Merencanakan identitas pelanggan dan manajemen akses

MICROSOFT Entra External ID adalah solusi yang dapat disesuaikan dan dapat diperluas untuk menambahkan identitas pelanggan dan manajemen akses (CIAM) ke aplikasi Anda. Karena dibangun di platform Microsoft Entra, Anda mendapat manfaat dari konsistensi dalam integrasi aplikasi, manajemen penyewa, dan operasi di seluruh skenario tenaga kerja dan pelanggan Anda. Saat merancang konfigurasi Anda, penting untuk memahami komponen penyewa eksternal dan fitur Microsoft Entra yang tersedia untuk skenario pelanggan Anda.

Artikel ini menyediakan kerangka kerja umum untuk mengintegrasikan aplikasi Anda dan mengonfigurasi ID Eksternal Microsoft Entra. Ini menjelaskan kemampuan yang tersedia di penyewa eksternal dan menguraikan pertimbangan perencanaan penting untuk setiap langkah dalam integrasi Anda.

Menambahkan rincian masuk yang aman ke aplikasi Anda dan menyiapkan identitas pelanggan dan manajemen akses melibatkan empat langkah utama:

Artikel ini menjelaskan masing-masing langkah ini dan menguraikan pertimbangan perencanaan penting. Dalam tabel berikut, pilih Langkah untuk detail dan pertimbangan perencanaan, atau buka langsung panduan Cara penggunaan.

Langkah	Panduan cara kerja
Langkah 1: Membuat penyewa eksternal	• Buat penyewa eksternal• Atau mulai uji coba gratis
Langkah 2: Daftarkan aplikasi Anda	• Daftarkan aplikasi Anda
Langkah 3: Mengintegrasikan alur masuk dengan aplikasi Anda	• Buat alur pengguna• Tambahkan aplikasi Anda ke alur pengguna
Langkah 4: Menyesuaikan dan mengamankan rincian masuk Anda	• Sesuaikan branding • Tambahkan idP • Kumpulkan atribut selama pendaftaran • Tambahkan atribut ke token • Tambahkan autentikasi multifaktor (MFA)

Langkah 1: Membuat penyewa eksternal

Penyewa eksternal adalah sumber daya pertama yang perlu Anda buat untuk mulai menggunakan MICROSOFT Entra External ID. Penyewa eksternal Anda adalah tempat Anda mendaftarkan aplikasi Anda. Ini juga berisi direktori tempat Anda mengelola identitas dan akses pelanggan, terpisah dari penyewa tenaga kerja Anda.

Saat membuat penyewa eksternal, Anda bisa mengatur lokasi geografis dan nama domain yang benar. Jika saat ini Anda menggunakan Azure AD B2C, model tenaga kerja dan penyewa eksternal baru tidak memengaruhi penyewa Azure AD B2C yang sudah ada.

Akun pengguna di penyewa eksternal

Direktori di penyewa eksternal berisi akun admin dan pengguna pelanggan. Anda dapat membuat dan mengelola akun admin untuk penyewa eksternal Anda. Akun pelanggan biasanya dibuat melalui pendaftaran layanan mandiri, tetapi Anda dapat membuat dan mengelola akun lokal pelanggan.

Akun pelanggan memiliki sekumpulan izin default. Pelanggan dibatasi untuk mengakses informasi tentang pengguna lain di penyewa eksternal. Secara default, pelanggan tidak dapat mengakses informasi tentang pengguna, grup, atau perangkat lain.

Cara membuat penyewa eksternal

• Buat penyewa eksternal di pusat admin Microsoft Entra.

• Jika Anda belum memiliki penyewa Microsoft Entra dan ingin mencoba MICROSOFT Entra External ID, sebaiknya gunakan pengalaman memulai untuk memulai uji coba gratis.

Langkah 2: Daftarkan aplikasi Anda

Sebelum aplikasi Anda dapat berinteraksi dengan MICROSOFT Entra External ID, Anda perlu mendaftarkannya di penyewa eksternal Anda. MICROSOFT Entra ID melakukan manajemen identitas dan akses hanya untuk aplikasi terdaftar. Mendaftarkan aplikasi Anda membangun hubungan kepercayaan dan memungkinkan Anda untuk mengintegrasikan aplikasi Anda dengan ID Eksternal Microsoft Entra.

Kemudian, untuk menyelesaikan hubungan kepercayaan antara ID Microsoft Entra dan aplikasi, Anda memperbarui kode sumber aplikasi dengan nilai yang ditetapkan selama pendaftaran aplikasi, seperti ID aplikasi (klien), subdomain direktori (penyewa), dan rahasia klien.

Kami menyediakan panduan sampel kode dan panduan integrasi mendalam untuk beberapa jenis aplikasi dan bahasa. Bergantung pada jenis aplikasi yang ingin Anda daftarkan, Anda dapat menemukan panduan di halaman Sampel berdasarkan jenis aplikasi dan bahasa kami.

Cara mendaftarkan aplikasi Anda

• Temukan panduan khusus untuk aplikasi yang ingin Anda daftarkan di halaman Sampel berdasarkan jenis aplikasi dan bahasa kami.

• Jika kami tidak memiliki panduan khusus untuk platform atau bahasa Anda, lihat instruksi umum untuk mendaftarkan aplikasi di penyewa eksternal.

Langkah 3: Mengintegrasikan alur masuk dengan aplikasi Anda

Setelah Menyiapkan penyewa eksternal dan mendaftarkan aplikasi, buat alur pengguna pendaftaran dan masuk. Kemudian integrasikan aplikasi Anda dengan alur pengguna sehingga siapa pun yang mengaksesnya melewati pengalaman pendaftaran dan masuk yang telah Anda rancang.

Untuk mengintegrasikan aplikasi Anda dengan alur pengguna, Anda menambahkan aplikasi ke properti alur pengguna dan memperbarui kode aplikasi Anda dengan informasi penyewa dan titik akhir otorisasi Anda.

Alur autentikasi

Saat pelanggan mencoba masuk ke aplikasi Anda, aplikasi mengirimkan permintaan otorisasi ke titik akhir yang Anda berikan saat mengaitkan aplikasi dengan alur pengguna. Alur pengguna menentukan dan mengontrol pengalaman masuk pelanggan.

Jika pengguna masuk untuk pertama kalinya, mereka disajikan dengan pengalaman pendaftaran. Mereka memasukkan informasi berdasarkan atribut pengguna bawaan atau kustom yang telah Anda pilih untuk dikumpulkan.

Setelah pendaftaran selesai, MICROSOFT Entra ID menghasilkan token dan mengalihkan pelanggan ke aplikasi Anda. Akun pelanggan dibuat untuk pelanggan di direktori.

Alur pengguna pendaftaran dan masuk

Saat merencanakan pengalaman pendaftaran dan masuk Anda, tentukan persyaratan Anda:

• Jumlah alur pengguna. Setiap aplikasi hanya dapat memiliki satu alur pengguna pendaftaran dan masuk. Jika Anda memiliki beberapa aplikasi, Anda dapat menggunakan satu alur pengguna untuk semuanya. Atau, jika Anda menginginkan pengalaman yang berbeda untuk setiap aplikasi, Anda dapat membuat beberapa alur pengguna. Maksimum adalah 10 alur pengguna per penyewa eksternal.

• Penyesuaian merek dan bahasa perusahaan. Meskipun kami menjelaskan cara mengonfigurasi penyesuaian merek dan bahasa perusahaan nanti di Langkah 4, Anda dapat mengonfigurasinya kapan saja, baik sebelum atau sesudah mengintegrasikan aplikasi dengan alur pengguna. Jika Anda mengonfigurasi branding perusahaan sebelum membuat alur pengguna, halaman masuk mencerminkan branding tersebut. Jika tidak, halaman masuk mencerminkan branding netral default.

