Zprostředkovatelé identit pro externí identity

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím. Při sdílení aplikací a prostředků s externími uživateli je Azure AD výchozím zprostředkovatelem identity pro sdílení. To znamená, že když pozvete externí uživatele, kteří už mají účet Azure AD nebo Microsoft, můžou se automaticky přihlásit bez další konfigurace ve vaší části.

Externí identity nabízí celou řadu zprostředkovatelů identity.

  • Účty Azure Active Directory: Uživatelé typu host můžou pomocí svých Azure AD pracovních nebo školních účtů uplatnit pozvánky ke spolupráci B2B nebo dokončit toky uživatelů registrace. Azure Active Directory je ve výchozím nastavení jedním z povolených zprostředkovatelů identity. K zpřístupnění tohoto zprostředkovatele identity pro toky uživatelů není potřeba žádná další konfigurace.

  • Účty Microsoft: Uživatelé typu host můžou použít vlastní osobní účet Microsoft (MSA) k uplatnění pozvánek na spolupráci B2B. Při nastavování toku uživatele samoobslužné registrace můžete přidat účet Microsoft jako jednoho z povolených zprostředkovatelů identity. K zpřístupnění tohoto zprostředkovatele identity pro toky uživatelů není potřeba žádná další konfigurace.

  • Email jednorázové heslo: Při uplatnění pozvánky nebo přístupu ke sdílenému prostředku může uživatel typu host požádat o dočasný kód, který se odešle na svoji e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení. Funkce jednorázového hesla e-mailu ověřuje uživatele typu host B2B, když je nelze ověřit jinými prostředky. Při nastavování toku uživatele samoobslužné registrace můžete přidat Email One-Time heslo jako jednoho z povolených zprostředkovatelů identity. Vyžaduje se některé nastavení; viz Email jednorázové ověřování hesla.

  • Google: Federace Google umožňuje externím uživatelům uplatnit pozvánky od vás přihlášením k aplikacím pomocí vlastních účtů Gmail. Federace Google se dá použít také v tocích uživatelů samoobslužné registrace. Podívejte se, jak přidat Google jako zprostředkovatele identity.

    Důležité

  • Facebook: Při vytváření aplikace můžete nakonfigurovat samoobslužnou registraci a povolit federaci Facebooku, aby si uživatelé mohli aplikaci zaregistrovat pomocí vlastních facebookových účtů. Facebook se dá použít jenom pro toky uživatelů samoobslužné registrace a není k dispozici jako možnost přihlášení, když uživatelé od vás uplatní pozvánky. Podívejte se, jak přidat Facebook jako zprostředkovatele identity.

  • Federace zprostředkovatele identity SAML/WS-Fed: Federaci můžete nastavit také pomocí libovolného externího zprostředkovatele identity, který podporuje protokoly SAML nebo WS-Fed. Federace SAML/WS-Fed IdP umožňuje externím uživatelům uplatnit pozvánky tím, že se přihlásíte k aplikacím pomocí svých stávajících účtů sociálních nebo podnikových účtů. Zjistěte, jak nastavit federaci SAML/WS-Fed IdP.

    Poznámka

    Federované IP adresy SAML/WS-Fed nejde použít v tocích uživatelů samoobslužné registrace.

Přidání zprostředkovatelů sociálních identit

Azure AD je ve výchozím nastavení povolená pro samoobslužnou registraci, takže uživatelé mají vždy možnost se zaregistrovat pomocí účtu Azure AD. Můžete ale povolit jiné zprostředkovatele identity, včetně zprostředkovatelů sociálních identit, jako je Google nebo Facebook. Pokud chcete ve svém tenantovi Azure AD nastavit zprostředkovatele sociálních identit, vytvoříte aplikaci u zprostředkovatele identity a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, který pak můžete přidat do svého Azure AD tenanta.

Po přidání zprostředkovatele identity do tenanta Azure AD:

  • Když pozvete externího uživatele k aplikacím nebo prostředkům ve vaší organizaci, může se externí uživatel přihlásit pomocí vlastního účtu s tímto zprostředkovatelem identity.

  • Když povolíte samoobslužnou registraci aplikací, můžou se k aplikacím zaregistrovat externí uživatelé pomocí vlastních účtů se zprostředkovateli identit, které jste přidali. Budou si moct vybrat z možností zprostředkovatelů sociálních identit, které jste zpřístupnili na registrační stránce:

    Snímek obrazovky znázorňující přihlašovací obrazovku s možnostmi Google a Facebooku

Pokud chcete zajistit optimální přihlašování, federujte s zprostředkovateli identit, kdykoli je to možné, abyste svým pozvaným hostům mohli poskytnout bezproblémové přihlašování, když přistupují k vašim aplikacím.

Další kroky

Informace o přidání zprostředkovatelů identity pro přihlášení k aplikacím najdete v následujících článcích: