Share via

Az ügyfélidentitás és a hozzáférés-kezelés tervezése

  • Cikk

Microsoft Entra Külső ID testre szabható, bővíthető megoldás az ügyfélidentitás és hozzáférés-kezelés (CIAM) alkalmazáshoz való hozzáadásához. Mivel a Microsoft Entra platformra épül, kihasználhatja az alkalmazásintegráció, a bérlőkezelés és a műveletek konzisztenciáját a munkaerő- és ügyfélforgatókönyvekben. A konfiguráció tervezésekor fontos megismerni egy külső bérlő összetevőit és az ügyfélforgatókönyvekhez elérhető Microsoft Entra-funkciókat.

Ez a cikk általános keretrendszert biztosít az alkalmazás integrálásához és a külső azonosító konfigurálásához. Ismerteti a külső bérlőkben elérhető képességeket, és ismerteti az integráció egyes lépéseinek fontos tervezési szempontjait.

Az alkalmazásba való biztonságos bejelentkezés, valamint az ügyfélidentitás és a hozzáférés-kezelés beállítása négy fő lépésből áll:

A telepítési lépések áttekintését bemutató diagram.

Ez a cikk ezeket a lépéseket ismerteti, és fontos tervezési szempontokat vázol fel. Az alábbi táblázatban válassza ki a részletes és tervezési szempontokat tartalmazó lépést , vagy lépjen közvetlenül a útmutatókra.

Lépés Útmutatók
1. lépés: Külső bérlő létrehozása Külső bérlő
létrehozása• Vagy ingyenes próbaverzió indítása
2. lépés: Az alkalmazás regisztrálása Az alkalmazás regisztrálása
3. lépés: Bejelentkezési folyamat integrálása az alkalmazással Felhasználói folyamat
létrehozása• Alkalmazás hozzáadása a felhasználói folyamathoz
4. lépés: A bejelentkezés testreszabása és védelme Márkajelzés
testreszabása• Identitásszolgáltatók
hozzáadása• Attribútumok gyűjtése a regisztráció
 során• Attribútumok hozzáadása a jogkivonathoz
Többtényezős hitelesítés (MFA) hozzáadása

1. lépés: Külső bérlő létrehozása

A beállítási folyamat 1. lépését bemutató ábra.

A külső bérlő az első olyan erőforrás, amelyet létre kell hoznia a Microsoft Entra Külső ID használatának megkezdéséhez. A külső bérlő az, ahol regisztrálja az alkalmazást. Emellett tartalmaz egy címtárat is, amely az ügyfélidentitásokat és a hozzáférést kezeli, a munkaerő-bérlőtől elkülönítve.

Külső bérlő létrehozásakor beállíthatja a megfelelő földrajzi helyet és tartománynevet. Ha jelenleg az Azure AD B2C-t használja, az új munkaerő- és külső bérlői modell nincs hatással a meglévő Azure AD B2C-bérlőkre.

Felhasználói fiókok külső bérlőben

A külső bérlő címtára rendszergazdai és ügyfélfelhasználói fiókokat tartalmaz. A külső bérlőhöz rendszergazdai fiókokat hozhat létre és kezelhet. Az ügyfélfiókok általában önkiszolgáló regisztrációval jönnek létre, de létrehozhat és kezelhet helyi ügyfélfiókokat.

Az ügyfélfiókok alapértelmezett engedélykészlettel rendelkeznek. Az ügyfelek nem férhetnek hozzá a külső bérlő más felhasználóival kapcsolatos információkhoz. Alapértelmezés szerint az ügyfelek nem férhetnek hozzá más felhasználókkal, csoportokkal vagy eszközökkel kapcsolatos információkhoz.

Külső bérlő létrehozása

  • Hozzon létre egy külső bérlőt a Microsoft Entra felügyeleti központban.

  • Ha még nem rendelkezik Microsoft Entra-bérlővel, és ki szeretné próbálni a külső azonosítót, javasoljuk, hogy használja az első lépéseket az ingyenes próbaverzió elindításához.

2. lépés: Az alkalmazás regisztrálása

A telepítési folyamat 2. lépését bemutató ábra.

Ahhoz, hogy az alkalmazások kapcsolatba léphessenek a külső azonosítóval, regisztrálnia kell őket a külső bérlőben. A Microsoft Entra ID csak regisztrált alkalmazások esetében hajtja végre az identitás- és hozzáférés-kezelést. Az alkalmazás regisztrálása megbízhatósági kapcsolatot hoz létre, és lehetővé teszi az alkalmazás külső azonosítóval való integrálását.

Ezután a Microsoft Entra ID és az alkalmazás közötti megbízhatósági kapcsolat befejezéséhez frissítenie kell az alkalmazás forráskódját az alkalmazásregisztráció során hozzárendelt értékekkel, például az alkalmazás (ügyfél) azonosítójával, a címtár (bérlő) altartományával és az ügyfél titkos kódjával.

Kódmintákat és részletes integrációs útmutatókat biztosítunk számos alkalmazástípushoz és nyelvhez. A regisztrálni kívánt alkalmazás típusától függően útmutatást találhat a Minták alkalmazástípus és nyelvi oldal alapján.

Az alkalmazás regisztrálása

3. lépés: Bejelentkezési folyamat integrálása az alkalmazással

A beállítási folyamat 3. lépését bemutató ábra.

Miután beállította a külső bérlőt, és regisztrálta az alkalmazást, hozzon létre egy regisztrációs és bejelentkezési felhasználói folyamatot. Ezután integrálhatja az alkalmazást a felhasználói folyamattal, hogy bárki, aki hozzáfér, végighaladjon az Ön által megtervezett regisztrációs és bejelentkezési felületen.

Ha az alkalmazást egy felhasználói folyamattal szeretné integrálni, adja hozzá az alkalmazást a felhasználói folyamat tulajdonságaihoz, és frissítse az alkalmazáskódot a bérlői adatokkal és az engedélyezési végponttal.

Hitelesítési folyamat

Amikor egy ügyfél megpróbál bejelentkezni az alkalmazásba, az alkalmazás egy engedélyezési kérelmet küld a megadott végpontnak, amikor az alkalmazást a felhasználói folyamathoz társította. A felhasználói folyamat határozza meg és szabályozza az ügyfél bejelentkezési élményét.

Ha a felhasználó első alkalommal jelentkezik be, megjelenik a regisztrációs felület. A felhasználók a begyűjtendő beépített vagy egyéni felhasználói attribútumok alapján adnak meg adatokat.

Amikor a regisztráció befejeződött, a Microsoft Entra ID létrehoz egy jogkivonatot, és átirányítja az ügyfelet az alkalmazásba. A címtárban létrejön egy ügyfélfiók az ügyfél számára.

Regisztrációs és bejelentkezési felhasználói folyamat

A regisztráció és a bejelentkezési élmény tervezésekor határozza meg a követelményeket:

  • Felhasználói folyamatok száma. Minden alkalmazáshoz csak egy regisztrációs és bejelentkezési felhasználói folyamat tartozhat. Ha több alkalmazással rendelkezik, mindegyikhez használhat egyetlen felhasználói folyamatot. Vagy ha az egyes alkalmazásokhoz eltérő felhasználói élményt szeretne, több felhasználói folyamatot is létrehozhat. Külső bérlőnként legfeljebb 10 felhasználói folyamat lehet.

  • Céges arculati és nyelvi testreszabások. Bár a 4. lépés későbbi részében ismertetjük a céges védjegyzés és a nyelvi testreszabás konfigurálását, bármikor konfigurálhatja őket, akár azelőtt, akár azt követően, hogy egy alkalmazást integrál egy felhasználói folyamattal. Ha a felhasználói folyamat létrehozása előtt konfigurálja a céges védjegyezést, a bejelentkezési oldalak tükrözik ezt a védjegyzést. Ellenkező esetben a bejelentkezési lapok az alapértelmezett, semleges védjegyzést tükrözik.

  • Gyűjtendő attribútumok. A felhasználói folyamat beállításai között választhat az ügyfelektől begyűjtendő beépített felhasználói attribútumok közül. Az ügyfél a regisztrációs oldalon adja meg az adatokat, és a profiljukkal együtt tárolja őket a címtárban. Ha további információkat szeretne gyűjteni, egyéni attribútumokat határozhat meg, és hozzáadhatja őket a felhasználói folyamathoz.

  • A használati feltételek jóváhagyása. Egyéni felhasználói attribútumokkal kérheti a felhasználókat, hogy fogadják el a használati feltételeket. Hozzáadhat például jelölőnégyzeteket a regisztrációs űrlaphoz, és hivatkozásokat is tartalmazhat a használati feltételekre és az adatvédelmi szabályzatokra.

  • A jogkivonat-jogcímekre vonatkozó követelmények. Ha az alkalmazás konkrét felhasználói attribútumokat igényel, felveheti őket az alkalmazásnak küldött jogkivonatba.

  • Közösségi identitásszolgáltatók. Beállíthat közösségi identitásszolgáltatókat a Google és a Facebook számára, majd felveheti őket a felhasználói folyamatba bejelentkezési lehetőségként.

Felhasználói folyamat integrálása az alkalmazással

4. lépés: A bejelentkezés testreszabása és védelme

A beállítási folyamat 4. lépését bemutató ábra.

A vállalati védjegyzés, a nyelvi testreszabások és az egyéni bővítmények konfigurálásának tervezésekor vegye figyelembe a következő szempontokat:

  • Céges arculat. Egy új külső bérlő létrehozása után testre szabhatja a webes alkalmazások megjelenését a bejelentkező vagy regisztráló ügyfelek számára, hogy személyre szabhassák a végfelhasználói élményt. A Microsoft Entra-azonosítóban az alapértelmezett Microsoft-márkajelzés jelenik meg a bejelentkezési oldalakon, mielőtt testre szabja a beállításokat. Ez a márkajelzés a bérlőre vonatkozó összes bejelentkezésre érvényes globális megjelenést és érzést képviseli. További információ a bejelentkezési megjelenés testreszabásáról.

  • A hitelesítési jogkivonat jogcímeinek kiterjesztése. A külső azonosító a rugalmasság érdekében lett kialakítva. Egyéni hitelesítési bővítmény használatával a külső rendszerekből származó jogcímeket az alkalmazás jogkivonatához is hozzáadhatja, mielőtt a jogkivonatot kibocsátanák az alkalmazásnak. További információ a saját üzleti logika egyéni hitelesítési bővítményekkel való hozzáadásáról.

  • Többtényezős hitelesítés (MFA). Az alkalmazáshozzáférés biztonságát az MFA kényszerítésével is engedélyezheti, amely egy kritikus második biztonsági réteget ad hozzá a felhasználói bejelentkezésekhez azáltal, hogy egyszeri pin-kódon keresztüli ellenőrzést igényel. További információ az ügyfelek MFA-járól.

  • Natív hitelesítés. A natív hitelesítés lehetővé teszi a felhasználói felület üzemeltetését az ügyfélalkalmazásban ahelyett, hogy a hitelesítést a böngészőkre delegálja. További információ a natív hitelesítésről a külső azonosítóban.

  • Biztonság és irányítás. Ismerje meg a külső bérlőben elérhető biztonsági és szabályozási funkciókat, például az Identity Protectiont.

A bejelentkezés testreszabása és védelme

Következő lépések