Microsoft Azure AD B2C: Kundenidentitätsverwaltung (CIAM) für kleine Unternehmen in Berlin

Die meisten Microsoft-Identitätsdiskussionen drehen sich um Mitarbeiter- und Partneridentität – interne Benutzer, die über Entra ID auf Unternehmensressourcen zugreifen, und föderierte Partner über B2B. Eine eigene Identitätsherausforderung entsteht jedoch, wenn Ihre Anwendung externe Kunden bedient: Sie benötigen eine Identitätsplattform, die Kundenregistrierung, Anmeldung, Passwortzurücksetzung, Social-Login-Integration, progressives Profiling und Einwilligungsverwaltung – skalierbar, hochverfügbar und ohne eigene Infrastrukturpflege – abwickelt. Azure Active Directory B2C (Azure AD B2C) ist Microsofts Customer Identity and Access Management (CIAM)-Plattform, die speziell für kundenorientierte Anwendungen entwickelt wurde.

Azure AD B2C vs. Entra ID: Warum sie unterschiedlich sind

Azure AD B2C ist ein eigenständiger Azure-Dienst, getrennt von Microsoft Entra ID (früher Azure AD), obwohl beide Identitätslinien teilen. Der Unterschied ist entscheidend:

• Entra ID verwaltet Mitarbeiteridentitäten – Mitarbeiter, Auftragnehmer und Partner mit organisatorischer Beziehung zu Ihrem Unternehmen. Optimiert für Enterprise-Zugriffssteuerung, SSO über Unternehmensanwendungen und Conditional-Access-Richtlinien.
• Azure AD B2C verwaltet Kundenidentitäten – externe Benutzer, die sich in Ihrer Anwendung registrieren und keine organisatorische Beziehung zu Ihrem Unternehmen haben. Optimiert für Skalierung (Millionen von Benutzern), Self-Service-Registrierung, Social-Identity-Provider-Integration und hochgradig anpassbare Authentifizierungs-UX.

Entra ID als CIAM-Lösung für Kunden zu verwenden ist ein häufiger Fehler in frühen Implementierungen – er führt zu Mandantenverwaltungskomplexität, Lizenzproblemen und UX-Einschränkungen. Azure AD B2C ist die richtige Plattform für kundenorientierte Identität in jeder Größenordnung.

Kernfunktionen

User Flows und Custom Policies: Azure AD B2C definiert Authentifizierungserlebnisse durch User Flows (vordefinierte, konfigurationsarme Journeys) oder Custom Policies (Identity Experience Framework – XML-basiert, vollständig anpassbar). User Flows decken Registrierung/Anmeldung, Passwortzurücksetzung, Profilbearbeitung und Telefonanmeldung ab. Custom Policies ermöglichen mehrstufiges Onboarding, API-gesteuertes Profil-Enrichment, Step-up-Authentifizierung und bedingte MFA-Szenarien.

Social Identity Provider: Out-of-the-box-Unterstützung für Google, Facebook, Apple, Amazon, LinkedIn, Twitter/X, GitHub und generische OIDC/SAML-Provider. Benutzer können sich mit ihrem bevorzugten Social-Konto registrieren. Für kleine Berliner Unternehmen, die Consumer-Anwendungen entwickeln, reduziert Social-Login die Registrierungsreibung erheblich.

Lokale Konten: E-Mail/Passwort, Telefonnummer/OTP und Benutzername/Passwort-Registrierung mit Self-Service-Passwortzurücksetzung. E-Mail-Verifizierung bei Registrierung ist standardmäßig aktiviert.

Anpassbare Benutzeroberfläche: Anmelde- und Registrierungsseiten können vollständig ge-brandet werden. Für ein kleines Berliner Unternehmen bedeutet das: Ihre Authentifizierungsseiten stimmen mit der visuellen Identität Ihrer Anwendung überein.

Token-Ausstellung: Azure AD B2C stellt JWT-Access- und ID-Token aus, die mit OAuth 2.0 und OpenID Connect Standards konform sind. Ihre Anwendung erhält ein Standard-OIDC-Token mit Benutzer-Claims, unabhängig davon, ob der Benutzer über Social Login, lokales Konto oder Enterprise-SSO authentifiziert wurde.

Multi-Tenant-Architektur für SaaS-Produkte

Für kleine Berliner Unternehmen, die SaaS-Produkte entwickeln, trennt Azure AD B2C sauber zwischen Ihrem Anwendungsmandanten (Entra ID für Mitarbeiter) und Ihrem Kundenmandanten (Azure AD B2C für Kundenbenutzer):

• Kundenidentitäten werden in Ihrem B2C-Mandanten verwaltet, isoliert von Ihrem Mitarbeiterverzeichnis.
• Kundendaten (Profilattribute, Abonnementinformationen, Einwilligungsaufzeichnungen) werden in B2C oder in Ihrer Anwendungsdatenbank gespeichert, verknüpft über die B2C-Objekt-ID.
• Wenn ein Unternehmenskunde SSO mit seinem eigenen Entra-ID-Mandanten für Ihre SaaS-Anwendung nutzen möchte, unterstützt B2C SAML- und OIDC-Föderation mit externen IdPs – eine Konfiguration in B2C deckt die eingehende Föderation von jedem Enterprise-IdP-Kunden ab.

Preismodell

Azure AD B2C-Preise basieren auf dem Verbrauch: Sie zahlen pro monatlich aktivem Benutzer (MAU) und pro Authentifizierung. Die ersten 50.000 MAUs sind jeden Monat kostenlos; darüber hinaus wird das Preismodell gestaffelt. Für ein kleines Berliner Unternehmen mit moderater Kundenbasis – beispielsweise 10.000 Kunden – sind die MAU-Gebühren deutlich günstiger als Enterprise-CIAM-Lösungen. Aktuelle Preise sind im Azure-Preisrechner zu prüfen.

Implementierungsaspekte für Berliner Unternehmen

Datenspeicherort: Azure-AD-B2C-Mandantendaten können in europäischen Regionen bereitgestellt werden. Für DSGVO-Zwecke sicherstellen, dass der B2C-Mandant in einer EU-Region bereitgestellt ist, und den Microsoft-Datenverarbeitungsvertrag für B2C prüfen.

DSGVO-Einwilligungsverwaltung: B2C Custom Policies können erweitert werden, um DSGVO-Einwilligungssignale zu erfassen, zu speichern und zu respektieren – Einwilligung zu Nutzungsbedingungen, Marketingkommunikation und Datenverarbeitung bei der Registrierung aufzeichnen und den Widerruf der Einwilligung über Self-Service-Profilverwaltung ermöglichen.

Integration mit bestehendem Entra ID: Ihre Mitarbeiteranwendungen mit Entra ID und Ihre Kundenanwendungen mit Azure AD B2C sind separate Mandanten. Die Integration (für Szenarien, in denen Mitarbeiter und Kunden gemeinsame Anwendungsoberflächen nutzen) erfordert explizite Föderationskonfiguration – sie erfolgt nicht automatisch durch die gemeinsame Nutzung der Microsoft-Identitätstechnologie.