Metody uwierzytelniania i dostawcy tożsamości w dzierżawach zewnętrznych

Napiwek

Ten artykuł dotyczy identyfikatora zewnętrznego w dzierżawach zewnętrznych. Aby uzyskać informacje o dzierżawach pracowników, zobacz Dostawcy tożsamości dla identyfikatora zewnętrznego w dzierżawach pracowników.

Dzięki Tożsamość zewnętrzna Microsoft Entra możesz tworzyć bezpieczne, dostosowane środowiska logowania dla aplikacji przeznaczonych dla klientów i klientów biznesowych. W dzierżawie zewnętrznej istnieje kilka sposobów na zarejestrowanie się użytkowników w aplikacji. Mogą utworzyć konto przy użyciu poczty e-mail i hasła lub jednorazowego kodu dostępu. Jeśli też włączysz logowanie przy użyciu serwisu Facebook i Google, mogą oni zalogować się przy użyciu własnego konta społecznościowego. Możesz również dodać warstwę zabezpieczeń, wymuszając uwierzytelnianie wieloskładnikowe (MFA), aby za każdym razem, gdy użytkownik loguje się, musi podać jednorazowy kod dostępu do weryfikacji.

W tym artykule opisano metody uwierzytelniania i dostawców tożsamości dostępnych w dzierżawach zewnętrznych.

Logowanie za pomocą poczty e-mail i hasła

Rejestracja w wiadomości e-mail jest domyślnie włączona w ustawieniach lokalnego dostawcy tożsamości konta. Dzięki opcji poczty e-mail klienci mogą zarejestrować się i zalogować się przy użyciu swojego adresu e-mail i hasła.

• Rejestracja: klienci są monitowani o podanie adresu e-mail, który jest weryfikowany podczas rejestracji przy użyciu jednorazowego kodu dostępu. Następnie klient wprowadza wszelkie inne informacje wymagane na stronie rejestracji, na przykład nazwę wyświetlaną, imię i nazwisko. Następnie wybierają pozycję Kontynuuj, aby utworzyć konto.

• Logowanie: po zarejestrowaniu się i utworzeniu konta przez klienta może się zalogować, wprowadzając swój adres e-mail i hasło.

• Resetowanie hasła: jeśli włączysz logowanie za pomocą poczty e-mail i hasła, na stronie hasła pojawi się link resetowania hasła. Jeśli klient zapomni hasła, wybranie tego linku spowoduje wysłanie jednorazowego kodu dostępu na adres e-mail. Po weryfikacji klient może wybrać nowe hasło.

  

Podczas tworzenia przepływu rejestracji i logowania użytkownika adres e-mail z hasłem jest opcją domyślną.

Poczta e-mail z jednorazowym logowaniem za pomocą kodu dostępu

Poczta e-mail z jednorazowym kodem dostępu jest opcją w ustawieniach lokalnego dostawcy tożsamości konta. W przypadku tej opcji klient loguje się przy użyciu tymczasowego kodu dostępu zamiast przechowywanego hasła za każdym razem, gdy się zaloguje.

• Rejestracja: Klienci mogą zarejestrować się przy użyciu swojego adresu e-mail i zażądać tymczasowego kodu, który jest wysyłany na swój adres e-mail. Wprowadza ten kod i kontynuuje logowanie.

• Logowanie: po zarejestrowaniu się i utworzeniu konta przez klienta za każdym razem, gdy zaloguje się, wprowadzi swój adres e-mail i otrzyma tymczasowy kod dostępu.

  

Ważne

Jeśli chcesz włączyć uwierzytelnianie wieloskładnikowe (MFA), ustaw metodę uwierzytelniania konta lokalnego na Adres e-mail z hasłem. Jeśli ustawisz opcję konta lokalnego na Adres e-mail z jednorazowym kodem dostępu, klienci, którzy korzystają z tej metody, nie będą mogli się zalogować, ponieważ jednorazowy kod dostępu jest już metodą logowania pierwszego składnika i nie może być używany jako drugi czynnik. Obecnie inne metody weryfikacji nie są dostępne dla scenariuszy klienta.

Podczas tworzenia przepływu rejestracji i logowania użytkownika jednorazowy kod dostępu e-mail jest jedną z opcji konta lokalnego.

Dostawcy tożsamości społecznościowych: Facebook i Google

Aby uzyskać optymalne środowisko logowania, sfederuj się z dostawcami tożsamości społecznościowych, gdy jest to możliwe, aby umożliwić klientom bezproblemowe tworzenie konta i logowanie. W dzierżawie zewnętrznej możesz zezwolić klientowi na zarejestrowanie się i zalogowanie się przy użyciu własnego konta w serwisie Facebook lub Google. Gdy klient zarejestruje się w aplikacji przy użyciu konta społecznościowego, dostawca tożsamości społecznościowych tworzy, utrzymuje i zarządza informacjami o tożsamościach podczas udostępniania usług uwierzytelniania aplikacjom.

Po włączeniu dostawców tożsamości społecznościowych klienci mogą wybierać opcje dostawców tożsamości społecznościowych, które zostały udostępnione na stronie rejestracji. Aby skonfigurować dostawców tożsamości społecznościowych w dzierżawie zewnętrznej, należy utworzyć aplikację u dostawcy tożsamości i skonfigurować poświadczenia. Uzyskujesz identyfikator klienta lub aplikacji oraz klucz tajny klienta lub aplikacji, który można następnie dodać do dzierżawy zewnętrznej.

Logowanie google (wersja zapoznawcza)

Konfigurując federację z firmą Google, możesz zezwolić klientom na logowanie się do aplikacji przy użyciu własnych kont Gmail. Po dodaniu google jako jednej z opcji logowania aplikacji na stronie logowania użytkownicy mogą zalogować się do Tożsamość zewnętrzna Microsoft Entra przy użyciu konta Google.

Na poniższych zrzutach ekranu pokazano logowanie przy użyciu środowiska Google. Na stronie logowania użytkownicy wybierają pozycję Zaloguj się przy użyciu usługi Google. W tym momencie użytkownik jest przekierowywany do dostawcy tożsamości Google w celu ukończenia logowania.

Dowiedz się, jak dodać firmę Google jako dostawcę tożsamości.

Logowanie do serwisu Facebook (wersja zapoznawcza)

Konfigurując federację z usługą Facebook, możesz zezwolić zaproszonym użytkownikom na logowanie się do aplikacji przy użyciu własnych kont w serwisie Facebook. Po dodaniu serwisu Facebook jako jednej z opcji logowania aplikacji na stronie logowania użytkownicy mogą zalogować się do Tożsamość zewnętrzna Microsoft Entra przy użyciu konta w serwisie Facebook.

Na poniższych zrzutach ekranu przedstawiono logowanie się przy użyciu serwisu Facebook. Na stronie logowania użytkownicy wybierają pozycję Zaloguj się przy użyciu serwisu Facebook. Następnie użytkownik zostanie przekierowany do dostawcy tożsamości serwisu Facebook w celu ukończenia logowania.

Dowiedz się, jak dodać usługę Facebook jako dostawcę tożsamości.

Aktualizowanie metod logowania

W dowolnym momencie możesz zaktualizować opcje logowania wybrane dla aplikacji. Możesz na przykład dodać dostawców tożsamości społecznościowych lub zmienić metodę logowania konta lokalnego.

Należy pamiętać, że zmiana metod logowania wpływa tylko na nowych użytkowników. Istniejący użytkownicy będą nadal logować się przy użyciu oryginalnej metody. Załóżmy na przykład, że zaczynasz od metody logowania e-mail i hasła, a następnie zmieniasz się na adres e-mail przy użyciu jednorazowego kodu dostępu. Nowi użytkownicy będą logować się przy użyciu jednorazowego kodu dostępu, ale wszyscy użytkownicy, którzy już zarejestrowali się przy użyciu poczty e-mail i hasła, będą nadal monitowani o podanie adresu e-mail i hasła.

Interfejsy API programu Microsoft Graph

Następujące operacje interfejsu API programu Microsoft Graph są obsługiwane w celu zarządzania dostawcami tożsamości i metodami uwierzytelniania w Tożsamość zewnętrzna Microsoft Entra:

• Aby zidentyfikować obsługiwanych dostawców tożsamości i metody uwierzytelniania, należy wywołać interfejs API List availableProviderTypes .
• Aby zidentyfikować dostawców tożsamości i metody uwierzytelniania, które zostały już skonfigurowane i włączone w dzierżawie, należy wywołać interfejs API List identityProviders .
• Aby włączyć obsługiwanego dostawcę tożsamości lub metodę uwierzytelniania, należy wywołać interfejs API Create identityProvider .

Następne kroki

• Włączanie uwierzytelniania wieloskładnikowego (MFA)
• Dodawanie usługi Facebook jako dostawcy tożsamości
• Dodawanie usługi Google jako dostawcy tożsamości