Hola y bienvenidos al blog técnico de este mes de WhoIAM. En esta publicación, profundizaremos en cómo puede implementar el historial de contraseñas en Azure AD B2C para asegurarse de que sus clientes no estén reutilizando contraseñas anteriores al restablecer una contraseña caducada u olvidada. Además de ser una de las características más solicitadas en Azure AD B2C, la compatibilidad con el mantenimiento del historial de contraseñas también es un requisito para cumplir con las normas de la FDA ( Parte 11, Registros electrónicos; Firmas electrónicas: alcance y aplicación | FDA ), así como una variedad de otras regulaciones y mejores prácticas de la industria. Al momento de escribir este blog, Azure AD B2C admite la prevención de que un usuario cambie una contraseña a la contraseña actual, pero no cuenta con compatibilidad nativa para evitar la reutilización de contraseñas anteriores.
Para resolver el historial de contraseñas en Azure AD B2C, dependemos completamente de otros productos de Azure para garantizar la escalabilidad y la seguridad, así como la capacidad de administración de la solución de historial de contraseñas de la misma suscripción a la que está vinculado su arrendatario de Azure AD B2C. En concreto, esta implementación utiliza tres componentes de Azure:
1) Marco de experiencia de identidad de Azure AD B2C: las políticas personalizadas de Azure AD B2C se actualizan/modifican para que funcionen con componentes posteriores a fin de garantizar que se inspeccione el historial de contraseñas antes de permitir que un usuario actualice una contraseña.
2) Azure App Service: un servicio de API está alojado en una instancia de Azure App Service administrada por su propio departamento de TI corporativo. Se utilizan dos puntos finales de API: un punto final de registro de PW y un punto final de cambio de PW. Estas API interactúan con Azure AD B2C con Azure Key Vault para garantizar que las contraseñas anteriores se almacenen y actualicen según sea necesario.
3) Azure Key Vault: las contraseñas utilizadas anteriormente que tienen hash y sal se almacenan en una instancia de Azure Key Vault administrada por su departamento de TI.
A continuación, se muestra un diagrama de arquitectura sobre cómo podría orquestar este flujo:
Finalmente, es posible que también deba manejar algunos casos de esquina adicionales, como hacer que la cantidad de contraseñas almacenadas sea personalizable, así como evitar que los usuarios pasen rápidamente por algunas contraseñas nuevas y vuelvan a su contraseña favorita original. También es posible que desee ampliar su implementación capturando las contraseñas actuales en el historial de Azure Key Vault cuando esta solución se introduzca por primera vez en su entorno.
Si tiene otras ideas o pensamientos sobre cómo ha resuelto el historial de contraseñas en Azure AD B2C, o simplemente desea conversar sobre cómo podría implementar algo como esto en su propio entorno, envíenos una nota desde el formulario de contacto a continuación. , nos encantaría saber de usted.
El equipo de WhoIAM