Provider di identità per External ID nel tenant delle risorse
Si applica a: Tenant delle risorse Tenant esterni (Ulteriori informazioni)
Suggerimento
Questo articolo riguarda la collaborazione B2B nei tenant delle risorse. Per informazioni sui tenant esterni, consultare la sezione Metodi di autenticazione e provider di identità nei tenant esterni.
Un provider di identità crea, mantiene e gestisce le informazioni sulle identità fornendo al contempo servizi di autenticazione alle applicazioni. Quando si condividono le proprie app e risorse con utenti esterni, Microsoft Entra ID è il provider di identità predefinito per la condivisione. Se si invita un utente esterno che ha già un account Microsoft Entra o un account Microsoft, l'utente può accedere automaticamente senza necessità di ulteriori operazioni di configurazione.
External ID mette a disposizione vari provider di identità.
Account di Microsoft Entra: Gli utenti ospiti possono utilizzare i loro account di Microsoft Entra aziendali o scolastici per riscattare gli inviti di collaborazione B2B o completare i flussi utente di registrazione. Microsoft Entra ID è uno dei provider di identità consentiti per impostazione predefinita. Non sono necessarie ulteriori operazioni di configurazione per rendere disponibile questo provider di identità ai flussi utente.
Account di Microsoft: Gli utenti ospiti possono usare il proprio account Microsoft personale (MSA) per riscattare gli inviti alla collaborazione B2B. Quando si configura un flusso utente di registrazione self-service, è possibile aggiungere l'opzione Microsoft Account come opzione per i provider di identità consentiti. Non sono necessarie ulteriori operazioni di configurazione per rendere disponibile questo provider di identità ai flussi utente.
Codice di accesso monouso via e-mail: Quando un ospite riscatta un invito o accede a una risorsa condivisa, può richiedere un codice temporaneo. Il codice viene inviato al suo indirizzo e-mail. Quindi immette tale codice per continuare ad accedere. Il codice di accesso monouso via e-mail consente agli gli utenti B2B ospiti di autenticarsi quando l'autenticazione non è possibile in altri modi. Quando si configura un flusso utente di registrazione self-service, è possibile aggiungere l'opzione Codice di accesso monouso via e-mail come opzione per i provider di identità consentiti. Sono necessarie alcune operazioni di configurazione; consultare la sezione Autenticazione con codice di accesso monouso via e-mail.
Google: La federazione di Google consente agli utenti esterni di riscattare gli inviti accedendo alle app con i propri account di Gmail. Federazione Google può essere usato anche nei flussi utente di iscrizione self-service. Ecco come aggiungere Google come provider di identità.
Importante
- dal 12 luglio 2021, se i clienti di Microsoft Entra B2B impostano nuove integrazioni di Google da utilizzare con la registrazione self-service per le loro applicazioni personalizzate o aziendali, l'autenticazione con le identità di Google non funzionerà finché le autenticazioni vengono spostate nelle web-view del sistema. Altre informazioni.
- Dal 30 settembre 2021, Google sta dismettendo il supporto per l'accesso con web-view incorporata. Se le tue app autenticano gli utenti con una web-view incorporata e utilizzi la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o la registrazione self-service, gli utenti di Gmail non potranno autenticarsi. Altre informazioni.
Facebook: Quando si crea un'app è possibile configurare la registrazione self-service e abilitare la federazione di Facebook in modo che gli utenti possano registrarsi sull'app utilizzando i propri account Facebook. Facebook può essere usato solo per i flussi utente di iscrizione self-service e non è disponibile come opzione di accesso quando gli utenti riscattano gli inviti. Ecco come aggiungere Facebook come provider di identità.
Federazione provider di identità SAML/WS-Fed: È anche possibile configurare la federazione con qualsiasi IdP esterno che supporti i protocolli SAML o WS-Fed. La federazione con IdP SAML/WS-Fed consente agli utenti esterni di riscattare gli inviti accedendo alle app con i propri account dei social o aziendali. Ecco come configurare la federazione con IdP SAML/WS-Fed.
Nota
Gli IdP federati SAML/WS-Fed non si possono usare nei flussi utente di registrazione self-service.
Per configurare la federazione con Google, Facebook o un provider di identità SAML/Ws-Fed è necessario essere almeno un Amministratore di un provider di identità esterno nel tenant di Microsoft Entra.
Aggiunta di un social network come provider di identità
Microsoft Entra ID è abilitato per impostazione predefinita per la registrazione self-service, quindi gli utenti hanno sempre la possibilità di registrarsi usando un account di Microsoft Entra. Puoi però abilitare altri provider di identità, compresi quelli basati sui social network come Google o Facebook. Per configurare i provider di identità social nel tenant di Microsoft Entra si crea un'applicazione presso il provider di identità e si configurano le credenziali. Si ottiene un ID per un client o l'app e un segreto per il client o l'app, che si possono quindi aggiungere al tenant di Microsoft Entra.
Dopo aver aggiunto un provider di identità al tenant di Microsoft Entra:
Quando si invita un utente esterno in app o risorse all'interno dell'organizzazione, l'utente esterno può accedere usando il proprio account con tale provider di identità.
Quando si abilita la registrazione self-service per le app, gli utenti esterni possono registrarsi su tali app usando i propri account presso i provider di identità aggiunti. Possono selezionare le opzioni dei provider di identità social rese disponibili nella pagina di registrazione:
Per un'esperienza di accesso ottimale, creare la federazione con provider di identità ogni volta che sia possibile, in modo da offrire agli utenti guest invitati un'esperienza di accesso trasparente al momento dell'accesso alle app.
Passaggi successivi
Per informazioni su come aggiungere provider di identità per l'accesso alle applicazioni, fare riferimento agli articoli seguenti:
- Aggiungere l'autenticazione con codice di accesso monouso via e-mail
- Aggiungere Google come provider di identità social consentito
- Aggiungere Facebook come provider di identità social consentito
- Configurare la federazione degli IdP SAML/WS-Fed con qualsiasi organizzazione il cui provider di identità supporti il protocollo SAML 2.0 o WS-Fed. La federazione degli IdP SAML/WS-Fed non è utilizzabile per i flussi utente di registrazione self-service.