Einführung in Microsoft Entra External ID für externe Apps

Microsoft Entra External ID bietet eine Kundenidentitäts- und Zugriffsverwaltungslösung (Customer Identity and Access Management, CIAM) für Ihrer externen Apps. Für Organisationen und Unternehmen, die ihre öffentlichen Anwendungen für Verbraucher verfügbar machen möchten, erleichtert Microsoft Entra ID das Hinzufügen von CIAM-Features wie Self-Service-Registrierung, personalisierten Anmeldeerfahrungen und Kundenkontoverwaltung. Da diese CIAM-Funktionen in Microsoft Entra ID integriert sind, profitieren Sie auch von Plattformfeatures wie verbesserter Sicherheit, Compliance und Skalierbarkeit.

Wichtig

Microsoft Entra External ID für externe Apps befindet sich derzeit in der Vorschau. In den Universellen Lizenzbedingungen für Online-Dienste finden Sie rechtliche Bestimmungen, die für Azure-Funktionen und -Dienste gelten, die sich in der Betaphase befinden, eine Vorschau darstellen oder anderweitig nicht allgemein verfügbar sind.

Erstellen eines dedizierten Mandanten für Ihre Kundenszenarien

Bei den ersten Schritten mit Microsoft Entra External ID erstellen Sie zunächst einen Mandanten, der Ihre kundenorientierten Apps, Ressourcen und das Verzeichnis von Kundenkonten enthält.

Wenn Sie mit Microsoft Entra ID gearbeitet haben, sind Sie bereits mit der Verwendung eines Microsoft Entra-Mandanten vertraut, der Ihr Mitarbeiterverzeichnis, interne Apps und andere Organisationsressourcen enthält. Mit Microsoft Entra External ID erstellen Sie einen eigenen Mandanten, der dem Microsoft Entra-Standardmandantenmodell folgt, aber für Kundenszenarien konfiguriert ist. Dieser Mandant enthält:

• Ein Verzeichnis: Im Verzeichnis werden die Anmeldeinformationen und Profildaten Ihrer Kunden gespeichert. Wenn sich ein Kunde für Ihre App registriert, wird für ihn ein lokales Konto in Ihrem externen Mandanten erstellt.

• Anwendungsregistrierungen:Identity & Access Management-Aktionen werden von Microsoft Entra ID nur für registrierte Anwendungen ausgeführt. Durch die Registrierung Ihrer App wird eine Vertrauensstellung hergestellt, und Sie können Ihre App in Microsoft Entra integrieren

• Benutzerflows: Der externe Mandant enthält die Self-Service-Registrierungs-, -Anmelde- und Kennwortzurücksetzungsfunktionen, die Sie für Ihre Kunden aktivieren.

• Erweiterungen: Wenn Sie Benutzerattribute und Daten aus externen Systemen hinzufügen müssen, können Sie benutzerdefinierte Authentifizierungserweiterungen für Ihre Benutzerflows erstellen.

• Anmeldemethoden: Sie können verschiedene Optionen für die Anmeldung bei Ihrer App aktivieren, einschließlich Benutzername und Kennwort, Einmalkennung und Google- oder Facebook-Identität.

• Verschlüsselungsschlüssel: Hinzufügen und Verwalten von Verschlüsselungsschlüsseln zum Signieren und Überprüfen von Token, geheimen Clientschlüsseln, Zertifikaten und Kennwörtern.

Erfahren Sie mehr über die Anmeldedaten Kennwort und Einmal-Passcode und über den Verbund von Google und Facebook.

In einem externen Mandanten können Sie zwei Arten von Benutzerkonten verwalten:

• Kundenkonto: Konten, die die Kunden darstellen, die auf Ihre Anwendungen zugreifen.

• Geschäftskonto: Benutzer mit Geschäftskonten können Ressourcen in einem Mandanten verwalten und zudem Mandanten verwalten, wenn sie über eine Administratorrolle verfügen. Benutzer mit Geschäftskonten können neue Consumerkonten erstellen, Kennwörter zurücksetzen, Konten sperren/entsperren und Berechtigungen festlegen oder ein Konto einer Sicherheitsgruppe zuweisen.

Erfahren Sie mehr über die Verwaltung von Kundenkonten und Administratorkonten in Ihrem externen Mandanten.

Hinzufügen einer angepassten Anmeldung zu Ihren kundenorientierten Apps

Microsoft Entra External ID richtet sich an Unternehmen, die ihren Kundinnen und Kunden Anwendungen über die Microsoft Entra-Plattform für Identität und Zugriff bereitstellen möchten.

• Fügen Sie Ihren Apps die Registrierungs- und Anmeldeseiten hinzu. Fügen Sie schnell eine intuitive, benutzerfreundliche Registrierungs- sowie Anmeldefunktionen für Ihre Kunden-Apps hinzu. Mit einer einzigen Identität kann ein Kunde sicher auf alle Anwendungen zugreifen, von denen Sie möchten, dass er sie nutzen soll.

• Fügen Sie ein einmaliges Anmelden (Single Sign-On, SSO) mit Identitäten für soziale Netzwerke und Unternehmen hinzu. Kunden können eine soziale, Unternehmens- oder verwaltete Identität auswählen, um sich mit einem Benutzernamen und Kennwort, einer E-Mail-Adresse oder einer einmaligen Kennung anzumelden.

• Fügen Sie der Registrierungsseite Ihr Unternehmensbranding hinzu. Passen Sie das Erscheinungsbild Ihrer Registrierungs- und Anmeldeerfahrungen an, einschließlich der Standardumgebung und der Benutzeroberfläche für bestimmte Browsersprachen.

• Passen Sie Ihre Registrierungsflows ganz einfach an und erweitern Sie sie. Passen Sie Ihre Identitätsbenutzerflows an Ihre Anforderungen an. Wählen Sie die Attribute aus, die Sie während der Registrierung von einem Kunden erfassen möchten, oder fügen Sie Ihre eigenen benutzerdefinierten Attribute hinzu. Wenn die von Ihrer App benötigten Informationen in einem externen System enthalten sind, erstellen Sie benutzerdefinierte Authentifizierungserweiterungen zum Erfassen und Hinzufügen von Daten zu Authentifizierungstoken.

• Integrieren Sie mehrere App-Sprachen und -Plattformen. Mit Microsoft Entra können Sie schnell sichere Markenauthentifizierungsflows für mehrere App-Typen, Plattformen und Sprachen einrichten und bereitstellen.

• Anwenden der nativen Authentifizierung für Ihre Apps Erstellen Sie nahtlose Authentifizierungsfunktionen für kundenorientierte mobile Anwendungen und Desktopanwendungen mithilfe der Vorschau der Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) für iOS und Android.

• Stellen Sie die Self-Service-Kontoverwaltung bereit. Kunden können sich selbst für Ihre Onlinedienste registrieren, ihr Profil verwalten, ihr Konto löschen, sich bei einer MFA-Methode (Multifactor Authentication) registrieren oder ihr Kennwort ohne Unterstützung von Administratoren oder Helpdesks zurücksetzen.

• Stimmen Sie Ihren Nutzungsbedingungen und Datenschutzrichtlinien zu. Sie können Benutzer auffordern, Ihre Geschäftsbedingungen während der Registrierung zu akzeptieren. Mithilfe von Kundenbenutzerattributen können Sie Ihrem Registrierungsformular Kontrollkästchen hinzufügen und Links zu Ihren Nutzungsbedingungen und Datenschutzrichtlinien hinzufügen.

Erfahren Sie mehr über das Hinzufügen von Anmeldungen und Registrierungen zu Ihrer App sowie zum Anpassen des Erscheinungsbilds der Anmeldung.

Entwerfen von Benutzerflows für die Self-Service-Registrierung

Sie können eine einfache Regsitrierungs- und Anmeldeumgebung für Ihre Kunden erstellen, indem Sie Ihrer Anwendung einen Benutzerflow hinzufügen. Der Benutzerflow definiert die Reihe von Anmeldeschritten, die Kunden befolgen, und die Anmeldemethoden, die sie verwenden können (z. B. E-Mail und Kennwort, einmalige Passcodes oder Social Media-Konten von Google oder Facebook). Sie können zudem während der Registrierung Informationen von Kunden erfassen, indem Sie aus einer Reihe von integrierten Benutzerattributen auswählen oder Ihre eigenen benutzerdefinierten Attribute hinzufügen.

Mit mehreren Benutzerfloweinstellungen können Sie steuern, wie sich der Kunde für die Anwendung registriert, einschließlich:

• Anmeldemethoden und Anbieter sozialer Identitäten (Google oder Facebook)
• Attribute, die vom Benutzer bei der Registrierung erfasst werden, z. B. Vorname, Postleitzahl oder Land/Region des Wohnsitzes
• Unternehmensbranding und Sprachanpassung

Ausführliche Informationen zum Konfigurieren eines Benutzerflows finden Sie unter Erstellen eines Registrierungs- und Anmeldebenutzerflows für Kunden.

Hinzufügen Ihrer eigenen Geschäftslogik

Microsoft Entra External ID ist auf Flexibilität ausgelegt, da Sie an bestimmten Stellen innerhalb des Authentifizierungsflusses zusätzliche Aktionen definieren können. Mithilfe einer benutzerdefinierten Authentifizierungserweiterung können Sie dem Token Ansprüche von externen Systemen hinzufügen, bevor es für Ihre Anwendung ausgestellt wird.

Erfahren Sie mehr über das Hinzufügen Ihrer eigenen Geschäftslogik mit benutzerdefinierten Authentifizierungserweiterungen.

Sicherheit und Zuverlässigkeit von Microsoft Entra

Microsoft Entra External ID stellt die Konvergenz von B2C-Features (Business-to-Consumer) in die Microsoft Entra-Plattform dar. Sie profitieren von Plattformfeatures wie verbesserter Sicherheit, Einhaltung von Vorschriften und der Möglichkeit, Ihre Identitäts- und Zugriffsverwaltungsprozesse zu skalieren.

• Microsoft Entra-Sicherheit. Nutzen Sie alle Sicherheits- und Datenschutzvorteile von Microsoft Entra, einschließlich bedingtem Zugriff, mehrstufiger Authentifizierung und Governance. Schützen Sie den Zugriff auf Ihre Apps mithilfe einer starken Authentifizierung sowie mit risikobasierten adaptiven Zugriffsrichtlinien. Da Kunden in einem separaten Mandanten verwaltet werden, können Sie Ihre Zugriffsrichtlinien auf Benutzer anpassen, die in der Regel persönliche und freigegebene Geräte anstelle verwalteter Geräte verwenden.

• Zuverlässigkeit und Skalierbarkeit von Microsoft Entra. Erstellen Sie eine hochgradig angepasste Anmeldeumgebung und verwalten Sie Kundenkonten in großem Umfang. Sorgen Sie für eine gute Kundenerfahrung, indem Sie von Microsoft Entra Leistung, Resilienz, Geschäftskontinuität, geringer Latenz und hohem Durchsatz profitieren.

Erfahren Sie mehr über die Sicherheits- und Governance-Funktionen, die in einem externen Mandanten verfügbar sind.

Analysieren von Benutzeraktivitäten und -bindung

Die Funktion Aktivitäten von App-Benutzern (Vorschau) unter Verwendung & Einblicke bietet Datenanalysen zu Benutzeraktivitäten und Kundenbindung für registrierte Anwendungen in Ihrem Mandanten. Mit dieser Funktion können Sie Benutzeraktivitätsdaten im Microsoft Entra Admin Center anzeigen, abfragen und analysieren. Auf diese Weise können Sie wertvolle Erkenntnisse aufdecken, die strategische Entscheidungen unterstützen und das Geschäftswachstum fördern können.

Erfahren Sie mehr über die App-Benutzeraktivitäts-Dashboards, die in externen Mandanten verfügbar sind.

Informationen zu Azure AD B2C

Welche Lösung eignet sich für neue Kunden besser, Azure AD B2C oder Microsoft Entra External ID (Vorschauversion)? Entscheiden Sie sich für das aktuelle Azure AD B2C-Produkt, wenn:

• Sie müssen dringend einen produktionsbereiten Build für kundenorientierte Apps bereitstellen.

  Hinweis

  Denken Sie daran, dass die Microsoft Entra External ID-Plattform der nächsten Generation die Zukunft von CIAM für Microsoft darstellt. Deshalb werden sich schnelle Innovation, neue Features und Funktionen auf diese Plattform konzentrieren. Wenn Sie sich von Anfang an für die Plattform der nächsten Generation entscheiden, profitieren Sie von schnellen Innovationen und einer zukunftssicheren Architektur.

Entscheiden Sie sich für die Microsoft Entra External ID-Plattform der nächsten Generation, wenn:

• Sie damit beginnen, Identitäten in Apps neu zu erstellen, oder sich in den frühen Phasen der Produktermittlung befinden.
• Die Vorteile schneller Innovationen, neuer Features und Funktionen stehen im Vordergrund.

Nächste Schritte

• Weitere Informationen zu Planung von Microsoft Entra External ID.
• Im Developer Center für Microsoft Entra External ID finden Sie die neuesten Entwicklerinhalte und -ressourcen.