Opcje logowania w usłudze Azure AD B2C

Usługa Azure AD B2C oferuje kilka metod rejestracji i logowania dla użytkowników aplikacji. Gdy użytkownicy zarejestrują się w aplikacji, określisz, czy będą używać nazwy użytkownika, adresu e-mail lub numeru telefonu do tworzenia kont lokalnych w dzierżawie usługi Azure AD B2C. Można również federować z dostawcami tożsamości społecznościowych (takimi jak Facebook, LinkedIn i X) oraz standardowymi protokołami tożsamości (takimi jak OAuth 2.0, OpenID Connect i nie tylko).

Ten artykuł zawiera omówienie opcji logowania usługi Azure AD B2C.

Logowanie za pomocą poczty e-mail

Domyślna subskrypcja e-mail jest włączona w ustawieniach Twojego lokalnego dostawcy tożsamości konta. Za pomocą opcji poczty e-mail użytkownicy mogą logować się i rejestrować się przy użyciu swojego adresu e-mail i hasła.

• Logowanie: użytkownicy są monitowani o podanie adresu e-mail i hasła.
• Rejestracja: użytkownicy są monitowani o podanie adresu e-mail, który jest weryfikowany podczas rejestracji (opcjonalnie) i staje się ich identyfikatorem logowania. Następnie użytkownik wprowadza wszelkie inne informacje żądane na stronie rejestracji, na przykład nazwa wyświetlana, imię i nazwisko. Następnie wybierają pozycję Kontynuuj , aby utworzyć konto.
• Resetowanie hasła: użytkownicy wprowadzają i weryfikują swój adres e-mail, po czym użytkownik może zresetować hasło

Dowiedz się, jak skonfigurować logowanie e-mail w lokalnym dostawcy tożsamości konta.

Logowanie przy użyciu nazwy użytkownika

Dostawca tożsamości konta lokalnego zawiera opcję Nazwa użytkownika, która umożliwia użytkownikom rejestrowanie się i logowanie do aplikacji przy użyciu nazwy użytkownika i hasła.

• Logowanie: użytkownicy są monitowani o podanie nazwy użytkownika i hasła.
• Rejestracja: użytkownicy otrzymają monit o podanie nazwy użytkownika, która stanie się ich identyfikatorem logowania. Użytkownicy będą również monitowani o podanie adresu e-mail, który zostanie zweryfikowany podczas rejestracji. Adres e-mail będzie używany podczas procesu resetowania hasła. Użytkownik wprowadza wszelkie inne informacje wymagane na stronie rejestracji, na przykład Nazwa wyświetlana, Imię i Nazwisko. Następnie użytkownik wybierze pozycję Kontynuuj, aby utworzyć konto.
• Resetowanie hasła: użytkownicy muszą wprowadzić swoją nazwę użytkownika i skojarzony adres e-mail. Adres e-mail musi zostać zweryfikowany, po czym użytkownik może zresetować hasło.

Logowanie za pomocą telefonu

Logowanie za pomocą telefonu to opcja bez hasła w ustawieniach lokalnego dostawcy tożsamości konta. Ta metoda umożliwia użytkownikom zarejestrowanie się w aplikacji przy użyciu numeru telefonu jako podstawowego identyfikatora. Jednorazowe hasła są wysyłane do użytkowników za pośrednictwem wiadomości SMS. Użytkownicy będą mieli następujące doświadczenie podczas rejestracji i logowania.

• Logowanie: jeśli użytkownik ma istniejące konto z numerem telefonu jako identyfikator, użytkownik wprowadza swój numer telefonu i wybiera pozycję Zaloguj. Potwierdzają kraj/region i numer telefonu, wybierając pozycję Kontynuuj, a do telefonu jest wysyłany jednorazowy kod weryfikacyjny. Użytkownik wprowadza kod weryfikacyjny i wybiera pozycję Kontynuuj , aby się zalogować.
• Rejestracja: jeśli użytkownik nie ma jeszcze konta dla twojej aplikacji, może go utworzyć, klikając link Zarejestruj się teraz .
  1. Zostanie wyświetlona strona rejestracji, na której użytkownik wybierze swój kraj, wprowadzi swój numer telefonu i wybierze pozycję Wyślij kod.
  2. Jednorazowy kod weryfikacyjny jest wysyłany do numeru telefonu użytkownika. Użytkownik wprowadza kod weryfikacyjny na stronie rejestracji, a następnie wybiera pozycję Weryfikuj kod. (Jeśli użytkownik nie może pobrać kodu, może wybrać pozycję Wyślij nowy kod).
  3. Użytkownik wprowadza wszelkie inne informacje wymagane na stronie rejestracji, na przykład Nazwa wyświetlana, Imię i Nazwisko. Następnie wybierz pozycję Kontynuuj.
  4. Następnie użytkownik zostanie poproszony o podanie adresu e-mail do odzyskiwania. Użytkownik wprowadza swój adres e-mail, a następnie wybiera pozycję Wyślij kod weryfikacyjny. Kod jest wysyłany do skrzynki odbiorczej wiadomości e-mail użytkownika, którą mogą pobrać i wprowadzić w polu Kod weryfikacyjny. Następnie użytkownik wybierze pozycję Weryfikuj kod.
  5. Po zweryfikowaniu kodu użytkownik wybierze pozycję Utwórz , aby utworzyć konto.

Cennik logowania telefonicznego

Jednorazowe hasła są wysyłane do użytkowników przy użyciu wiadomości SMS. W zależności od operatora sieci komórkowej może być naliczana opłata za każdą wysłaną wiadomość. Aby uzyskać informacje o cenach, zobacz sekcję Oddzielne opłaty w cenniku usługi Azure Active Directory B2C.

Uwaga / Notatka

Uwierzytelnianie wieloskładnikowe (MFA) jest domyślnie wyłączone podczas konfigurowania przepływu użytkownika przy użyciu rejestracji na telefonie. Możesz włączyć uwierzytelnianie wieloskładnikowe (MFA) w przepływach użytkownika podczas rejestracji za pomocą telefonu, ale ze względu na użycie numeru telefonu jako głównego identyfikatora, jednorazowy kod przesłany e-mailem jest jedyną opcją dostępną dla drugiego czynnika uwierzytelniania.

Odzyskiwanie telefonu

Po włączeniu możliwości zarejestrowania się i logowania za pomocą telefonu w procesach użytkownika warto również włączyć funkcję odzyskiwania dostępu przez e-mail. Dzięki tej funkcji użytkownik może podać adres e-mail, który może służyć do odzyskania konta, gdy nie ma telefonu. Ten adres e-mail jest używany tylko do odzyskiwania konta. Nie można jej używać do logowania.

• Po wyświetleniu monitu e-mail dotyczącego odzyskiwania po raz pierwszy zostanie wyświetlony monit o zweryfikowanie wiadomości e-mail z kopią zapasową. Użytkownik, który wcześniej nie podał adresu e-mail do odzyskiwania, zostanie poproszony o zweryfikowanie alternatywnego adresu e-mail podczas następnego logowania.

• Gdy e-mail odzyskiwania jest wyłączony, użytkownik rejestrujący się lub logujący nie zobaczy monitu o e-mail odzyskiwania.

Na poniższych zrzutach ekranu przedstawiono przepływ odzyskiwania telefonu:

Logowanie za pomocą telefonu lub poczty e-mail

Możesz połączyć logowanie telefoniczne i logowanie e-mail w ustawieniach lokalnego dostawcy tożsamości konta. Na stronie rejestracji lub logowania użytkownik może wpisać numer telefonu lub adres e-mail. Na podstawie danych wejściowych użytkownika usługa Azure AD B2C przenosi użytkownika do odpowiedniego przepływu.

Logowanie federacyjne

Usługę Azure AD B2C można skonfigurować tak, aby umożliwić użytkownikom logowanie się do aplikacji przy użyciu poświadczeń zewnętrznych dostawców tożsamości społecznościowych lub przedsiębiorstwa (IDP). Usługa Azure AD B2C obsługuje wielu zewnętrznych dostawców tożsamości i dowolnego dostawcę tożsamości, który obsługuje protokoły OAuth 1.0, OAuth 2.0, OpenID Connect i SAML.

Dzięki federacji zewnętrznego dostawcy tożsamości możesz zaoferować swoim użytkownikom możliwość logowania się przy użyciu istniejących kont społecznościowych lub przedsiębiorstwa bez konieczności tworzenia nowego konta tylko dla aplikacji.

Na stronie rejestracji lub logowania usługa Azure AD B2C przedstawia listę zewnętrznych dostawców tożsamości, które użytkownik może wybrać do logowania. Po wybraniu jednego z zewnętrznych dostawców tożsamości nastąpi przekierowanie do witryny internetowej wybranego dostawcy w celu ukończenia procesu logowania. Po pomyślnym zalogowaniu użytkownika zostaną one zwrócone do usługi Azure AD B2C w celu uwierzytelnienia konta w aplikacji.

Możesz dodać dostawców tożsamości obsługiwanych przez usługę Azure Active Directory B2C (Azure AD B2C) do przepływów użytkowników przy użyciu witryny Azure Portal. Możesz również dodać dostawców tożsamości do polityk niestandardowych.

Dalsze kroki

• Dowiedz się więcej o zasadach wbudowanych w przepływy użytkownika w usłudze Azure Active Directory B2C.
• Skonfiguruj tożsamość dostawcy konta lokalnego.