Id-providers voor externe tenants
Van toepassing op: Externe tenants van werknemers (meer informatie)
Tip
Dit artikel is van toepassing op externe id in externe tenants. Zie Id-providers voor externe id's in personeelstenants voor informatie over tenants voor werknemers.
Met Microsoft Entra Externe ID kunt u veilige, aangepaste aanmeldingservaringen maken voor uw consumenten- en zakelijke klantgerichte apps. In een externe tenant zijn er verschillende manieren waarop gebruikers zich kunnen registreren voor uw app. Ze kunnen een account maken met behulp van hun e-mail en een wachtwoord of een eenmalige wachtwoordcode. Of als u aanmelding inschakelt met Facebook en Google, kunnen ze zich aanmelden met hun eigen sociale account.
In dit artikel worden de id-providers beschreven die beschikbaar zijn voor primaire verificatie bij het registreren en aanmelden bij apps in externe tenants. U kunt de beveiliging ook verbeteren door een MFA-beleid (MultiFactor Authentication) af te dwingen waarvoor telkens wanneer een gebruiker zich aanmeldt een tweede vorm van verificatie vereist (meer informatie).
Aanmelding via e-mail en wachtwoord
Registreren met e-mailadres staat standaard ingeschakeld in de instellingen van de id-provider voor uw lokale account. Met de e-mailoptie kunnen klanten zich registreren en aanmelden met hun e-mailadres en een wachtwoord.
Registreren: klanten worden gevraagd om een e-mailadres, dat wordt geverifieerd bij het registreren met een eenmalige wachtwoordcode. De klant voert vervolgens alle andere informatie in die op de registratiepagina wordt gevraagd, bijvoorbeeld de weergavenaam, de voornaam en de achternaam. Vervolgens selecteren ze Doorgaan om een account te maken.
Aanmelden: Nadat de klant zich heeft geregistreerd en een account heeft gemaakt, kunnen ze zich aanmelden door hun e-mailadres en wachtwoord in te voeren.
Wachtwoord opnieuw instellen: als u e-mail en aanmelding met een wachtwoord inschakelt, wordt er een koppeling voor wachtwoordherstel weergegeven op de wachtwoordpagina. Als de klant zijn wachtwoord vergeet, verzendt het selecteren van deze koppeling een eenmalige wachtwoordcode naar het e-mailadres. Na verificatie kan de klant een nieuw wachtwoord kiezen.
Wanneer u een gebruikersstroom voor registreren en aanmelden maakt, is e-mail met wachtwoord de standaardoptie.
E-mail met eenmalige aanmeldingscode
E-mail met eenmalige wachtwoordcode is een optie in de instellingen van uw lokale account-id-provider. Met deze optie meldt de klant zich aan met een tijdelijke wachtwoordcode in plaats van een opgeslagen wachtwoord telkens wanneer ze zich aanmelden.
Registreren: Klanten kunnen zich registreren met hun e-mailadres en een tijdelijke code aanvragen, die naar hun e-mailadres wordt verzonden. Vervolgens voert de gastgebruiker deze code in om door te gaan met aanmelden.
Aanmelden: Nadat de klant zich heeft geregistreerd en een account heeft gemaakt, voert hij/zij telkens wanneer hij zich aanmeldt zijn e-mailadres in en ontvangt hij een tijdelijke wachtwoordcode.
U kunt ook opties voor het weergeven, verbergen of aanpassen van de selfservicekoppeling voor wachtwoordherstel op de aanmeldingspagina configureren (meer informatie).
Wanneer u een gebruikersstroom voor registreren en aanmelden maakt, is eenmalige wachtwoordcode per e-mail een van de opties voor het lokale account.
Sociale id-providers: Facebook en Google
Voor een optimale aanmeldingservaring kunt u waar mogelijk federeren met sociale id-providers, zodat u uw klanten een naadloze aanmeldings- en aanmeldingservaring kunt bieden. In een externe tenant kunt u een klant toestaan zich te registreren en aan te melden met een eigen Facebook- of Google-account. Wanneer een klant zich registreert voor uw app met behulp van zijn of haar sociale account, maakt, onderhoudt en beheert de provider van sociale identiteiten identiteitsgegevens en levert deze verificatieservices aan toepassingen.
Wanneer u sociale id-providers inschakelt, kunnen klanten kiezen uit de opties voor sociale id-providers die u beschikbaar maakt op de registratiepagina. Als u sociale id-providers in uw externe tenant wilt instellen, maakt u een toepassing bij de id-provider en configureert u referenties. U verkrijgt een client- of app-id en een client- of app-geheim, die u vervolgens kunt toevoegen aan uw externe tenant.
Google-aanmelding (preview)
Door federatie met Google in te stellen, kunt u klanten toestaan zich met hun eigen Gmail-account aan te melden bij uw toepassingen. Nadat u Google hebt toegevoegd als een van de aanmeldingsopties van uw toepassing, kunnen gebruikers zich op de aanmeldingspagina aanmelden bij Microsoft Entra Externe ID met een Google-account.
In de volgende schermafbeeldingen ziet u de aanmelding met Google. Op de aanmeldingspagina selecteren gebruikers Aanmelden met Google. Op dat moment wordt de gebruiker omgeleid naar de Google-id-provider om de aanmelding te voltooien.
Meer informatie over het toevoegen van Google als id-provider.
Aanmelden bij Facebook (preview)
Door federatie met Facebook in te stellen, kunt u toestaan dat uitgenodigde gebruikers zich met hun eigen Facebook-account aanmelden bij uw toepassingen. Nadat u Facebook hebt toegevoegd als een van de aanmeldingsopties van uw toepassing, kunnen gebruikers zich op de aanmeldingspagina aanmelden bij Microsoft Entra Externe ID met een Facebook-account.
In de volgende schermafbeeldingen ziet u de aanmelding met Facebook. Op de aanmeldingspagina selecteren gebruikers Aanmelden met Facebook. Vervolgens wordt de gebruiker omgeleid naar de Facebook-id-provider om de aanmelding te voltooien.
Meer informatie over het toevoegen van Facebook als id-provider.
Aanmeldingsmethoden bijwerken
U kunt de aanmeldingsopties voor een app op elk gewenst moment bijwerken. U kunt bijvoorbeeld sociale id-providers toevoegen of de aanmeldingsmethode voor het lokale account wijzigen.
Wanneer u aanmeldingsmethoden wijzigt, is de wijziging alleen van invloed op nieuwe gebruikers. Bestaande gebruikers blijven zich aanmelden met hun oorspronkelijke methode. Stel dat u begint met de aanmeldingsmethode voor e-mail en wachtwoord en vervolgens overschakelen naar e-mail met eenmalige wachtwoordcode. Nieuwe gebruikers melden zich aan met een eenmalige wachtwoordcode, maar alle gebruikers die zich al hebben geregistreerd met een e-mailadres en wachtwoord, worden nog steeds gevraagd om hun e-mailadres en wachtwoord.
Microsoft Graph API's
De volgende Microsoft Graph API-bewerkingen worden ondersteund voor het beheren van id-providers en verificatiemethoden in Microsoft Entra Externe ID:
- Als u wilt bepalen welke id-providers en verificatiemethoden worden ondersteund, roept u de API List availableProviderTypes aan.
- Als u de id-providers en verificatiemethoden wilt identificeren die al zijn geconfigureerd en ingeschakeld in de tenant, roept u de List identityProviders-API aan.
- Als u een ondersteunde id-provider of verificatiemethode wilt inschakelen, roept u de API create identityProvider aan.