Identitätsanbieter für externe Mandanten
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Tipp
Dieser Artikel gilt für External ID in externen Mandanten. Informationen zu Mitarbeitermandanten finden Sie unter Identitätsanbieter für External ID in Mitarbeitermandanten.
Mit der externen Microsoft Entra-ID können Sie sichere, angepasste Anmeldeoberflächen für Ihre Kunden- und Geschäftskunden-Apps erstellen. In einem externen Mandanten gibt es mehrere Möglichkeiten, wie Benutzer sich für Ihre App registrieren können. Sie können ein Konto mit ihrer E-Mail und entweder mit einem Kennwort oder einer Einmalkennung erstellen. Oder wenn Sie die Anmeldung mit Facebook und Google aktivieren, können sie sich mit ihrem eigenen sozialen Konto anmelden.
In diesem Artikel werden die Identitätsanbieter beschrieben, die bei der Registrierung und Anmeldung bei Apps in externen Mandanten für die primäre Authentifizierung verfügbar sind. Sie können auch die Sicherheit verbessern, indem Sie eine mehrstufige Authentifizierungsrichtlinie (MFA) erzwingen, die bei jeder Anmeldung eines Benutzers eine zweite Überprüfungsform erfordert (weitere Informationen).
Anmeldung per E-Mail und Kennwort
In den Einstellungen des Identitätsanbieters „Lokales Konto“ ist standardmäßig die Registrierung mit E-Mail-Adresse aktiviert. Bei dieser Option können sich Benutzer mit ihrer E-Mail-Adresse und ihrem Kennwort anmelden und registrieren.
Registrierung: Kunden werden aufgefordert, eine E-Mail-Adresse einzugeben, die bei der Registrierung mit einem Einmal-Passcode überprüft wird. Der Benutzer gibt dann auf der Registrierungsseite alle weiteren erforderlichen Informationen ein, z. B. Anzeigename, Vorname und Nachname. Anschließend wählt er Weiter aus, um das Konto zu erstellen.
Anmeldung: Nachdem sich der Kunde registriert und ein Konto erstellt hat, kann er sich anmelden, indem er seine E-Mail-Adresse und sein Kennwort eingibt.
Kennwortzurücksetzung: Wenn Sie die E-Mail- und Kennwortanmeldung aktivieren, wird auf der Kennwortseite ein Link zur Kennwortzurücksetzung angezeigt. Wenn der Kunde sein Kennwort vergessen hat, wird durch Auswahl dieses Links eine Einmalkennung an seine E-Mail-Adresse gesendet. Nach der Überprüfung kann der Kunde ein neues Kennwort auswählen.
Wenn Sie einen Benutzerflow für Registrierung und Anmeldung erstellen, ist E-Mail mit Kennwort die Standardoption.
E-Mail mit einmaliger Passcode-Anmeldung
E-Mail mit Einmal-Passcode ist eine Option in den Einstellungen ihres lokalen Kontoidentitätsanbieters. Mit dieser Option meldet sich der Kunde bei jeder Anmeldung mit einem temporären Passcode statt mit einem gespeicherten Kennwort an.
Registrierung: Kunden können sich mit ihrer E-Mail-Adresse registrieren und einen temporären Code anfordern, der an ihre E-Mail-Adresse gesendet wird. Anschließend gibt er diesen Code ein, um den Anmeldevorgang fortzusetzen.
Anmeldung: Nachdem sich der Kunde registriert und ein Konto erstellt hat, wird jedes Mal, wenn er sich anmeldet, seine E-Mail-Adresse eingeben und eine temporäre Kennung erhalten.
Sie können Optionen auch konfigurieren, um den Link zur Self-Service-Kennwortzurücksetzung auf der Anmeldeseite anzuzeigen, auszublenden oder individuell anzupassen (weitere Informationen).
Wenn Sie einen Benutzerflow für Registrierung und Anmeldung erstellen, ist Einmal-Passcode per E-Mail eine der Optionen für das lokale Konto.
