Provider di identità per ID esterno

  • Articolo

Suggerimento

Questo articolo si applica ai provider di identità di Collaborazione B2B. Se il tenant è configurato per la gestione delle identità e degli accessi dei clienti, vedere Metodi di autenticazione e provider di identità per i clienti.

Un provider di identità crea, mantiene e gestisce le informazioni sulle identità fornendo al contempo servizi di autenticazione alle applicazioni. Quando si condividono le app e le risorse con utenti esterni, Microsoft Entra ID è il provider di identità predefinito per la condivisione. Se si invita un utente esterno che ha già un account Microsoft Entra o un account Microsoft, può accedere automaticamente senza ulteriori configurazioni da parte dell'utente.

L'ID esterno offre diversi provider di identità.

  • Account Microsoft Entra: gli utenti guest possono usare gli account Microsoft Entra aziendale o dell'istituto di istruzione per riscattare gli inviti di Collaborazione B2B o completare i flussi utente di iscrizione. Microsoft Entra ID è uno dei provider di identità consentiti per impostazione predefinita. Non sono necessarie altre configurazioni per rendere disponibile questo provider di identità per i flussi utente.

  • Account Microsoft: gli utenti guest possono usare il proprio account Microsoft personale (MSA) per riscattare gli inviti di Collaborazione B2B. Quando si configura un flusso utente di iscrizione self-service, è possibile aggiungere l'account Microsoft come uno dei provider di identità consentiti. Non sono necessarie altre configurazioni per rendere disponibile questo provider di identità per i flussi utente.

  • Passcode monouso tramite posta elettronica: quando un guest riscatta un invito o accede a una risorsa condivisa, può richiedere un codice temporaneo. Questo codice viene inviato al proprio indirizzo di posta elettronica. Quindi immette tale codice per continuare ad accedere. La funzionalità passcode monouso tramite posta elettronica autentica gli utenti guest B2B quando non possono essere autenticati tramite altri mezzi. Quando si configura un flusso utente di iscrizione self-service, è possibile aggiungere un passcode monouso tramite posta elettronica come uno dei provider di identità consentiti. Alcune configurazioni sono necessarie; vedere Autenticazione con passcode monouso tramite posta elettronica.

  • Google: la federazione di Google consente agli utenti esterni di riscattare gli inviti da te accedendo alle tue app con i propri account Gmail. Federazione Google può essere usato anche nei flussi utente di iscrizione self-service. Scopri come aggiungere Google come provider di identità.

    Importante

    • A partire dal 12 luglio 2021, se i clienti di Microsoft Entra B2B configurano nuove integrazioni di Google per l'uso con l'iscrizione self-service per le applicazioni personalizzate o line-of-business, l'autenticazione con identità Google non funzionerà finché le autenticazioni non verranno spostate nelle visualizzazioni Web di sistema. Altre informazioni.
    • A partire dal 30 settembre 2021, Google deprecato il supporto per l'accesso alla visualizzazione Web incorporato. Se le app autenticano gli utenti con una visualizzazione Web incorporata e si usa la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o l'iscrizione self-service, gli utenti di Google Gmail non saranno in grado di eseguire l'autenticazione. Altre informazioni.

  • Facebook: quando si crea un'app, è possibile configurare l'iscrizione self-service e abilitare la federazione di Facebook in modo che gli utenti possano iscriversi all'app usando i propri account Facebook. Facebook può essere usato solo per i flussi utente di iscrizione self-service e non è disponibile come opzione di accesso quando gli utenti riscattano gli inviti. Scopri come aggiungere Facebook come provider di identità.

  • Federazione del provider di identità SAML/WS-Fed: è anche possibile configurare la federazione con qualsiasi IdP esterno che supporta i protocolli SAML o WS-Fed. La federazione SAML/WS-Fed IdP consente agli utenti esterni di riscattare gli inviti accedendo alle app con gli account social o aziendali esistenti. Vedere come configurare la federazione SAML/WS-Fed IdP.

    Nota

    Gli IDP SAML/WS-Fed federati non possono essere usati nei flussi utente di iscrizione self-service.

Per configurare la federazione con Google, Facebook o un provider di identità SAML/Ws-Fed, è necessario essere un provider di identità esterno Amministrazione istrator o un Amministrazione istrator globale nel tenant di Microsoft Entra.

Aggiunta di provider di identità di social networking

Microsoft Entra ID è abilitato per impostazione predefinita per l'iscrizione self-service, quindi gli utenti hanno sempre la possibilità di iscriversi usando un account Microsoft Entra. Tuttavia, è possibile abilitare altri provider di identità, inclusi provider di identità di social networking come Google o Facebook. Per configurare i provider di identità di social networking nel tenant di Microsoft Entra, creare un'applicazione nel provider di identità e configurare le credenziali. Si ottiene un ID client o app e un segreto client o app, che è quindi possibile aggiungere al tenant di Microsoft Entra.

Dopo aver aggiunto un provider di identità al tenant di Microsoft Entra:

  • Quando si invita un utente esterno in app o risorse all'interno dell'organizzazione, l'utente esterno può accedere usando il proprio account con tale provider di identità.

  • Quando si abilita l'iscrizione self-service per le app, gli utenti esterni possono iscriversi alle app usando i propri account con i provider di identità aggiunti. Possono selezionare tra le opzioni dei provider di identità di social networking rese disponibili nella pagina di iscrizione:

    Screenshot che illustra la schermata di accesso con le opzioni Google e Facebook

Per un'esperienza di accesso ottimale, creare la federazione con provider di identità ogni volta che sia possibile, in modo da offrire agli utenti guest invitati un'esperienza di accesso trasparente al momento dell'accesso alle app.

Passaggi successivi

Per informazioni su come aggiungere provider di identità per l'accesso alle applicazioni, fare riferimento agli articoli seguenti: