Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
inquilinos de personal 
inquilinos externos (más información)
Sugerencia
Este artículo se aplica a la id. externa en inquilinos externos. Para obtener información sobre los inquilinos del recurso, consulta Proveedores de identidades para id. externa en los inquilinos del recurso.
Con Id. externa de Microsoft Entra, puedes crear experiencias de inicio de sesión seguras y personalizadas para tus aplicaciones orientadas al consumidor y al cliente empresarial. En un inquilino externo, hay varias formas de que los usuarios se registren en su aplicación. Pueden crear una cuenta utilizando su correo electrónico y una contraseña o un código de un solo uso. O bien, si habilita el inicio de sesión con Facebook, Google, Apple o un OIDC personalizado o SAML/WS-Fed proveedor de identidades (IdP), los usuarios pueden iniciar sesión con sus credenciales en el proveedor de identidades externo. Se crea un objeto de usuario para ellos en el directorio con la información de identidad recopilada durante el registro.
En este artículo se describen los proveedores de identidades que están disponibles para la autenticación principal al registrarse e iniciar sesión en aplicaciones en inquilinos externos. También puede mejorar la seguridad aplicando una directiva de autenticación multifactor (MFA) que requiere una segunda forma de comprobación cada vez que un usuario inicia sesión (obtener más información).
Inicio de sesión por correo electrónico y contraseña
El registro de correo electrónico se habilita de forma predeterminada en la configuración del proveedor de identidades de la cuenta local. Con la opción de correo electrónico, los usuarios pueden registrarse e iniciar sesión con su dirección de correo electrónico y una contraseña.
Registro: se solicita a los usuarios una dirección de correo electrónico, que se comprueba al registrarse con un código de acceso de un solo uso. A continuación, el usuario escribe cualquier otra información solicitada en la página de registro, por ejemplo, nombre para mostrar, nombre dado y apellido. Luego, debe seleccionar Continuar para crear una cuenta.
Inicio de sesión: después de que el usuario se registre y cree una cuenta, puede iniciar sesión escribiendo su dirección de correo electrónico y contraseña.
Restablecimiento de contraseña: si habilita el inicio de sesión por correo electrónico y contraseña, aparece un vínculo para restablecer la contraseña en la página Contraseña. Si el usuario olvida su contraseña, al seleccionar este vínculo se envía un código de acceso de un solo uso a su dirección de correo electrónico. Después de la comprobación, el usuario puede elegir una nueva contraseña.
Al crear un flujo de usuario de registro e inicio de sesión, Correo electrónico con contraseña es la opción predeterminada.
Inicio de sesión por correo electrónico con código de acceso de un solo uso
Correo electrónico con código de acceso de un solo uso es una opción de la configuración del proveedor de identidades de la cuenta local. Con esta opción, el usuario inicia sesión con un código de acceso temporal en lugar de una contraseña almacenada cada vez que inicia sesión.
Registro: los usuarios pueden registrarse con su dirección de correo electrónico y solicitar un código temporal, que se envía a su dirección de correo electrónico. A continuación, escribe este código para continuar con el inicio de sesión.
Inicio de sesión: después de que el usuario se registre y cree una cuenta, cada vez que inicie sesión, escribirá su dirección de correo electrónico y recibirá un código de acceso temporal.
También puedes configurar opciones para mostrar, ocultar o personalizar el vínculo de autoservicio de restablecimiento de contraseña en la página de inicio de sesión (más información).
Al crear un flujo de usuario de registro e inicio de sesión, Código de acceso de un solo uso de correo electrónico es una de las opciones de la cuenta local.
Proveedores de identidades sociales: Facebook, Google y Apple
Para obtener una experiencia de inicio de sesión óptima, federe con proveedores de identidades sociales siempre que sea posible para que pueda proporcionar a los usuarios una experiencia de registro e inicio de sesión sin problemas. En un inquilino externo, puede permitir que un usuario se registre e inicie sesión con su propia cuenta de Facebook, Google o Apple.
Al habilitar proveedores de identidades sociales, los usuarios pueden seleccionar entre las opciones de proveedores de identidades sociales que haga disponibles en la página de registro. Para configurar proveedores de identidades sociales en el inquilino externo, debes crear una aplicación en el proveedor de identidades y configurar las credenciales. Obtiene un identificador de cliente o aplicación, un secreto de cliente o aplicación, o un certificado, que puede usar para configurar el inquilino externo.
Inicio de sesión de Google
Al configurar la federación con Google, puede permitir que los usuarios inicien sesión en sus aplicaciones con sus propias cuentas de Gmail. Después de agregar Google como una de las opciones de inicio de sesión de la aplicación, en la página de inicio de sesión, los usuarios pueden iniciar sesión en Id. externa de Microsoft Entra con una cuenta de Google.
En las capturas de pantalla siguientes se muestra la experiencia de inicio de sesión con Google. En la página de inicio de sesión, los usuarios seleccionan Iniciar sesión con Google. En ese momento, el usuario se redirige al proveedor de identidades de Google para completar el inicio de sesión.
Consulte cómo agregar Google como proveedor de identidades.
Inicio de sesión de Facebook
Al configurar la federación con Facebook, puede permitir que los usuarios inicien sesión en sus aplicaciones con sus propias cuentas de Facebook. Después de agregar Facebook como una de las opciones de inicio de sesión de la aplicación, en la página de inicio de sesión, los usuarios pueden iniciar sesión en Id. externa de Microsoft Entra con una cuenta de Facebook.
En las capturas de pantalla siguientes se muestra la experiencia de inicio de sesión con Facebook. En la página de inicio de sesión, los usuarios seleccionan Iniciar sesión con Facebook. A continuación, el usuario se redirige al proveedor de identidades de Facebook para completar el inicio de sesión.
Consulte cómo agregar Facebook como proveedor de identidades.
Inicio de sesión de Apple (versión preliminar)
Al configurar la federación con Apple, puede permitir que los usuarios inicien sesión en sus aplicaciones con sus propias cuentas de Apple. Después de agregar Apple como una de las opciones de inicio de sesión de la aplicación, en la página de inicio de sesión, los usuarios pueden iniciar sesión en Microsoft Entra External ID con una cuenta de Apple.
En las capturas de pantalla siguientes se muestra el inicio de sesión con la experiencia de Apple. En la página de inicio de sesión, los usuarios seleccionan Inicio de sesión con Apple. A continuación, el usuario se redirige al proveedor de identidades de Apple para completar el inicio de sesión. Aprenda a agregar Apple como proveedor de identidades.
Proveedores de identidades de SAML/WS-Fed personalizados
Puede configurar un proveedor de identidades SAML o WS-Fed para permitir que los usuarios se registren e inicien sesión en sus aplicaciones con su propia cuenta con el proveedor de identidades. El usuario puede registrarse o iniciar sesión seleccionando la opción Registrarse con o Iniciar sesión con . Se redirigen al proveedor de identidades y, a continuación, se devuelven a Microsoft Entra una vez que inician sesión correctamente. En el caso de los inquilinos externos, el correo electrónico de inicio de sesión de un usuario no necesita coincidir con los dominios predefinidos configurados durante la federación de SAML. Como resultado, la actualización de la configuración de federación agregando, cambiando o quitando dominios no afectará a la experiencia de los usuarios existentes.
Se redirigirá a un usuario que escriba una dirección de correo electrónico en la página de inicio de sesión que coincida con un dominio predefinido en cualquiera de los proveedores de identidades externos para autenticarse con ese proveedor de identidades. Si no tienen una cuenta, es posible que se les pida información adicional y se creará la cuenta.
Para obtener más información, consulte SAML/WS-Fed proveedores de identidades. Para conocer los pasos de configuración detallados, consulte Incorporación de federación con proveedoresde identidades SAML/WS-Fed.
Proveedor de identidad OIDC personalizado
Puede configurar un proveedor de identidades personalizado de OpenID Connect (OIDC) para permitir que los usuarios se registren e inicien sesión en las aplicaciones con sus credenciales en el proveedor de identidades externo. También puede federar los flujos de inicio de sesión y registro con un inquilino de Azure AD B2C mediante el protocolo OIDC.
Aprenda a configurar un proveedor de identidades OIDC personalizado.
Actualización de métodos de inicio de sesión
En cualquier momento, puede actualizar las opciones de inicio de sesión de una aplicación. Por ejemplo, puede agregar proveedores de identidades sociales o cambiar el método de inicio de sesión de la cuenta local.
Al cambiar los métodos de inicio de sesión, el cambio afecta solo a los nuevos usuarios. Los usuarios existentes siguen iniciando sesión con su método original. Por ejemplo, supongamos que empieza con el método de inicio de sesión de correo electrónico y contraseña y, después, cambia al correo electrónico con código de acceso de un solo uso. Los nuevos usuarios inician sesión con un código de acceso de un solo uso, pero a los usuarios que ya se han registrado con un correo electrónico y una contraseña se les sigue solicitando su correo electrónico y contraseña.
Microsoft Graph API
Se admiten las siguientes operaciones de Microsoft Graph API para administrar proveedores de identidades y métodos de autenticación en Microsoft Entra External ID:
- Para identificar qué proveedores de identidades y métodos de autenticación se admiten, llame a la API List availableProviderTypes.
- Para identificar los proveedores de identidades y los métodos de autenticación que ya están configurados y habilitados en el inquilino, llame a la API List identityProviders.
- Para habilitar un proveedor de identidades compatible o un método de autenticación, llame a la API Create identityProvider.