Verificatiemethoden en id-providers in externe tenants

Tip

Dit artikel is van toepassing op externe id in externe tenants. Zie Id-providers voor externe id's in personeelstenants voor informatie over tenants voor werknemers.

Met Microsoft Entra Externe ID kunt u veilige, aangepaste aanmeldingservaringen maken voor uw consumenten- en zakelijke klantgerichte apps. In een externe tenant zijn er verschillende manieren waarop gebruikers zich kunnen registreren voor uw app. Ze kunnen een account maken met behulp van hun e-mail en een wachtwoord of een eenmalige wachtwoordcode. Of als u aanmelding inschakelt met Facebook en Google, kunnen ze zich aanmelden met hun eigen sociale account. U kunt ook een beveiligingslaag toevoegen door meervoudige verificatie (MFA) af te dwingen, zodat elke keer dat een gebruiker zich aanmeldt, een eenmalige wachtwoordcode moet opgeven voor verificatie.

In dit artikel worden de verificatiemethoden en id-providers beschreven die beschikbaar zijn in externe tenants.

Aanmelding via e-mail en wachtwoord

Registreren met e-mailadres staat standaard ingeschakeld in de instellingen van de id-provider voor uw lokale account. Met de e-mailoptie kunnen klanten zich registreren en aanmelden met hun e-mailadres en een wachtwoord.

• Registreren: klanten worden gevraagd om een e-mailadres, dat wordt geverifieerd bij het registreren met een eenmalige wachtwoordcode. De klant voert vervolgens alle andere informatie in die op de registratiepagina wordt gevraagd, bijvoorbeeld de weergavenaam, de voornaam en de achternaam. Vervolgens selecteren ze Doorgaan om een account te maken.

• Aanmelden: Nadat de klant zich heeft geregistreerd en een account heeft gemaakt, kunnen ze zich aanmelden door hun e-mailadres en wachtwoord in te voeren.

• Wachtwoord opnieuw instellen: als u e-mail en aanmelding met een wachtwoord inschakelt, wordt er een koppeling voor wachtwoordherstel weergegeven op de wachtwoordpagina. Als de klant zijn wachtwoord vergeet, verzendt het selecteren van deze koppeling een eenmalige wachtwoordcode naar het e-mailadres. Na verificatie kan de klant een nieuw wachtwoord kiezen.

  

Wanneer u een gebruikersstroom voor registreren en aanmelden maakt, is e-mail met wachtwoord de standaardoptie.

E-mail met eenmalige aanmeldingscode

E-mail met eenmalige wachtwoordcode is een optie in de instellingen van uw lokale account-id-provider. Met deze optie meldt de klant zich aan met een tijdelijke wachtwoordcode in plaats van een opgeslagen wachtwoord telkens wanneer ze zich aanmelden.

• Registreren: Klanten kunnen zich registreren met hun e-mailadres en een tijdelijke code aanvragen, die naar hun e-mailadres wordt verzonden. Vervolgens voert de gastgebruiker deze code in om door te gaan met aanmelden.

• Aanmelden: Nadat de klant zich heeft geregistreerd en een account heeft gemaakt, voert hij/zij zijn e-mailadres in en ontvangt deze een tijdelijke wachtwoordcode.

  

Belangrijk

Als u meervoudige verificatie (MFA) wilt inschakelen, stelt u de verificatiemethode voor uw lokale account in op E-mail met een wachtwoord. Als u de optie voor uw lokale account instelt op E-mail met eenmalige wachtwoordcode, kunnen klanten die deze methode gebruiken zich niet aanmelden omdat de eenmalige wachtwoordcode al de methode voor eenmalige aanmelding is en niet als tweede factor kan worden gebruikt. Momenteel zijn andere verificatiemethoden niet beschikbaar voor klantscenario's.

Wanneer u een gebruikersstroom voor registreren en aanmelden maakt, is eenmalige wachtwoordcode per e-mail een van de opties voor het lokale account.

Sociale id-providers: Facebook en Google

Voor een optimale aanmeldingservaring kunt u waar mogelijk federeren met sociale id-providers, zodat u uw klanten een naadloze aanmeldings- en aanmeldingservaring kunt bieden. In een externe tenant kunt u een klant toestaan zich te registreren en aan te melden met een eigen Facebook- of Google-account. Wanneer een klant zich registreert voor uw app met behulp van zijn of haar sociale account, maakt, onderhoudt en beheert de provider van sociale identiteiten identiteitsgegevens en levert deze verificatieservices aan toepassingen.

Wanneer u sociale id-providers inschakelt, kunnen klanten kiezen uit de opties voor sociale id-providers die u beschikbaar hebt gesteld op de registratiepagina. Als u sociale id-providers in uw externe tenant wilt instellen, maakt u een toepassing bij de id-provider en configureert u referenties. U verkrijgt een client- of app-id en een client- of app-geheim, die u vervolgens kunt toevoegen aan uw externe tenant.

Google-aanmelding (preview)

Door federatie met Google in te stellen, kunt u klanten toestaan zich met hun eigen Gmail-account aan te melden bij uw toepassingen. Nadat u Google hebt toegevoegd als een van de aanmeldingsopties van uw toepassing, kunnen gebruikers zich op de aanmeldingspagina aanmelden bij Microsoft Entra Externe ID met een Google-account.

In de volgende schermafbeeldingen ziet u de aanmelding met Google. Op de aanmeldingspagina selecteren gebruikers Aanmelden met Google. Op dat moment wordt de gebruiker omgeleid naar de Google-id-provider om de aanmelding te voltooien.

Meer informatie over het toevoegen van Google als id-provider.

Aanmelden bij Facebook (preview)

Door federatie met Facebook in te stellen, kunt u toestaan dat uitgenodigde gebruikers zich met hun eigen Facebook-account aanmelden bij uw toepassingen. Nadat u Facebook hebt toegevoegd als een van de aanmeldingsopties van uw toepassing, kunnen gebruikers zich op de aanmeldingspagina aanmelden bij Microsoft Entra Externe ID met een Facebook-account.

In de volgende schermafbeeldingen ziet u de aanmelding met Facebook. Op de aanmeldingspagina selecteren gebruikers Aanmelden met Facebook. Vervolgens wordt de gebruiker omgeleid naar de Facebook-id-provider om de aanmelding te voltooien.

Meer informatie over het toevoegen van Facebook als id-provider.

Aanmeldingsmethoden bijwerken

U kunt op elk gewenst moment de aanmeldingsopties bijwerken die u hebt geselecteerd voor een app. U kunt bijvoorbeeld sociale id-providers toevoegen of de aanmeldingsmethode voor het lokale account wijzigen.

Houd er rekening mee dat wanneer u aanmeldingsmethoden wijzigt, de wijziging alleen nieuwe gebruikers beïnvloedt. Bestaande gebruikers blijven zich aanmelden met hun oorspronkelijke methode. Stel dat u begint met de aanmeldingsmethode voor e-mail en wachtwoord en vervolgens overschakelen naar e-mail met eenmalige wachtwoordcode. Nieuwe gebruikers melden zich aan met een eenmalige wachtwoordcode, maar alle gebruikers die zich al hebben geregistreerd met een e-mailadres en wachtwoord, worden nog steeds gevraagd om hun e-mailadres en wachtwoord.

Microsoft Graph API's

De volgende Microsoft Graph API-bewerkingen worden ondersteund voor het beheren van id-providers en verificatiemethoden in Microsoft Entra Externe ID:

• Als u wilt bepalen welke id-providers en verificatiemethoden worden ondersteund, roept u de API List availableProviderTypes aan.
• Als u de id-providers en verificatiemethoden wilt identificeren die al zijn geconfigureerd en ingeschakeld in de tenant, roept u de List identityProviders-API aan.
• Als u een ondersteunde id-provider of verificatiemethode wilt inschakelen, roept u de API create identityProvider aan.

Volgende stappen

• Meervoudige verificatie (MFA) inschakelen
• Facebook toevoegen als id-provider
• Google toevoegen als id-provider