbieterverzeichnis zu bereinigen. Dadurch wird sichergestellt, dass Sie nur die benötigten Daten migrieren und den Migrationsprozess reibungsloser gestalten.
- Identifizieren Sie den Satz von Benutzerattributen, die in der externen ID gespeichert werden sollen, und migrieren Sie nur das, was Sie benötigen. Bei Bedarf können Sie benutzerdefinierte Attribute innerhalb der externen ID erstellen, um weitere Daten zu einem Benutzer zu speichern.
- Wenn Sie aus einer Umgebung mit mehreren Authentifizierungsquellen migrieren (z. B. verfügt jede Anwendung über ein eigenes Benutzerverzeichnis), migrieren Sie zu einem einheitlichen Konto in der externen ID. Möglicherweise müssen Sie Ihre eigene Geschäftslogik anwenden, um Konten für denselben Benutzer aus verschiedenen Quellen zusammenzuführen und abzugleichen.
- Benutzernamen müssen pro Konto in "Extern" eindeutig sein. Wenn mehrere Anwendungen unterschiedliche Benutzernamen verwenden, müssen Sie Ihre eigene Geschäftslogik anwenden, um Konten abzugleichen und zusammenzuführen. Lassen Sie den Benutzer für das Kennwort eine Option auswählen und im Verzeichnis festlegen. Nur das ausgewählte Kennwort sollte im Externen ID-Konto gespeichert werden.
- Entfernen Sie nicht verwendete Benutzerkonten, oder migrieren Sie veraltete Konten nicht.
Phase 1: Migration von Benutzerdaten
Der erste Schritt im Migrationsprozess besteht darin, Benutzerdaten von Ihrem älteren Identitätsanbieter zu einer externen ID zu migrieren. Dazu gehören Benutzernamen und alle anderen relevanten Attribute. Dazu müssen Sie:
- Lesen Sie die Benutzerkonten von Ihrem älteren Identitätsanbieter.
- Erstellen Sie die entsprechenden Benutzerkonten in Ihrem Externen ID-Verzeichnis. Informationen zum programmgesteuerten Erstellen von Benutzerkonten finden Sie unter Verwalten von Consumer-Benutzerkonten mit Microsoft Graph.
- Wenn Sie Zugriff auf die Nur-Text-Kennwörter von Benutzern haben, können Sie diese direkt auf den neuen Konten festlegen, während Sie Benutzerdaten migrieren. Wenn Sie keinen Zugriff auf die Nur-Text-Kennwörter haben, sollten Sie ein zufälliges Kennwort festlegen, das später als Teil des Kennwortmigrationsprozesses aktualisiert wird.
Nicht alle Informationen in Ihrem älteren Identitätsanbieter müssen in Ihr Externes ID-Verzeichnis migriert werden. Die folgenden Empfehlungen können Ihnen dabei helfen, den geeigneten Satz von Benutzerattributen zu ermitteln, die in der externen ID gespeichert werden sollen.
Speichern Sie in externer ID:
- Benutzername, Kennwort, E-Mail-Adressen, Telefonnummern, Mitgliedschaftsnummern/Bezeichner.
- Zustimmungsmarkierungen für Datenschutzrichtlinien und Endbenutzer-Lizenzverträge.
Speichern Sie nicht in externer ID:
- Vertrauliche Daten wie Kreditkartennummern, Sozialversicherungsnummern (SSN), Krankenakten oder andere daten, die von behörden- oder branchenspezifischen Compliance-Stellen reguliert werden.
- Marketing- oder Kommunikationseinstellungen, Benutzerverhalten und Einblicke.
Phase 2: Kennwortmigration
Nachdem Sie Benutzerdaten migriert haben, müssen Sie Benutzerwörter vom älteren Identitätsanbieter zu externer ID migrieren. Es gibt zwei empfohlene Ansätze für die Migration von Benutzerkennwörtern: Self-Service Password Reset (SSPR) und nahtlose Migration. Wenn auf Nur-Text-Benutzerwörter nicht zugegriffen werden kann, müssen Sie eine dieser Methoden verwenden. Beispiele:
- Das Kennwort wird in Azure AD B2C gespeichert.
- Das Kennwort wird in einem unidirektionale verschlüsselten Format gespeichert, z. B. mit einer Hashfunktion.
- Das Kennwort wird vom älteren Identitätsanbieter auf eine Weise gespeichert, auf die Sie nicht zugreifen können. Beispielsweise, wenn der Identitätsanbieter Anmeldeinformationen durch Aufrufen eines Webdiensts überprüft.
Self Service Password Reset (SSPR)
Mithilfe des Self-Service-Kennwortzurücksetzungsfeatures (Self Service Password Reset, SSPR) in der externen ID können Kunden ihr Kennwort bei der ersten Anmeldung beim neuen System manuell festlegen. Dieser Ansatz ist einfach zu implementieren und erfordert keinen benutzerdefinierten Code. Benutzer müssen ihre Kennwörter jedoch manuell zurücksetzen, was für einige Benutzer unannelich sein kann.
Um diesen Ansatz zu verwenden, müssen Sie zuerst SSPR in Ihrem mandanten für externe ID einrichten und die Kennwortzurücksetzungsrichtlinien konfigurieren. Anschließend müssen Sie Benutzern Anweisungen zum Zurücksetzen ihrer Kennwörter mithilfe von SSPR bereitstellen, wenn sie sich zum ersten Mal anmelden. Sie können zum Beispiel eine E-Mail mit Anweisungen zum Zurücksetzen ihrer Kennwörter an Benutzer senden oder Anweisungen in Ihrer App hinzufügen, bevor der Benutzer zum Anmeldeablauf navigiert.
Nahtlose Migration
Wenn Sie über eine große Anzahl von Benutzern verfügen oder eine nahtlosere Benutzererfahrung bieten möchten, können Sie den nahtlosen Migrationsansatz verwenden. Mit diesem Vorgang können Benutzer ihre vorhandenen Kennwörter weiterhin verwenden, während sie ihre Konten zu externer ID migrieren. Dazu müssen Sie eine benutzerdefinierte REST-API erstellen, um anmeldeinformationen zu überprüfen, die von Benutzern für den älteren Identitätsanbieter eingegeben wurden.
Der nahtlose Migrationsprozess besteht aus den folgenden Schritten:
- Fügen Sie ein Erweiterungsattribut zu Benutzerkonten hinzu, die ihren Migrationsstatus kennzeichnen.
- Wenn sich ein Kunde anmeldet, lesen Sie das Benutzerkonto der externen ID, das der eingegebenen E-Mail-Adresse entspricht.
- Wenn das Konto eines Kunden bereits als migriert gekennzeichnet ist, fahren Sie mit dem Anmeldevorgang fort.
- Wenn das Konto des Benutzers nicht als bereits migriert gekennzeichnet ist, überprüfen Sie das kennwort, das für den älteren Identitätsanbieter eingegeben wurde.
- Wenn der Legacy-IDP feststellt, dass das Kennwort falsch ist, sollte eine benutzerfreundliche Fehlermeldung an den Benutzer zurückgegeben werden.
- Wenn der Legacy-IdP bestimmt, dass das Kennwort korrekt ist, verwenden Sie die REST-API, um das Kennwort in das Externe ID-Konto zu schreiben und das Erweiterungsattribut so zu ändern, dass das Konto als migriert markiert wird.
Nahtlose Migration erfolgt in zwei Phasen. Zunächst werden veraltete Anmeldeinformationen gesammelt und in der Externen ID gespeichert. Sobald die Anmeldeinformationen für eine ausreichende Anzahl von Benutzern aktualisiert wurden, können Anwendungen migriert werden, um sich direkt mit der externen ID zu authentifizieren. An diesem Punkt können migrierte Benutzer weiterhin ihre vorhandenen Anmeldeinformationen verwenden. Alle Benutzer, die nicht migriert wurden, müssen ihr Kennwort zurücksetzen, wenn sie sich zum ersten Mal anmelden.
Das allgemeine Design für den nahtlosen Migrationsprozess wird im folgenden Diagramm gezeigt:
Sammeln Sie Anmeldeinformationen vom alten Identitätsanbieter und aktualisieren Sie die entsprechenden Konten in External ID.
Beenden Sie das Ernten von Anmeldeinformationen und migrieren Sie Anwendungen zur Authentifizierung mit externer ID. Außerbetriebnahme des veralteten Identitätsanbieters.
Hinweis
Wenn Sie diesen Ansatz verwenden, ist es wichtig, Ihre REST-API vor Brute-Force-Angriffen zu schützen. Ein Angreifer kann mehrere Kennwörter übermitteln, um schließlich die Anmeldeinformationen eines Benutzers zu erraten. Um solche Angriffe zu besiegen, beenden Sie die Bereitstellung von Anforderungen an Ihre REST-API, wenn die Anzahl der Anmeldeversuche einen bestimmten Schwellenwert überschreitet.
Verwandte Inhalte
- Wenn Sie von Azure AD B2C migrieren, enthält das nahtlose Benutzermigrationsbeispiel-Repository auf GitHub ein nahtloses Beispiel für eine benutzerdefinierte Migration und ein REST-API-Codebeispiel.
- Weitere Informationen zu benutzerdefinierten Authentifizierungserweiterungen.