Authentifizierungsmethoden und Identitätsanbieter für Kunden

  • Artikel

Microsoft Entra External ID bietet mehrere Optionen für die Authentifizierung von Benutzern Ihrer Anwendungen. Sie können es Kunden ermöglichen, ein Konto in Ihrem Kundenverzeichnis zu erstellen, indem Sie ihre E-Mail-Adresse und entweder ein Kennwort oder einen Einmal-Passcode per E-Mail verwenden. Sie können auch die Anmeldung mit einem Social Media-Konto aktivieren.

Anmeldung per E-Mail und Kennwort

In den Einstellungen des Identitätsanbieters „Lokales Konto“ ist standardmäßig die Registrierung mit E-Mail-Adresse aktiviert. Bei dieser Option können sich Benutzer mit ihrer E-Mail-Adresse und ihrem Kennwort anmelden und registrieren.

  • Registrierung: Kunden werden aufgefordert, eine E-Mail-Adresse einzugeben, die bei der Registrierung mit einem Einmal-Passcode überprüft wird. Der Benutzer gibt dann auf der Registrierungsseite alle weiteren erforderlichen Informationen ein, z. B. Anzeigename, Vorname und Nachname. Anschließend wählt er Weiter aus, um das Konto zu erstellen.

  • Anmeldung: Nachdem sich der Kunde registriert und ein Konto erstellt hat, kann er sich anmelden, indem er seine E-Mail-Adresse und sein Kennwort eingibt.

  • Kennwortzurücksetzung: Wenn Sie die E-Mail- und Kennwortanmeldung aktivieren, wird auf der Kennwortseite ein Link zur Kennwortzurücksetzung angezeigt. Wenn der Kunde sein Kennwort vergessen hat, wird durch Auswahl dieses Links eine Einmalkennung an seine E-Mail-Adresse gesendet. Nach der Überprüfung kann der Kunde ein neues Kennwort auswählen.

    Screenshots der E-Mail mit Kennwort-Anmeldebildschirmen.

Wenn Sie einen Benutzerflow für Registrierung und Anmeldung erstellen, ist E-Mail mit Kennwort die Standardoption.

E-Mail mit einmaliger Passcode-Anmeldung

E-Mail mit Einmal-Passcode ist eine Option in den Einstellungen ihres lokalen Kontoidentitätsanbieters. Mit dieser Option meldet sich der Kunde bei jeder Anmeldung mit einem temporären Passcode statt mit einem gespeicherten Kennwort an.

  • Registrierung: Kunden können sich mit ihrer E-Mail-Adresse registrieren und einen temporären Code anfordern, der an ihre E-Mail-Adresse gesendet wird. Anschließend gibt er diesen Code ein, um den Anmeldevorgang fortzusetzen.

  • Anmeldung: Nachdem sich der Kunde registriert und ein Konto erstellt hat, gibt er bei jeder Anmeldung seine E-Mail-Adresse ein und erhält einen temporären Passcode.

    Screenshots der E-Mail mit Einmal-Passcode-Anmeldebildschirmen.

Hinweis

Wenn Sie die Multi-Faktor-Authentifizierung (MFA) aktivieren möchten, legen Sie die Authentifizierungsmethode Ihres lokalen Kontos auf E-Mail mit Kennwort fest. Wenn Sie die Option für Ihr lokales Konto auf E-Mail mit Einmal-Passcode festlegen, können sich Kunden, die diese Methode verwenden, nicht anmelden, da der Einmal-Passcode bereits ihre Anmeldemethode für den ersten Faktor ist und nicht als zweiter Faktor verwendet werden kann. Derzeit sind keine anderen Überprüfungsmethoden für Kundenszenarien verfügbar.

Wenn Sie einen Benutzerflow für Registrierung und Anmeldung erstellen, ist Einmal-Passcode per E-Mail eine der Optionen für das lokale Konto.

Identitätsanbieter für soziale Netzwerke: Facebook und Google

Um für ein optimales Benutzererlebnis bei der Anmeldung zu sorgen, sollten Sie nach Möglichkeit einen Verbund mit Identitätsanbietern sozialer Netzwerke einrichten, damit Sie Ihren Kunden eine nahtlose Anmeldung und Registrierung ermöglichen. In einem externen Mandanten können Sie es einem Kunden ermöglichen, sich mit seinem eigenen Facebook- oder Google-Konto zu registrieren und anzumelden. Wenn sich ein Kunde mit dem Konto eines sozialen Netzwerks bei Ihrer App registriert, erstellt und verwaltet der Identitätsanbieter des sozialen Netzwerks die Identitätsinformationen und stellt gleichzeitig Authentifizierungsdienste für Anwendungen bereit.

Wenn Sie Identitätsanbieter sozialer Netzwerke aktivieren, können Kunden aus den Optionen der Identitätsanbieter der sozialen Netzwerke auswählen, die Sie ihnen auf der Registrierungsseite zur Verfügung gestellt haben. Um soziale Netzwerke als Identitätsanbieter in Ihrem externen Mandanten einzurichten, erstellen Sie bei jedem Identitätsanbieter eine Anwendung und konfigurieren die Anmeldeinformationen. Sie erhalten eine Client- oder App-ID sowie einen geheimen Client- oder App-Schlüssel, den Sie dann zu Ihrem externen Mandanten hinzufügen können.

Anmeldung über Google

Indem Sie den Verbund mit Google einrichten, können Sie es Kunden ermöglichen, sich mit ihren eigenen Gmail-Konten bei Ihren Anwendungen anzumelden. Nachdem Sie Google als eine der Anmeldeoptionen Ihrer Anwendung hinzugefügt haben, können sich Benutzer auf der Anmeldeseite mit einem Google-Konto bei Microsoft Entra External ID anmelden.

Die folgenden Screenshots zeigen die Anmeldung bei Google. Auf der Anmeldeseite wählen Benutzer Mit Google anmelden aus. An diesem Punkt wird der Benutzer zum Google-Identitätsanbieter weitergeleitet, um die Anmeldung abzuschließen.

Screenshots der Google-Anmeldebildschirme.

Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter.

Anmeldung über Facebook

Indem Sie den Verbund mit Facebook einrichten, können Sie es eingeladenen Benutzern ermöglichen, sich mit ihren eigenen Facebook-Konten bei Ihren Anwendungen anzumelden. Nachdem Sie Facebook als eine der Anmeldeoptionen Ihrer Anwendung hinzugefügt haben, können sich Benutzer auf der Anmeldeseite mit einem Facebook-Konto bei Microsoft Entra External ID anmelden.

Die folgenden Screenshots zeigen die Anmeldung mit Facebook. Auf der Anmeldeseite wählen Benutzer Mit Facebook anmelden aus. Daraufhin wird der Benutzer zum Facebook-Identitätsanbieter weitergeleitet, um die Anmeldung abzuschließen.

Screenshots der Facebook-Anmeldebildschirme.

Weitere Informationen finden Sie unter Hinzufügen von Facebook als Identitätsanbieter.

Aktualisieren von Anmeldemethoden

Sie können jederzeit die Anmeldeoptionen aktualisieren, die Sie für eine App ausgewählt haben. Sie können beispielsweise Identitätsanbieter für soziale Netzwerke hinzufügen oder die Anmeldemethode für lokale Konten ändern.

Beachten Sie, dass sich die Änderung beim Ändern der Anmeldemethoden nur auf neue Benutzer auswirkt. Vorhandene Benutzer melden sich weiterhin mit ihrer ursprünglich gewählten Methode an. Angenommen, Sie beginnen mit der E-Mail- und Kennwortanmeldemethode und ändern dann in E-Mail mit Einmal-Passcode. Neue Benutzer werden sich mit einem Einmal-Passcode anmelden, aber alle Benutzer, die sich bereits mit einer E-Mail und einem Kennwort registriert haben, werden weiterhin zur Eingabe ihrer E-Mail-Adresse und ihres Kennworts aufgefordert.

Microsoft Graph-APIs

Die folgenden Microsoft Graph-API-Vorgänge werden für die Verwaltung von Identitätsanbietern und Authentifizierungsmethoden in Microsoft Entra External ID unterstützt:

  • Um zu ermitteln, welche Identitätsanbieter und Authentifizierungsmethoden unterstützt werden, rufen Sie die API List availableProviderTypes auf.
  • Um die Identitätsanbieter und Authentifizierungsmethoden zu ermitteln, die bereits im Mandanten konfiguriert und aktiviert sind, rufen Sie die API List identityProviders auf.
  • Um einen unterstützten Identitätsanbieter oder eine unterstützte Authentifizierungsmethode zu aktivieren, rufen Sie die API Create identityProvider auf.

Nächste Schritte

Lesen Sie die folgenden Artikel, um Informationen zum Hinzufügen von Identitätsanbietern für die Anmeldung bei Ihren Anwendungen zu erhalten: