Métodos de autenticación y proveedores de identidades para los clientes

  • Artículo

Id. externa de Microsoft Entra ofrece varias opciones para autenticar a los usuarios de las aplicaciones. Puede permitir que los clientes creen una cuenta en el directorio de cliente mediante su correo electrónico y una contraseña o bien un código de acceso de un solo uso de correo electrónico. También puede habilitar el inicio de sesión con una cuenta social.

Inicio de sesión por correo electrónico y contraseña

El registro de correo electrónico se habilita de forma predeterminada en la configuración del proveedor de identidades de la cuenta local. Con la opción de correo electrónico, los clientes pueden iniciar sesión y registrarse con su dirección de correo electrónico y una contraseña.

  • Registro: a los clientes se les solicita una dirección de correo electrónico, que se comprueba durante el registro con un código de acceso de un solo uso. Después, el cliente escribe toda la información que se le solicite en la página de registro, por ejemplo, el nombre para mostrar, el nombre y los apellidos. Luego, debe seleccionar Continuar para crear una cuenta.

  • Inicio de sesión: después de que el cliente se registre y cree una cuenta, puede iniciar sesión escribiendo su dirección de correo electrónico y contraseña.

  • Restablecimiento de contraseña: si habilita el inicio de sesión por correo electrónico y contraseña, aparece un vínculo para restablecer la contraseña en la página Contraseña. Si el cliente olvida su contraseña, al seleccionar este vínculo se envía un código de acceso de un solo uso a su dirección de correo electrónico. Después de la comprobación, el cliente puede elegir una nueva contraseña.

    Capturas de pantalla de las pantallas de inicio de sesión por correo electrónico con contraseña.

Al crear un flujo de usuario de registro e inicio de sesión, Correo electrónico con contraseña es la opción predeterminada.

Inicio de sesión por correo electrónico con código de acceso de un solo uso

Correo electrónico con código de acceso de un solo uso es una opción de la configuración del proveedor de identidades de la cuenta local. Con esta opción, el cliente inicia sesión con un código de acceso temporal en lugar de una contraseña almacenada cada vez que inicia sesión.

  • Registro: los clientes pueden registrarse con su dirección de correo electrónico y solicitar un código temporal, que se envía a su dirección de correo electrónico. A continuación, escribe este código para continuar con el inicio de sesión.

  • Inicio de sesión: después de que el cliente se registre y cree una cuenta, cada vez que inicie sesión escribirá su dirección de correo electrónico y recibirá un código de acceso temporal.

    Capturas de pantalla de las pantallas de inicio de sesión por correo electrónico con código de acceso de un solo uso.

Nota

Si desea habilitar la autenticación multifactor (MFA), establezca el método de autenticación de la cuenta local en Correo electrónico con contraseña. Si establece la opción de cuenta local en Correo electrónico con código de acceso de un solo uso, los clientes que usan este método no podrán iniciar sesión porque el código de acceso de un solo uso ya es su método de inicio de sesión de primer factor y no se puede usar como segundo factor. Actualmente, otros métodos de comprobación no están disponibles en escenarios de cliente.

Al crear un flujo de usuario de registro e inicio de sesión, Código de acceso de un solo uso de correo electrónico es una de las opciones de la cuenta local.

Proveedores de identidades sociales: Facebook y Google

Para conseguir una experiencia de inicio de sesión óptima, fedérese con los proveedores de identidades sociales siempre que sea posible para que pueda proporcionar a sus clientes una experiencia de registro y de inicio de sesión sin problemas. En un inquilino externo, puedes permitir que un cliente se registre e inicie sesión con su propia cuenta de Facebook o Google. Cuando un cliente se suscribe a la aplicación mediante su cuenta social, el proveedor de identidades sociales crea, mantiene y administra la información de identidad al tiempo que proporciona servicios de autenticación a las aplicaciones.

Al habilitar proveedores de identidades sociales, los clientes pueden seleccionar una de las opciones de proveedores de identidades sociales que estén disponibles en la página de registro. Para configurar proveedores de identidades sociales en el inquilino externo, debes crear una aplicación en el proveedor de identidades y configurar las credenciales. Obtendrás un id. de cliente o de aplicación y un secreto de cliente o de aplicación, que puedes agregar a tu inquilino externo.

Inicio de sesión de Google

Si configura la federación con Google, puede permitir que los clientes inicien sesión en sus aplicaciones con sus propias cuentas de Gmail. Después de agregar Google como una de las opciones de inicio de sesión de la aplicación, en la página de inicio de sesión, los usuarios pueden iniciar sesión en Id. externa de Microsoft Entra con una cuenta de Google.

En las capturas de pantalla siguientes se muestra la experiencia de inicio de sesión con Google. En la página de inicio de sesión, los usuarios seleccionan Iniciar sesión con Google. En ese momento, el usuario se redirige al proveedor de identidades de Google para completar el inicio de sesión.

Capturas de pantalla de pantallas de inicio de sesión de Google.

Consulte cómo agregar Google como proveedor de identidades.

Inicio de sesión de Facebook

Al configurar la federación con Facebook, puede permitir que los usuarios invitados inicien sesión en las aplicaciones con sus propias cuentas de Facebook. Después de agregar Facebook como una de las opciones de inicio de sesión de la aplicación, en la página de inicio de sesión, los usuarios pueden iniciar sesión en Id. externa de Microsoft Entra con una cuenta de Facebook.

En las capturas de pantalla siguientes se muestra la experiencia de inicio de sesión con Facebook. En la página de inicio de sesión, los usuarios seleccionan Iniciar sesión con Facebook. A continuación, el usuario se redirige al proveedor de identidades de Facebook para completar el inicio de sesión.

Capturas de pantalla de pantallas de inicio de sesión de Facebook.

Consulte cómo agregar Facebook como proveedor de identidades.

Actualización de métodos de inicio de sesión

En cualquier momento, puede actualizar las opciones de inicio de sesión que ha seleccionado para una aplicación. Por ejemplo, puede agregar proveedores de identidades sociales o cambiar el método de inicio de sesión de la cuenta local.

Tenga en cuenta que al cambiar los métodos de inicio de sesión, el cambio afecta solo a los nuevos usuarios. Los usuarios existentes seguirán iniciando sesión con su método original. Por ejemplo, supongamos que empieza con el método de inicio de sesión de correo electrónico y contraseña y, después, cambia al correo electrónico con código de acceso de un solo uso. Los nuevos usuarios iniciarán sesión con un código de acceso de un solo uso, pero a los usuarios que ya se hayan registrado con un correo electrónico y la contraseña se les seguirá solicitando su correo electrónico y contraseña.

Microsoft Graph API

Se admiten las siguientes operaciones de Microsoft Graph API para administrar proveedores de identidades y métodos de autenticación en Microsoft Entra External ID:

  • Para identificar qué proveedores de identidades y métodos de autenticación se admiten, llame a la API List availableProviderTypes.
  • Para identificar los proveedores de identidades y los métodos de autenticación que ya están configurados y habilitados en el inquilino, llame a la API List identityProviders.
  • Para habilitar un proveedor de identidades compatible o un método de autenticación, llame a la API Create identityProvider.

Pasos siguientes

Para obtener información sobre cómo agregar proveedores de identidades para iniciar sesión en las aplicaciones, consulte los siguientes artículos: