Zprostředkovatelé identit pro externí ID

  • Článek

Tip

Tento článek se týká zprostředkovatelů identity spolupráce B2B. Pokud je váš tenant nakonfigurovaný pro správu identit a přístupu zákazníka, přečtěte si téma Metody ověřování a zprostředkovatele identity pro zákazníky.

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím. Při sdílení aplikací a prostředků s externími uživateli je ID Microsoft Entra výchozím zprostředkovatelem identity pro sdílení. Pokud pozvete externího uživatele, který už má účet Microsoft Entra nebo účet Microsoft, může se automaticky přihlásit bez další konfigurace ve vaší části.

Externí ID nabízí různé zprostředkovatele identity.

  • Účty Microsoft Entra: Uživatelé typu host můžou pomocí svých pracovních nebo školních účtů Microsoft Entra uplatnit pozvánky ke spolupráci B2B nebo dokončit toky uživatelů registrace. Id Microsoft Entra je ve výchozím nastavení jedním z povolených zprostředkovatelů identity. K zpřístupnění tohoto zprostředkovatele identity pro toky uživatelů není potřeba žádná jiná konfigurace.

  • Účty Microsoft: Uživatelé typu host můžou k uplatnění pozvánek na spolupráci B2B použít svůj osobní účet Microsoft (MSA). Při nastavování toku uživatele samoobslužné registrace můžete přidat účet Microsoft jako jednoho z povolených zprostředkovatelů identity. K zpřístupnění tohoto zprostředkovatele identity pro toky uživatelů není potřeba žádná jiná konfigurace.

  • Jednorázové heslo e-mailu: Když host uplatní pozvánku nebo přistupuje ke sdílenému prostředku, může požádat o dočasný kód. Tento kód se odešle na e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení. Funkce jednorázového hesla e-mailu ověřuje uživatele typu host B2B, když se nedají ověřit jinými prostředky. Při nastavování toku uživatele samoobslužné registrace můžete jako jednoho z povolených zprostředkovatelů identity přidat jednorázový přístupový kód e-mailu. Vyžaduje se některá nastavení; Viz Ověřování jednorázovým heslem e-mailem.

  • Google: Federace Google umožňuje externím uživatelům uplatnit pozvánky od vás přihlášením k aplikacím pomocí vlastních účtů Gmail. Federace Google se dá použít také v tocích uživatelů samoobslužné registrace. Podívejte se, jak přidat Google jako zprostředkovatele identity.

    Důležité

    • Od 12. července 2021, pokud zákazníci Microsoft Entra B2B nastavili nové integrace Google pro použití s samoobslužnou registraci pro své vlastní nebo obchodní aplikace, ověřování s identitami Google nebude fungovat, dokud se ověřování nepřesune do systémových webových zobrazení. Další informace.
    • Od 30. září 2021 google přestane podporovat přihlášení k vloženým webovým zobrazením. Pokud vaše aplikace ověřují uživatele pomocí vloženého webového zobrazení a používáte federaci Google s Azure AD B2C nebo Microsoft Entra B2B pro pozvání externích uživatelů nebo samoobslužnou registraci, uživatelé Google Gmailu se nebudou moct ověřit. Další informace.

  • Facebook: Při vytváření aplikace můžete nakonfigurovat samoobslužnou registraci a povolit federaci Facebooku, aby se uživatelé mohli k aplikaci zaregistrovat pomocí vlastních facebookových účtů. Facebook se dá použít jenom pro toky uživatelů samoobslužné registrace a není k dispozici jako možnost přihlášení, když uživatelé od vás uplatní pozvánky. Podívejte se , jak přidat Facebook jako zprostředkovatele identity.

  • Federace zprostředkovatele identity SAML/WS-Fed: Můžete také nastavit federaci s libovolným externím zprostředkovatelem identity, který podporuje protokoly SAML nebo WS-Fed. Federace SAML/WS-Fed IdP umožňuje externím uživatelům uplatnit pozvánky od vás přihlášením k aplikacím pomocí jejich stávajících účtů sociálních nebo podnikových účtů. Zjistěte, jak nastavit federaci SAML/WS-Fed IdP.

    Poznámka:

    Federované IP adresy SAML/WS-Fed se nedají použít v tocích uživatelů samoobslužné registrace.

Pokud chcete nakonfigurovat federaci s Googlem, Facebookem nebo zprostředkovatelem identity SAML/Ws-Fed, musíte být externím zprostředkovatelem identity Správa istratorem nebo globálním Správa istratorem ve vašem tenantovi Microsoft Entra.

Přidání zprostředkovatelů sociálních identit

Id Microsoft Entra je ve výchozím nastavení povolené pro samoobslužnou registraci, takže uživatelé mají vždy možnost registrace pomocí účtu Microsoft Entra. Můžete ale povolit jiné zprostředkovatele identity, včetně zprostředkovatelů sociálních identit, jako je Google nebo Facebook. Pokud chcete nastavit zprostředkovatele sociálních identit ve vašem tenantovi Microsoft Entra, vytvoříte aplikaci u zprostředkovatele identity a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, který pak můžete přidat do tenanta Microsoft Entra.

Po přidání zprostředkovatele identity do tenanta Microsoft Entra:

  • Když pozvete externího uživatele k aplikacím nebo prostředkům ve vaší organizaci, může se externí uživatel přihlásit pomocí vlastního účtu s tímto zprostředkovatelem identity.

  • Když povolíte samoobslužnou registraci pro vaše aplikace, můžou se externí uživatelé zaregistrovat k vašim aplikacím pomocí vlastních účtů s přidanými zprostředkovateli identity. Můžou si vybrat z možností zprostředkovatelů sociálních identit, které jste zpřístupnili na registrační stránce:

    Snímek obrazovky znázorňující přihlašovací obrazovku s možnostmi Google a Facebooku

Pokud chcete zajistit optimální možnosti přihlašování, federujte je s zprostředkovateli identity, kdykoli je to možné, abyste pozvaným hostům mohli poskytnout bezproblémové přihlašování, když přistupují k vašim aplikacím.

Další kroky

Informace o přidání zprostředkovatelů identity pro přihlášení k aplikacím najdete v následujících článcích: