Fournisseurs d’identité pour les locataires externes
S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)
Conseil
Cet article s’applique à l’ID externe dans les locataires externes. Pour plus d’informations sur les locataires de main-d’œuvre, consultez Fournisseurs d’identité pour l’ID externe dans les locataires de main-d’œuvre.
Avec ID externe Microsoft Entra, vous pouvez créer des expériences de connexion sécurisées et personnalisées pour vos applications en contact avec vos clients, qu’ils soient particuliers ou professionnels. Dans un locataire externe, il existe plusieurs façons pour les utilisateurs de s’inscrire à votre application. Ils peuvent créer un compte en utilisant leur e-mail, et un mot de passe ou un code secret à usage unique. Si vous activez la connexion avec Facebook et Google, ils peuvent aussi se connecter avec leur propre compte social.
Cet article décrit les fournisseurs d’identité disponibles pour l’authentification principale lors de l’inscription et de la connexion aux applications dans des locataires externes. Vous pouvez également améliorer la sécurité en appliquant une stratégie d’authentification multifacteur (MFA) qui nécessite une deuxième forme de vérification chaque fois qu’un utilisateur se connecte (en savoir plus).
Connexion par e-mail et mot de passe
L’inscription par e-mail est activée par défaut dans les paramètres du fournisseur d’identité de votre compte local. Avec l’option de l’adresse e-mail, les clients peuvent s’inscrire et se connecter avec leur adresse e-mail et leur mot de passe.
Inscription : les clients sont invités à entrer une adresse e-mail, qui est vérifiée lors de l’inscription avec un code secret à usage unique. Le client entre ensuite toute autre information demandée sur la page d’inscription, par exemple, le nom d’affichage, le prénom et le nom de famille. Ensuite, ils sélectionnent Continuer pour créer un compte.
Connexion : une fois que le client s’est inscrit et a créé un compte, il peut se connecter en entrant son adresse e-mail et son mot de passe.
Réinitialisation du mot de passe : si vous activez la connexion par e-mail et mot de passe, un lien de réinitialisation de mot de passe s’affiche sur la page du mot de passe. Si le client oublie son mot de passe, la sélection de ce lien envoie un code secret à usage unique à son adresse e-mail. Après vérification, le client peut choisir un nouveau mot de passe.
Lorsque vous créez un flux d’utilisateur d’inscription et de connexion, Email avec mot de passe est l’option par défaut.
Email avec une connexion par code secret à usage unique
Email avec un code secret à usage unique est une option dans les paramètres du fournisseur d’identité de votre compte local. Avec cette option, le client se connecte avec un code secret temporaire au lieu d’un mot de passe stocké chaque fois qu’il se connecte.
Inscription : les clients peuvent s’inscrire avec leur adresse e-mail et demander un code temporaire, qui est envoyé à leur adresse e-mail. Puis, il entre ce code pour se connecter.
Connexion : une fois que le client s’est inscrit et créé un compte, chaque fois qu’il se connecte, il entre son adresse e-mail et reçoit un code secret temporaire.
Vous pouvez également configurer des options pour afficher, masquer ou personnaliser le lien de réinitialisation de mot de passe en libre-service dans la page de connexion (en savoir plus).
Lorsque vous créez un flux d’utilisateur d’inscription et de connexion, E-mail code secret à usage unique est l’une des options de compte local.
Fournisseurs d’identité sociale : Facebook et Google
Pour une expérience de connexion optimale, fédérez des fournisseurs d’identité sociale autant que possible afin de pouvoir offrir à vos clients une expérience de connexion transparente quand ils s’inscrivent et se connectent. Dans un locataire externe, vous pouvez autoriser un client à s’inscrire et à se connecter en utilisant son propre compte Facebook ou Google. Lorsqu’un client s’inscrit à votre application à l’aide de son compte social, le fournisseur d’identité sociale crée, maintient et gère les informations d’identité tout en fournissant des services d’authentification aux applications.
Lorsque vous activez les fournisseurs d’identité sociale, les clients peuvent choisir parmi les options de fournisseurs d’identité sociale que vous avez mises à disposition sur la page d’inscription. Pour configurer des fournisseurs d’identité sociale dans votre locataire externe, vous devez créer une application au niveau du fournisseur d’identité et configurer des informations d’identification. Vous recevez un ID de client ou d’application, et une clé secrète de client ou d’application, que vous pouvez ensuite ajouter à votre locataire externe.
Connexion Google (préversion)
La configuration de la fédération avec Google vous permet d'autoriser les clients à se connecter à vos applications au moyen de leurs propres comptes Gmail. Une fois Google ajouté aux options de connexion de votre application, sur la page de connexion, les utilisateurs peuvent se connecter à Microsoft Entra External ID à l’aide d’un compte Google.
Les captures d’écran suivantes montrent la connexion avec l’expérience Google. Dans la page de connexion, les utilisateurs sélectionnent Se connecter avec Google. À ce stade, l’utilisateur est redirigé vers le fournisseur d’identité Google pour terminer la connexion.
Découvrez comment ajouter Google comme fournisseur d’identité.
Connexion Facebook (préversion)
En configurant la fédération avec Facebook, vous pouvez autoriser les utilisateurs invités à se connecter à vos applications avec leurs propres comptes Facebook. Une fois Facebook ajouté aux options de connexion de votre application, dans la page de connexion, les utilisateurs peuvent se connecter à Microsoft Entra External ID à l’aide d’un compte Facebook.
Les captures d’écran suivantes montrent la connexion avec l’expérience Facebook. Dans la page de connexion, les utilisateurs sélectionnent Se connecter avec Facebook. Ensuite, l’utilisateur est redirigé vers le fournisseur d’identité Facebook pour terminer la connexion.
Découvrez comment ajouter Facebook comme fournisseur d’identité.
Mise à jour des méthodes de connexion
À tout moment, vous pouvez mettre à jour les options de connexion d’une application. Par exemple, vous pouvez ajouter des fournisseurs d’identité sociale ou modifier la méthode de connexion au compte local.
Lorsque vous modifiez les méthodes de connexion, la modification affecte uniquement les nouveaux utilisateurs. Les utilisateurs existants continuent à se connecter à l’aide de leur méthode d’origine. Par exemple, supposons que vous commencez par la méthode de connexion par e-mail et par mot de passe, puis que vous passez à l’e-mail avec un code secret à usage unique. Les nouveaux utilisateurs se connectent à l’aide d’un code secret à usage unique, mais tous les utilisateurs qui se sont déjà inscrits avec un e-mail et un mot de passe doivent toujours, sur invite, entrer leur e-mail et leur mot de passe.
API Microsoft Graph
Les opérations d’API Microsoft Graph suivantes sont prises en charge pour la gestion des fournisseurs d’identité et des méthodes d’authentification dans ID externe Microsoft Entra :
- Pour identifier les fournisseurs d’identité et les méthodes d’authentification pris en charge, vous appelez l’API List availableProviderTypes.
- Pour identifier les fournisseurs d’identité et les méthodes d’authentification déjà configurés et activés dans le locataire, vous appelez l’API List identityProviders.
- Pour activer un fournisseur d’identité ou une méthode d’authentification pris en charge, vous appelez l’API Create identityProvider.