Možnosti přihlášení a zprostředkovatelé identit pro externí tenanty

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Tip

Tento článek se týká externího ID v externích tenantech. Informace o tenantech pracovních sil najdete v tématu Zprostředkovatelé identity externího ID v tenantech pracovních sil.

S Microsoft Entra Externí ID můžete vytvářet zabezpečená a přizpůsobená přihlašovací prostředí pro aplikace určené pro zákazníky a zákazníky. V externím tenantovi existuje několik způsobů, jak se uživatelé můžou k aplikaci zaregistrovat. Můžou si vytvořit účet pomocí svého e-mailu a hesla nebo jednorázového hesla. Nebo pokud povolíte přihlášení pomocí Facebooku a Googlu, můžou se přihlásit pomocí svého vlastního účtu na sociálních sítích. Vrstvu zabezpečení můžete přidat také vynucením vícefaktorového ověřování (MFA), aby se při každém přihlášení uživatele vyžadovalo poskytnutí jednorázového hesla k ověření.

Tento článek popisuje metody ověřování a zprostředkovatele identity dostupné v externích tenantech.

Přihlášení k e-mailu a heslu

Registrace e-mailu je ve výchozím nastavení povolená v nastavení zprostředkovatele identity místního účtu. S možností e-mailu se zákazníci můžou zaregistrovat a přihlásit pomocí své e-mailové adresy a hesla.

• Registrace: Zákazníkům se zobrazí výzva k zadání e-mailové adresy, která se ověřuje při registraci pomocí jednorázového hesla. Zákazník pak na registrační stránce zadá jakékoli další požadované informace, například zobrazované jméno, jméno a příjmení. Pak vyberou Pokračovat a vytvoří účet.

• Přihlášení: Po registraci zákazníka a vytvoření účtu se může přihlásit zadáním své e-mailové adresy a hesla.

• Resetování hesla: Pokud povolíte přihlášení k e-mailu a heslu, zobrazí se na stránce s heslem odkaz pro resetování hesla. Pokud zákazník zapomene heslo, po výběru tohoto odkazu se na jeho e-mailovou adresu odešle jednorázový přístupový kód. Po ověření může zákazník zvolit nové heslo.

  

Když vytvoříte tok registrace a přihlášení uživatele, výchozí možností je e-mail s heslem.

E-mail s jednorázovým přihlašováním pomocí hesla

E-mail s jednorázovým heslem je možnost v nastavení zprostředkovatele identity místního účtu. Díky této možnosti se zákazník přihlásí pomocí dočasného hesla místo uloženého hesla při každém přihlášení.

• Registrace: Zákazníci se můžou zaregistrovat pomocí své e-mailové adresy a požádat o dočasný kód, který se odešle na svoji e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení.

• Přihlášení: Jakmile se zákazník zaregistruje a vytvoří účet, pokaždé, když podepíše svoji e-mailovou adresu a obdrží dočasné heslo.

  

Důležité

Pokud chcete povolit vícefaktorové ověřování (MFA), nastavte metodu ověřování místního účtu na e-mail s heslem. Pokud nastavíte možnost místního účtu na E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají, se nebudou moct přihlásit, protože jednorázové heslo je už jejich metoda prvního přihlášení a nedá se použít jako druhý faktor. V současné době nejsou pro scénáře zákazníků k dispozici jiné metody ověřování.

Když vytvoříte tok registrace a přihlášení uživatele, jednorázový přístupový kód e-mailu je jednou z možností místního účtu.

Zprostředkovatelé sociálních identit: Facebook a Google

Pokud chcete zajistit optimální možnosti přihlašování, federujte je s zprostředkovateli sociálních identit, kdykoli je to možné, abyste svým zákazníkům umožnili bezproblémovou registraci a přihlašování. V externím tenantovi můžete zákazníkovi povolit registraci a přihlášení pomocí vlastního účtu Facebook nebo Google. Když se zákazník zaregistruje k vaší aplikaci pomocí svého účtu na sociální síti, zprostředkovatel sociální identity vytvoří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím.

Když povolíte zprostředkovatele sociálních identit, můžou si zákazníci vybrat z možností zprostředkovatelů sociálních identit, které zpřístupníte na registrační stránce. Pokud chcete nastavit zprostředkovatele sociálních identit ve vašem externím tenantovi, vytvoříte aplikaci u zprostředkovatele identity a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, který pak můžete přidat do externího tenanta.

Přihlášení Google (Preview)

Nastavením federace s Googlem můžete zákazníkům umožnit přihlášení k aplikacím pomocí vlastních účtů Gmail. Když google přidáte jako jednu z možností přihlášení aplikace, můžou se uživatelé na přihlašovací stránce přihlásit k Microsoft Entra Externí ID pomocí účtu Google.

Následující snímky obrazovky ukazují přihlášení pomocí prostředí Google. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Googlu. V tomto okamžiku se uživatel přesměruje na zprostředkovatele identity Google a dokončí přihlášení.

Zjistěte, jak přidat Google jako zprostředkovatele identity.

Přihlášení k Facebooku (Preview)

Nastavením federace s Facebookem můžete pozvaným uživatelům povolit přihlášení k aplikacím pomocí vlastních facebookových účtů. Když přidáte Facebook jako jednu z možností přihlášení aplikace, můžou se uživatelé na přihlašovací stránce přihlásit k Microsoft Entra Externí ID pomocí facebookového účtu.

Následující snímky obrazovky ukazují přihlášení pomocí facebookového prostředí. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Facebooku. Pak se uživatel přesměruje na zprostředkovatele identity Facebooku, aby se přihlášení dokončilo.

Zjistěte, jak přidat Facebook jako zprostředkovatele identity.

Aktualizace metod přihlašování

Možnosti přihlášení pro aplikaci můžete kdykoli aktualizovat. Můžete například přidat zprostředkovatele sociálních identit nebo změnit metodu přihlášení k místnímu účtu.

Když změníte metody přihlašování, tato změna ovlivní jenom nové uživatele. Stávající uživatelé se nadále přihlašují pomocí původní metody. Předpokládejme například, že začnete s metodou přihlášení k e-mailu a heslem a pak změníte e-mail s jednorázovým heslem. Noví uživatelé se přihlašují pomocí jednorázového hesla, ale všichni uživatelé, kteří se už zaregistrovali pomocí e-mailu a hesla, budou dál vyzváni k zadání e-mailu a hesla.

Rozhraní Microsoft Graph API

Pro správu zprostředkovatelů identity a metod ověřování v Microsoft Entra Externí ID se podporují následující operace rozhraní Microsoft Graph API:

• Pokud chcete zjistit, jaké zprostředkovatele identity a metody ověřování se podporují, zavolejte rozhraní API List availableProviderTypes .
• Chcete-li identifikovat zprostředkovatele identit a metody ověřování, které jsou již nakonfigurovány a povoleny v tenantovi, zavoláte rozhraní List identityProviders API.
• Pokud chcete povolit podporovaného zprostředkovatele identity nebo metodu ověřování, volejte rozhraní API Create identityProvider .

Další kroky

• Povolení vícefaktorového ověřování (MFA)
• Přidání Facebooku jako zprostředkovatele identity
• Přidání Googlu jako zprostředkovatele identity