Identitätsanbieter für soziale Netzwerke: Facebook und Google
Um für ein optimales Benutzererlebnis bei der Anmeldung zu sorgen, sollten Sie nach Möglichkeit einen Verbund mit Identitätsanbietern sozialer Netzwerke einrichten, damit Sie Ihren Kunden eine nahtlose Anmeldung und Registrierung ermöglichen. In einem externen Mandanten können Sie es einem Kunden ermöglichen, sich mit seinem eigenen Facebook- oder Google-Konto zu registrieren und anzumelden. Wenn sich ein Kunde mit dem Konto eines sozialen Netzwerks bei Ihrer App registriert, erstellt und verwaltet der Identitätsanbieter des sozialen Netzwerks die Identitätsinformationen und stellt gleichzeitig Authentifizierungsdienste für Anwendungen bereit.
Wenn Sie soziale Netzwerke als Identitätsanbieter aktivieren, können Kunden aus den Optionen für soziale Netzwerke als Identitätsanbieter wählen, die Sie auf der Registrierungsseite verfügbar machen. Um soziale Netzwerke als Identitätsanbieter in Ihrem externen Mandanten einzurichten, erstellen Sie bei jedem Identitätsanbieter eine Anwendung und konfigurieren die Anmeldeinformationen. Sie erhalten eine Client- oder App-ID sowie einen geheimen Client- oder App-Schlüssel, den Sie dann zu Ihrem externen Mandanten hinzufügen können.
Google-Anmeldung (Vorschau)
Indem Sie den Verbund mit Google einrichten, können Sie es Kunden ermöglichen, sich mit ihren eigenen Gmail-Konten bei Ihren Anwendungen anzumelden. Nachdem Sie Google als eine der Anmeldeoptionen Ihrer Anwendung hinzugefügt haben, können sich Benutzer auf der Anmeldeseite mit einem Google-Konto bei Microsoft Entra External ID anmelden.
Die folgenden Screenshots zeigen die Anmeldung bei Google. Auf der Anmeldeseite wählen Benutzer Mit Google anmelden aus. An diesem Punkt wird der Benutzer zum Google-Identitätsanbieter weitergeleitet, um die Anmeldung abzuschließen.
Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter.
Facebook-Anmeldung (Vorschau)
Indem Sie den Verbund mit Facebook einrichten, können Sie es eingeladenen Benutzern ermöglichen, sich mit ihren eigenen Facebook-Konten bei Ihren Anwendungen anzumelden. Nachdem Sie Facebook als eine der Anmeldeoptionen Ihrer Anwendung hinzugefügt haben, können sich Benutzer auf der Anmeldeseite mit einem Facebook-Konto bei Microsoft Entra External ID anmelden.
Die folgenden Screenshots zeigen die Anmeldung mit Facebook. Auf der Anmeldeseite wählen Benutzer Mit Facebook anmelden aus. Daraufhin wird der Benutzer zum Facebook-Identitätsanbieter weitergeleitet, um die Anmeldung abzuschließen.
Weitere Informationen finden Sie unter Hinzufügen von Facebook als Identitätsanbieter.
Aktualisieren von Anmeldemethoden
Sie können jederzeit die Anmeldeoptionen für eine App aktualisieren. Sie können beispielsweise Identitätsanbieter für soziale Netzwerke hinzufügen oder die Anmeldemethode für lokale Konten ändern.
Die Änderung von Anmeldemethoden wirkt sich nur auf neue Benutzer aus. Bereits vorhandene Benutzer melden sich weiterhin mit ihrer ursprünglich gewählten Methode an. Angenommen, Sie beginnen mit der E-Mail- und Kennwortanmeldemethode und ändern dann in E-Mail mit Einmal-Passcode. Neue Benutzer melden sich mit einem Einmal-Passcode an, aber Benutzer, die sich bereits mit einer E-Mail und einem Kennwort registriert haben, werden weiterhin zur Eingabe ihrer E-Mail-Adresse und ihres Kennworts aufgefordert.
Microsoft Graph-APIs
Die folgenden Microsoft Graph-API-Vorgänge werden für die Verwaltung von Identitätsanbietern und Authentifizierungsmethoden in Microsoft Entra External ID unterstützt:
- Um zu ermitteln, welche Identitätsanbieter und Authentifizierungsmethoden unterstützt werden, rufen Sie die API List availableProviderTypes auf.
- Um die Identitätsanbieter und Authentifizierungsmethoden zu ermitteln, die bereits im Mandanten konfiguriert und aktiviert sind, rufen Sie die API List identityProviders auf.
- Um einen unterstützten Identitätsanbieter oder eine unterstützte Authentifizierungsmethode zu aktivieren, rufen Sie die API Create identityProvider auf.