Zprostředkovatelé identit pro externí identity

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím. Při sdílení aplikací a prostředků s externími uživateli je výchozím zprostředkovatelem identity pro sdílení Azure AD. To znamená, že když pozvete externí uživatele, kteří už mají účet Azure AD nebo Microsoft, můžou se automaticky přihlásit bez další konfigurace z vaší strany.

Externí identity nabízejí různé zprostředkovatele identit.

• Účty Azure Active Directory: Uživatelé typu host můžou pomocí svých Azure AD pracovních nebo školních účtů uplatnit pozvánky ke spolupráci B2B nebo dokončit toky uživatelů registrace. Azure Active Directory je ve výchozím nastavení jedním z povolených zprostředkovatelů identity. K tomu, aby byl tento zprostředkovatel identity dostupný pro toky uživatelů, není potřeba žádná další konfigurace.

• Účty Microsoft: Uživatelé typu host můžou použít svůj vlastní osobní účet Microsoft (MSA) k uplatnění pozvánek na spolupráci B2B. Při nastavování toku uživatelů samoobslužné registrace můžete přidat účet Microsoft jako jednoho z povolených zprostředkovatelů identity. K tomu, aby byl tento zprostředkovatel identity dostupný pro toky uživatelů, není potřeba žádná další konfigurace.

• Email jednorázové heslo: Při uplatnění pozvánky nebo přístupu ke sdílenému prostředku může uživatel typu host požádat o dočasný kód, který se odešle na jeho e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení. Funkce jednorázového hesla e-mailu ověřuje uživatele typu host B2B, když je není možné ověřit jiným způsobem. Při nastavování toku uživatele samoobslužné registrace můžete přidat Email One-Time heslo jako jednoho z povolených zprostředkovatelů identity. Vyžaduje se určité nastavení. viz Email ověřování jednorázovým heslem.

• Google: Federace Google umožňuje externím uživatelům uplatnit pozvánky od vás přihlášením k vašim aplikacím pomocí jejich vlastních účtů Gmail. Federace Google se také dá použít v tocích uživatelů samoobslužné registrace. Podívejte se, jak přidat Google jako zprostředkovatele identity.

  Důležité

  • Od 12. července 2021, pokud zákazníci Azure AD B2B nastaví nové integrace Google pro použití se samoobslužnou registraci pro jejich vlastní nebo obchodní aplikace, ověřování s identitami Google nebude fungovat, dokud se ověřování nepřesunou do systémových webových zobrazení. Přečtěte si další informace.
  • Od 30. září 2021 Google vyřazuje podporu přihlašování z webového zobrazení. Pokud vaše aplikace ověřují uživatele pomocí integrovaného webového zobrazení a používáte federaci Google s Azure AD B2C nebo Azure AD B2B pro pozvání externích uživatelů nebo samoobslužnou registraci, uživatelé Google Gmailu se nebudou moct ověřit. Přečtěte si další informace.

• Facebook: Při vytváření aplikace můžete nakonfigurovat samoobslužnou registraci a povolit federaci Facebooku, aby se uživatelé mohli k vaší aplikaci zaregistrovat pomocí vlastních facebookových účtů. Facebook se dá použít jenom pro toky uživatelů samoobslužné registrace a není k dispozici jako možnost přihlášení, když uživatelé od vás uplatní pozvánky. Podívejte se, jak přidat Facebook jako zprostředkovatele identity.

• Federace zprostředkovatele identity SAML/WS-Fed: Můžete také nastavit federaci s jakýmkoli externím zprostředkovatelem identity, který podporuje protokoly SAML nebo WS-Fed. Federace zprostředkovatele identity SAML/WS-Fed umožňuje externím uživatelům uplatnit vaše pozvánky přihlášením k aplikacím pomocí jejich stávajících sociálních nebo podnikových účtů. Podívejte se, jak nastavit federaci zprostředkovatele identity SAML/WS-Fed.

  Poznámka

  Federované zprostředkovatele identity SAML/WS-Fed nejde použít ve vašich tocích uživatelů samoobslužné registrace.

Pokud chcete nakonfigurovat federaci pomocí Googlu, Facebooku nebo zprostředkovatele identity SAML/Ws-Fed, musíte být správcem externího zprostředkovatele identity nebo globálním správcem ve vašem Azure AD tenantovi.

Přidání zprostředkovatelů sociálních identit

Azure AD je ve výchozím nastavení povolená pro samoobslužnou registraci, takže uživatelé mají vždy možnost se zaregistrovat pomocí účtu Azure AD. Můžete ale povolit jiné zprostředkovatele identity, včetně zprostředkovatelů sociálních identit, jako je Google nebo Facebook. Pokud chcete ve svém tenantovi Azure AD nastavit zprostředkovatele sociálních identit, vytvoříte u zprostředkovatele identity aplikaci a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, které pak můžete přidat do tenanta Azure AD.

Po přidání zprostředkovatele identity do tenanta Azure AD:

• Když pozvete externího uživatele do aplikací nebo prostředků ve vaší organizaci, může se externí uživatel přihlásit pomocí svého vlastního účtu u daného zprostředkovatele identity.

• Když pro své aplikace povolíte samoobslužnou registraci , můžou se externí uživatelé zaregistrovat k vašim aplikacím pomocí svých vlastních účtů u zprostředkovatelů identity, které jste přidali. Budou si moct vybrat z možností zprostředkovatelů sociálních identit, které jste zpřístupnili na registrační stránce:

  

Pokud chcete zajistit optimální přihlašování, federujte je s poskytovateli identity, kdykoli je to možné, abyste mohli pozvaným hostům zajistit bezproblémové přihlašování při přístupu k vašim aplikacím.

Další kroky

Informace o tom, jak do aplikací přidat zprostředkovatele identity pro přihlašování, najdete v následujících článcích:

• Přidání ověřování jednorázovým přístupovým kódem e-mailu
• Přidání Googlu jako povoleného zprostředkovatele sociální identity
• Přidání Facebooku jako povoleného zprostředkovatele sociální identity
• Nastavte federaci zprostředkovatelů identity SAML/WS-Fed s libovolnou organizací, jejíž zprostředkovatel identity podporuje protokol SAML 2.0 nebo WS-Fed. Upozorňujeme, že federace zprostředkovatele identity SAML/WS-Fed není možné použít pro toky uživatelů samoobslužné registrace.