• Atribut yang akan dikumpulkan. Di pengaturan alur pengguna, Anda dapat memilih dari sekumpulan atribut pengguna bawaan yang ingin Anda kumpulkan dari pelanggan. Pelanggan memasukkan informasi di halaman pendaftaran, dan disimpan bersama profil mereka di direktori Anda. Jika Anda ingin mengumpulkan informasi lebih lanjut, Anda dapat menentukan atribut kustom dan menambahkannya ke alur pengguna Anda.

• Persetujuan syarat dan ketentuan. Anda dapat menggunakan atribut pengguna kustom untuk meminta pengguna menerima syarat dan ketentuan Anda. Misalnya, Anda dapat menambahkan kotak centang ke formulir pendaftaran dan menyertakan tautan ke ketentuan penggunaan dan kebijakan privasi Anda.

• Persyaratan untuk klaim token. Jika aplikasi Anda memerlukan atribut pengguna tertentu, Anda dapat menyertakannya dalam token yang dikirim ke aplikasi Anda.

• Penyedia identitas sosial. Anda dapat menyiapkan idP sosial Google dan Facebook lalu menambahkannya ke alur pengguna Anda sebagai opsi masuk.

Cara mengintegrasikan alur pengguna dengan aplikasi Anda

• Jika Anda ingin mengumpulkan informasi dari pelanggan di luar atribut pengguna bawaan, tentukan atribut kustom sehingga tersedia saat Anda mengonfigurasi ke alur pengguna Anda.

• Buat alur pengguna pendaftaran dan masuk untuk pelanggan.

• Tambahkan aplikasi Anda ke alur pengguna.

Langkah 4: Menyesuaikan dan mengamankan rincian masuk Anda

Saat merencanakan untuk mengonfigurasi branding perusahaan, kustomisasi bahasa, dan ekstensi kustom, pertimbangkan poin-poin berikut:

• Branding perusahaan. Setelah membuat penyewa eksternal baru, Anda dapat menyesuaikan tampilan aplikasi berbasis web Anda untuk pelanggan yang masuk atau mendaftar, untuk mempersonalisasi pengalaman pengguna akhir mereka. Di ID Microsoft Entra, merek Microsoft default muncul di halaman masuk Anda sebelum Anda menyesuaikan pengaturan apa pun. Pencitraan merek ini mewakili tampilan dan nuansa global yang berlaku di semua kredensial masuk penyewa Anda. Pelajari selengkapnya tentang menyesuaikan tampilan dan nuansa masuk.

• Memperluas klaim token autentikasi. MICROSOFT Entra External ID dirancang untuk fleksibilitas. Anda dapat menggunakan ekstensi autentikasi kustom untuk menambahkan klaim dari sistem eksternal ke token aplikasi tepat sebelum token dikeluarkan ke aplikasi. Pelajari selengkapnya tentang menambahkan logika bisnis Anda sendiri dengan ekstensi autentikasi kustom.

• Autentikasi multifaktor (MFA). Anda juga dapat mengaktifkan keamanan akses aplikasi dengan memberlakukan MFA, yang menambahkan lapisan keamanan kedua yang penting untuk masuk pengguna dengan memerlukan verifikasi melalui kode akses satu kali email. Pelajari selengkapnya tentang MFA untuk pelanggan.

• Autentikasi asli. Autentikasi asli memungkinkan Anda menghosting antarmuka pengguna di aplikasi klien alih-alih mendelegasikan autentikasi ke browser. Pelajari selengkapnya tentang autentikasi asli di MICROSOFT Entra External ID.

• Keamanan dan tata kelola. Pelajari tentang fitur keamanan dan tata kelola yang tersedia di penyewa eksternal Anda, seperti Perlindungan Identitas.

Cara menyesuaikan dan mengamankan rincian masuk Anda

• Menyesuaikan branding
• Menambahkan idP
• Mengumpulkan atribut selama pendaftaran
• Menambahkan atribut ke token
• Menambahkan autentikasi multifaktor

Langkah berikutnya

• Mulai uji coba gratis atau buat penyewa eksternal Anda.
• Temukan sampel dan panduan untuk mengintegrasikan aplikasi Anda.
• Lihat juga Pusat Pengembang ID Eksternal Microsoft Entra untuk konten dan sumber daya pengembang terbaru.