Azure Active Directory B2C

Kis késéssel ugyan, de hírt adunk arról, hogy az AzureAD B2C Preview szolgáltatásunk elérhető vált. Lényegesen jobban érdekel ez a szolgáltatás annál, mint amivel az elmúlt két hétben foglalkoztam, de sajnos nem csinálhatjuk mindig azt, amihez kedvünk vagy hobbink van. Pedig az identity ilyen ugye? Mindenki hobbija. De nézzük, mi is ez a szolgáltatás.

Az AzureAD identity szolgáltatását azt hiszem, már mindenki ismeri. Ha nem, akkor nézzük át gyorsan. Volt egykor az Active Directory címtárunk helyben, a saját környezetünkben. Ebbe felhasználókat, csoportokat, számítógépeket vehettünk fel, amiket egymással összekapcsolhattuk, hierarchikus tárolókba (OU) helyezhettük, csoporttagságokat oszthattunk ki, stb. Ennek sok-sok alkalmazás örült és egyre több kezdte el intenzíven használni. Nem kérdés, hogy egy nagyvállalati környezetben egy alkalmazás, bocsánat a jó alkalmazás AD-integrált és az AD címtárban levő felhasználók a biztonsági alanyai.

Ahogy azonban egyre több internetes alkalmazás jelent meg, majd később ezek appok formájában a telefonokra és tabletekre költöztek, a helyi AD egyre jelentéktelenebbé vált. Pontosabban továbbra is jelentős maradt, de ezek az alkalmazások általában nem foglalkoznak  helyi AD címtárral. Helyette minden alkalmazás saját identity tárolót használ. Amihez minimálisan a következő funkciókat kell kifejleszteni:

  • Felhasználó regisztráció / megszüntetés
  • Jelszó emlékeztető
  • Jelszó reset
  • Profil update
  • Erős azonosítás

Ha naponta 100 új alkalmazás jön létre, akkor naponta 100+ fejlesztő a fenti standard dolgokat fejleszti. Esetleg copy & paste-eli, rosszabb esetben kevésbé biztonságtudatosan fejleszt valamit az alapoktól. Arról nem is beszélve, hogy a felhasználói adatokat tárolni kell. A tárolásnak anyagi és biztonsági következményei egyaránt vannak. Ugye nem szeretnénk ha a felhasználói adatokat pont a mi alkalmazásunkból lopnák el?

A nagy ötlet: mi lenne ha a fenti funkciók részét más szolgáltatókra testálnák vagy éppen használnánk az ő szolgáltatásaikat? Így jött el az az idő, hogy mára minden menőweb alkalmazás vagy mobilalkalmazás social integrált. Ha van Facebook vagy Microsoft Accountod, akkor azzal be tudsz jelentkezni az alkalmazásba. Ez minimálisan kiváltja a következőket:

  • Felhasználó regisztráció / megszüntetés – természetesen a felhasználónak a saját alkalmazásunkba továbbra is regisztrálnia kell magát, de felhasználónév- és jelszó-regisztráció nem történik
  • Bejelentkezés – a mi alkalmazásunk már csak authorizál, de nem authentikál
  • Jelszó és erős azonosítási kérdések az előző pont miatt okafogyott kérdések

Amit nem vált ki ez a módszer, az a felhasználó tárolása. Ugyan lényegesen kevesebb információt kell őriznünk, de továbbra is ismernünk kell a mi alkalmazásunk felhasználóit. Tehát adatbázis továbbra is kell. Annak megbízhatónak kell lennie a szó biztonsági és rendelkezésre állási értelmében egyaránt. Ha a saját identity adatbázisunk nem érhető el, akkor az alkalmazásunk sem. Ha eltulajdonítják a saját identity adatbázisunkat mert azt nem jól védjük, nem jól tároljuk, akkor az ránk nézve kellemetlen.

Nem könnyű és nem olcsó ezt úgy implementálni, hogy az skálázódjón is jó teljesítmény és jó rendelkezésre állási paraméterek mellett. Csak egy példa: a Manchester United fan club 450 millió felhasználóval rendelkezik. Elképzelhető, hogy mit okoz akár egy adatlopás, akár egy leállás.

Az egyes social identity rendszerek (Facebook, Microsoft Account stb.) ugyan az integrációs pontot biztosítják de nem kezelik helyettünk a felhasználók azonosítását. Az AzureAD B2C azonban pont ezt hivatott professzionális módon megoldani.

A következő legfontosabb szolgáltatásokat remélhetjük az AzureAD B2C Previewtól:

Az AzureAD B2C szolgáltatás nem egy hétköznapi infrastruktúraszolgáltatás, ami az AD névből következne. Jól látható, hogy ez egy fejlesztői funkcionalítás fejlesztőknek. Így minden web-, mobil alkalmazásfejlestőnek ajánlom, hogy próbálja ki még ma az AzureAD B2C Preview szolgáltatást. Ezt ösztönző az első 50 ezer felhasználót ingyen adjuk. Így talán még vonzóbb a megoldás.

A szolgáltatással az ismerkedést a következő linken célszerű kezdeni: https://azure.microsoft.com/en-us/services/active-directory-b2c/

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.