Přehled: Zabezpečení aplikací pomocí externího ID v externím tenantovi

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Microsoft Entra Externí ID zahrnuje řešení Microsoftu pro správu identit a přístupu (CIAM). Pro organizace a firmy, které chtějí zpřístupnit své aplikace spotřebitelům a firemním zákazníkům, umožňuje externí ID snadno přidávat funkce CIAM, jako je samoobslužná registrace, přizpůsobené přihlašování a správa zákaznických účtů. Vzhledem k tomu, že jsou tyto funkce CIAM integrované do Microsoft Entra ID, můžete využívat také funkce platformy, jako je rozšířené zabezpečení, dodržování předpisů a škálovatelnost.

Vytvoření vyhrazeného externího tenanta

Při zahájení práce s externím ID pro aplikace pro zákazníky a firemní zákazníky nejprve vytvoříte tenanta pro vaše aplikace, prostředky a adresář zákaznických účtů.

Pokud jste pracovali s ID Microsoft Entra, už víte, že používáte tenanta Microsoft Entra, který obsahuje adresář zaměstnanců, interní aplikace a další organizační prostředky. Pomocí externího ID vytvoříte jedinečného tenanta, který se řídí standardním modelem tenanta Microsoft Entra, ale je nakonfigurovaný pro externí scénáře. Tento externí tenant obsahuje:

• Adresář: Adresář ukládá přihlašovací údaje a profilová data vašich zákazníků. Když se zákazník nebo firemní zákazník zaregistruje do vaší aplikace, vytvoří se pro ně místní účet ve vašem externím tenantovi.

• Registrace aplikací: Microsoft Entra ID provádí správu identit a přístupu pouze pro registrované aplikace. Registrace aplikace vytvoří vztah důvěryhodnosti a umožní vám integrovat aplikaci s ID Microsoft Entra.

• Toky uživatelů: Externí tenant obsahuje prostředí samoobslužné registrace, přihlášení a resetování hesla, které chcete pro vaše zákazníky povolit.

• Rozšíření: Pokud potřebujete přidat atributy uživatele a data z externích systémů, můžete pro toky uživatelů vytvořit vlastní rozšíření ověřování.

• Metody přihlašování: Můžete povolit různé možnosti pro přihlášení k aplikaci, včetně uživatelského jména a hesla, jednorázového hesla a identit Google nebo Facebooku.

• Šifrovací klíče: Přidejte a spravujte šifrovací klíče pro podepisování a ověřování tokenů, tajných klíčů klientů, certifikátů a hesel.

Přečtěte si další informace o hesle a jednorázovém přihlašování a o federaci Google a Facebooku .

Existují dva typy uživatelských účtů, které můžete spravovat ve svém externím tenantovi:

• Zákaznický účet: Účty představující zákazníky, kteří přistupují k vašim aplikacím.

• Účet správce: Uživatelé s pracovními účty můžou spravovat prostředky v tenantovi a s rolí správce můžou také spravovat tenanty. Uživatelé s pracovními účty můžou vytvářet nové uživatelské účty, resetovat hesla, blokovat nebo odblokovat účty a nastavovat oprávnění nebo přiřazovat účet skupině zabezpečení.

Přečtěte si další informace o správě zákaznických účtů a účtů správců ve vašem externím tenantovi.

Přidání přizpůsobeného přihlášení

Externí ID je určené pro firmy, které chtějí zpřístupnit aplikace svým zákazníkům pomocí platformy Microsoft Entra pro identitu a přístup.

• Přidejte do svých aplikací registrační a přihlašovací stránky. Rychlé přidání intuitivních a uživatelsky přívětivých prostředí registrace a registrace pro vaše zákaznické aplikace S jednou identitou může zákazník bezpečně přistupovat ke všem aplikacím, které mají používat.

• Přidejte jednotné přihlašování (SSO) se sociálními a podnikovými identitami. Zákazníci můžou zvolit sociální, podnikovou nebo spravovanou identitu pro přihlášení pomocí uživatelského jména a hesla, e-mailu nebo jednorázového hesla.

• Přidejte firemní branding na registrační stránku. Přizpůsobte si vzhled a chování vašich prostředí pro registraci a přihlašování, včetně výchozího prostředí i prostředí pro konkrétní jazyky prohlížeče.

• Snadné přizpůsobení a rozšíření toků registrace Přizpůsobte si toky uživatelů identity podle svých potřeb. Zvolte atributy, které chcete shromáždit od zákazníka během registrace, nebo přidejte vlastní atributy. Pokud jsou informace, které vaše aplikace potřebuje, obsaženy v externím systému, vytvořte vlastní rozšíření ověřování, která budou shromažďovat a přidávat data do ověřovacích tokenů.

• Integrace více jazyků a platforem aplikací S Microsoft Entra můžete rychle nastavit a dodávat zabezpečené toky ověřování značky pro více typů aplikací, platforem a jazyků.

• Používejte nativní ověřování pro vaše aplikace. Vytvářejte bezproblémová prostředí ověřování pro mobilní a desktopové aplikace pomocí knihovny MICROSOFT Authentication Library (MSAL) pro iOS a Android.

• Poskytovat samoobslužnou správu účtů. Zákazníci si můžou zaregistrovat online služby sami, spravovat svůj profil, odstranit svůj účet, zaregistrovat se v metodě vícefaktorového ověřování (MFA) nebo resetovat heslo bez pomoci správce nebo helpdesku.

• Souhlas s vašimi podmínkami použití a zásadami ochrany osobních údajů. Během registrace můžete uživatele vyzvat, aby přijali vaše podmínky a ujednání. Pomocí atributů uživatele zákazníka můžete do registračního formuláře přidat zaškrtávací políčka a zahrnout odkazy na vaše podmínky použití a zásady ochrany osobních údajů.

Přečtěte si další informace o přidání přihlášení a registraci do aplikace a přizpůsobení vzhledu a chování přihlašování.

Návrh toků uživatelů pro samoobslužnou registraci

Pro vaše zákazníky můžete vytvořit jednoduché prostředí registrace a přihlašování přidáním toku uživatele do aplikace. Tok uživatele definuje řadu kroků registrace, které zákazníci používají, a metody přihlašování, které můžou používat (například e-mail a heslo, jednorázové heslo nebo sociální účty z Googlu nebo Facebooku). Během registrace můžete také shromažďovat informace od zákazníků tak, že vyberete řadu předdefinovaných atributů uživatele nebo přidáte vlastní atributy.

Několik nastavení toku uživatele umožňuje řídit, jak se zákazník zaregistruje k aplikaci, včetně:

• Metody přihlašování a zprostředkovatelé sociálních identit (Google nebo Facebook)
• Atributy, které se mají shromažďovat od registrace zákazníka, například jméno, PSČ nebo země/oblast rezidence
• Přizpůsobení brandingu a jazyka společnosti

Podrobnosti o konfiguraci toku uživatele najdete v tématu Vytvoření toku registrace a přihlašování pro zákazníky.

Přidání vlastní obchodní logiky

Externí ID je navržené pro flexibilitu tím, že umožňuje definovat akce v určitých bodech v rámci toku ověřování. Pomocí vlastního rozšíření ověřování můžete do tokenu přidat deklarace identity z externích systémů těsně před tím, než se vystaví vaší aplikaci.

Přečtěte si další informace o přidání vlastní obchodní logiky s vlastními rozšířeními ověřování.

Zabezpečení a spolehlivost Microsoft Entra

Externí ID představuje konvergenci funkcí B2C (business-to-consumer) do platformy Microsoft Entra. Výhody funkcí platformy, jako je vylepšené zabezpečení, dodržování předpisů a schopnost škálovat procesy správy identit a přístupu.

• Zabezpečení Microsoft Entra. Získejte všechny výhody zabezpečení a ochrany osobních údajů společnosti Microsoft Entra, včetně podmíněného přístupu, vícefaktorového ověřování a zásad správného řízení. Chraňte přístup k aplikacím pomocí silného ověřování a zásad adaptivního přístupu na základě rizik. Vzhledem k tomu, že se zákazníci spravují v samostatném tenantovi, můžete zásady přístupu přizpůsobit uživatelům, kteří obvykle používají osobní a sdílená zařízení místo spravovaných zařízení.

• Microsoft Entra spolehlivost a škálovatelnost. Vytvářejte vysoce přizpůsobené přihlašovací prostředí a spravujte zákaznické účty ve velkém měřítku. Zajištění dobrého prostředí pro zákazníky díky využití výkonu, odolnosti, provozní kontinuity, nízké latence a vysoké propustnosti microsoft Entra.

Přečtěte si další informace o funkcích zabezpečení a zásad správného řízení , které jsou k dispozici v externím tenantovi.

Analýza aktivity a zapojení uživatelů

Funkce aktivity uživatele aplikace v části Využití a přehledy poskytuje analýzu dat o aktivitách uživatelů a zapojení registrovaných aplikací ve vašem tenantovi. Tuto funkci můžete použít k zobrazení, dotazování a analýze dat aktivit uživatelů v Centru pro správu Microsoft Entra. To vám může pomoct odhalit cenné poznatky, které vám můžou pomoct se strategickými rozhodnutími a podpořit obchodní růst.

Přečtěte si další informace o řídicích panelech aktivit uživatelů aplikace, které jsou k dispozici v externím tenantovi.

Informace o Azure AD B2C

Pokud jste nový zákazník, možná vás zajímá, které řešení je vhodnější, Azure AD B2C nebo Microsoft Entra Externí ID. Vyberte aktuální produkt Azure AD B2C, pokud:

• Musíte okamžitě nasadit sestavení připravené pro produkční prostředí.

  Poznámka

  Mějte na paměti, že nová generace Microsoft Entra Externí ID platforma představuje budoucnost CIAM pro Microsoft a rychlé inovace, nové funkce a schopnosti budou zaměřeny na tuto platformu. Výběrem platformy nové generace od začátku získáte výhody rychlé inovace a budoucí architektury.

Vyberte novou generaci Microsoft Entra Externí ID platformě, pokud:

• Začínáte vytvářet identity do aplikací nebo jste v počátečních fázích zjišťování produktů.
• Předností jsou výhody rychlých inovací, nových funkcí a přidaných funkcí.

Další kroky

• Podívejte se na naše školení, živé ukázky a videa.
• Přečtěte si další informace o plánování Microsoft Entra Externí ID.
• Podívejte se také na centrum pro vývojáře Microsoft Entra Externí ID, kde najdete nejnovější obsah a materiály pro vývojáře.