Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Anche la migrazione da un altro provider di identità ad Azure Active Directory B2C (Azure AD B2C) potrebbe richiedere la migrazione degli account utente esistenti. Di seguito sono descritti due metodi di migrazione, pre-migrazione e migrazione senza problemi. Con entrambi gli approcci, è necessario scrivere un'applicazione o uno script che usa l'API Microsoft Graph per creare account utente in Azure AD B2C.
Guardare questo video per informazioni sulle strategie di migrazione degli utenti di Azure AD B2C e sui passaggi da considerare.
Annotazioni
Prima di iniziare la migrazione, assicurarsi che la quota inutilizzata del tenant di Azure AD B2C possa soddisfare tutti gli utenti di cui si prevede la migrazione. Scopri come ottenere l'utilizzo del tenant. Se è necessario aumentare il limite di quota del tenant, contattare il supporto tecnico Microsoft.
Pre-migrazione
Nel flusso di pre-migrazione l'applicazione di migrazione esegue questi passaggi per ogni account utente:
- Leggere l'account utente dal provider di identità precedente, incluse le credenziali correnti (nome utente e password).
- Creare un account corrispondente nella directory di Azure AD B2C con le credenziali correnti.
Usare il flusso di pre-migrazione in una di queste due situazioni:
- È possibile accedere alle credenziali di testo non crittografato di un utente (nome utente e password).
- Le credenziali vengono crittografate, ma è possibile decrittografarle.
Per informazioni sulla creazione di account utente a livello di codice, vedere Gestire gli account utente di Azure AD B2C con Microsoft Graph.
Migrazione senza problemi
Usare il flusso di migrazione senza interruzioni se le password in testo semplice nel provider di identità precedente non sono accessibili. Ad esempio, quando:
- La password viene archiviata in un formato crittografato unidirezionale, ad esempio con una funzione hash.
- La password viene archiviata dal provider di identità legacy in modo che non sia possibile accedere. Ad esempio, quando il provider di identità convalida le credenziali chiamando un servizio Web.
Il flusso di migrazione facile richiede ancora la pre-migrazione degli account utente, ma usa un criterio personalizzato per eseguire query su un'API REST (creata) per impostare la password di ogni utente al primo accesso.
Il flusso di migrazione facile è costituito da due fasi: pre-migrazione e impostazione delle credenziali.
Fase 1: Pre-migrazione
- L'applicazione di migrazione legge gli account utente dal provider di identità precedente.
- L'applicazione di migrazione crea gli account utente corrispondenti nella tua directory Azure AD B2C, ma utilizza password casuali che hai generato.
Fase 2: Impostare le credenziali
Al termine della pre-migrazione degli account, i criteri personalizzati e l'API REST eseguono le operazioni seguenti quando un utente accede:
- Leggi l'account utente di Azure AD B2C corrispondente all'indirizzo email immesso.
- Controllare se l'account è contrassegnato per la migrazione valutando un attributo di estensione booleano.
- Se l'attributo di estensione restituisce
True, chiamare l'API REST per convalidare la password rispetto al provider di identità legacy.- Qualora l'API REST determini che la password non è corretta, restituire un errore amichevole all'utente.
- Se l'API REST determina che la password è corretta, scrivere la password nell'account Azure AD B2C e modificare l'attributo dell'estensione booleana in
False.
- Se l'attributo di estensione booleano restituisce
False, continuare il processo di accesso come di consueto.
- Se l'attributo di estensione restituisce
Per visualizzare un esempio di criteri personalizzati e API REST, vedere l'esempio di migrazione utente facile in GitHub.
Sicurezza
L'approccio di migrazione facile usa l'API REST personalizzata per convalidare le credenziali di un utente rispetto al provider di identità legacy.
È necessario proteggere l'API REST da attacchi di forza bruta. Un utente malintenzionato può inviare diverse password nella speranza di indovinare le credenziali di un utente. Per risolvere tali attacchi, interrompere la gestione delle richieste all'API REST quando il numero di tentativi di accesso supera una determinata soglia. Proteggere anche la comunicazione tra Azure AD B2C e l'API REST. Per informazioni su come proteggere le API RESTful per la produzione, vedere Proteggere l'API RESTful.
Attributi utente
Non tutte le informazioni nel provider di identità legacy devono essere migrate nella directory di Azure AD B2C. Identificare il set appropriato di attributi utente da archiviare in Azure AD B2C prima della migrazione.
-
Archivio DO in Azure AD B2C:
- Nome utente, password, indirizzi di posta elettronica, numeri di telefono, numeri di appartenenza/identificatori.
- Marcatori di consenso per l'informativa sulla privacy e i contratti di licenza dell'utente finale.
-
NON archiviare in Azure AD B2C:
- Dati sensibili come numeri di carta di credito, numeri di previdenza sociale (SSN), cartelle cliniche o altri dati regolamentati da enti pubblici o di conformità del settore.
- Preferenze di marketing o di comunicazione, comportamenti degli utenti e informazioni dettagliate.
Pulizia della directory
Prima di avviare il processo di migrazione, è possibile pulire la directory.
- Identificare il set di attributi utente da archiviare in Azure AD B2C ed eseguire la migrazione solo degli elementi necessari. Se necessario, è possibile creare attributi personalizzati per archiviare più dati su un utente.
- Se si esegue la migrazione da un ambiente con più origini di autenticazione( ad esempio, ogni applicazione ha una propria directory utente), eseguire la migrazione a un account unificato in Azure AD B2C.
- Se più applicazioni hanno nomi utente diversi, è possibile archiviarli tutti in un account utente di Azure AD B2C usando la raccolta di identità. Informazioni sulla password, consentire all'utente di sceglierne una e impostarla nella directory. Ad esempio, con la migrazione senza problemi, solo la password scelta deve essere archiviata nell'account Azure AD B2C.
- Rimuovere gli account utente inutilizzati o non eseguire la migrazione di account non aggiornati.
Politica della password
Se gli account di cui si esegue la migrazione hanno un livello di complessità della password più debole rispetto al livello di complessità della password complessa applicato da Azure AD B2C, è possibile disabilitare il requisito di password complessa. Per altre informazioni, vedere Proprietà dei criteri password.
Passaggi successivi
Il azure-ad-b2c/user-migration repository in GitHub contiene un esempio di criteri personalizzati di migrazione semplice e un esempio di codice dell'API REST:
Esempio di codice dell'API REST e criteri personalizzati per la migrazione utente senza problemi