Planowanie zarządzania tożsamościami klientów i dostępem

  • Artykuł

Tożsamość zewnętrzna Microsoft Entra to konfigurowalne, rozszerzalne rozwiązanie do dodawania tożsamości klienta i zarządzania dostępem (CIAM) do aplikacji. Ponieważ jest oparta na platformie Microsoft Entra, możesz korzystać ze spójności w zakresie integracji aplikacji, zarządzania dzierżawami i operacji w scenariuszach pracowników i klientów. Podczas projektowania konfiguracji ważne jest, aby zrozumieć składniki dzierżawy zewnętrznej i funkcji firmy Microsoft Entra, które są dostępne dla Twoich scenariuszy klienta.

Ten artykuł zawiera ogólną strukturę integrowania aplikacji i konfigurowania Tożsamość zewnętrzna Microsoft Entra. Opisuje ona możliwości dostępne w dzierżawie zewnętrznej i przedstawia ważne zagadnienia dotyczące planowania dla każdego kroku integracji.

Dodanie bezpiecznego logowania do aplikacji i skonfigurowanie tożsamości klienta i zarządzania dostępem obejmuje cztery główne kroki:

Diagram przedstawiający przegląd kroków konfiguracji.

W tym artykule opisano każdy z tych kroków i opisano ważne zagadnienia dotyczące planowania. W poniższej tabeli wybierz krok, aby uzyskać szczegółowe informacje i zagadnienia dotyczące planowania, lub przejdź bezpośrednio do przewodników z instrukcjami.

Krok Przewodniki z instrukcjami
Krok 1. Tworzenie dzierżawy zewnętrznej • Tworzenie dzierżawy
zewnętrznej• Lub rozpocznij bezpłatną wersję próbną
Krok 2. Rejestrowanie aplikacji Rejestrowanie aplikacji
Krok 3. Integrowanie przepływu logowania z aplikacją • Tworzenie przepływu
użytkownika• Dodawanie aplikacji do przepływu użytkownika
Krok 4. Dostosowywanie i zabezpieczanie logowania • Dostosowywanie znakowania
Dodawanie dostawców
 tożsamości• Zbieranie atrybutów podczas rejestracji
• Dodawanie atrybutów do tokenu
Dodawanie uwierzytelniania wieloskładnikowego (MFA)

Krok 1. Tworzenie dzierżawy zewnętrznej

Diagram przedstawiający krok 1 w przepływie instalacji.

Dzierżawa zewnętrzna to pierwszy zasób, który należy utworzyć, aby rozpocząć pracę z Tożsamość zewnętrzna Microsoft Entra. Twoja dzierżawa zewnętrzna to miejsce, w którym rejestrujesz aplikację. Zawiera również katalog, w którym można zarządzać tożsamościami klientów i dostępem, niezależnie od dzierżawy pracowników.

Podczas tworzenia dzierżawy zewnętrznej można ustawić poprawną lokalizację geograficzną i nazwę domeny. Jeśli obecnie używasz usługi Azure AD B2C, nowi pracownicy i zewnętrzny model dzierżawy nie mają wpływu na istniejące dzierżawy usługi Azure AD B2C.

Konta użytkowników w dzierżawie zewnętrznej

Katalog w dzierżawie zewnętrznej zawiera konta administratorów i użytkowników klienta. Możesz tworzyć konta administratora dla dzierżawy zewnętrznej i zarządzać nimi. Konta klientów są zwykle tworzone za pomocą rejestracji samoobsługowej, ale można tworzyć konta lokalne klientów i zarządzać nimi.

Konta klientów mają domyślny zestaw uprawnień. Klienci nie mogą uzyskiwać dostępu do informacji o innych użytkownikach w dzierżawie zewnętrznej. Domyślnie klienci nie mogą uzyskiwać dostępu do informacji o innych użytkownikach, grupach ani urządzeniach.

Jak utworzyć dzierżawę zewnętrzną

  • Utwórz dzierżawę zewnętrzną w centrum administracyjnym firmy Microsoft Entra.

  • Jeśli nie masz jeszcze dzierżawy firmy Microsoft Entra i chcesz wypróbować Tożsamość zewnętrzna Microsoft Entra, zalecamy rozpoczęcie pracy z bezpłatną wersją próbną.

Krok 2. Rejestrowanie aplikacji

Diagram przedstawiający krok 2 w przepływie instalacji.

Aby aplikacje mogły korzystać z Tożsamość zewnętrzna Microsoft Entra, należy je zarejestrować w dzierżawie zewnętrznej. Identyfikator Entra firmy Microsoft wykonuje zarządzanie tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z Tożsamość zewnętrzna Microsoft Entra.

Następnie, aby ukończyć relację zaufania między identyfikatorem Entra firmy Microsoft i aplikacją, zaktualizuj kod źródłowy aplikacji przy użyciu wartości przypisanych podczas rejestracji aplikacji, takich jak identyfikator aplikacji (klienta), poddomena katalogu (dzierżawy) i klucz tajny klienta.

Udostępniamy przykładowe przewodniki kodu i szczegółowe przewodniki integracji dla kilku typów i języków aplikacji. W zależności od typu aplikacji, którą chcesz zarejestrować, możesz znaleźć wskazówki dotyczące naszych przykładów według typu aplikacji i strony języka.

Jak zarejestrować aplikację

Krok 3. Integrowanie przepływu logowania z aplikacją

Diagram przedstawiający krok 3 w przepływie instalacji.

Po skonfigurowaniu dzierżawy zewnętrznej i zarejestrowaniu aplikacji utwórz przepływ rejestracji i logowania użytkownika. Następnie zintegruj aplikację z przepływem użytkownika, aby każda osoba, która uzyskuje do niej dostęp, przechodzi przez utworzone środowisko rejestracji i logowania.

Aby zintegrować aplikację z przepływem użytkownika, należy dodać aplikację do właściwości przepływu użytkownika i zaktualizować kod aplikacji przy użyciu informacji o dzierżawie i punktu końcowego autoryzacji.

Przepływ uwierzytelniania

Gdy klient próbuje zalogować się do aplikacji, aplikacja wysyła żądanie autoryzacji do punktu końcowego podanego podczas skojarzenia aplikacji z przepływem użytkownika. Przepływ użytkownika definiuje i kontroluje środowisko logowania klienta.

Jeśli użytkownik loguje się po raz pierwszy, zostanie wyświetlony interfejs rejestracji. Wprowadzają informacje na podstawie wbudowanych lub niestandardowych atrybutów użytkownika, które zostały wybrane do zebrania.

Po zakończeniu tworzenia konta identyfikator Entra firmy Microsoft generuje token i przekierowuje klienta do aplikacji. Konto klienta jest tworzone dla klienta w katalogu.

Przepływ rejestracji i logowania użytkownika

Podczas planowania środowiska rejestracji i logowania określ wymagania:

  • Liczba przepływów użytkownika. Każda aplikacja może mieć tylko jeden przepływ rejestracji i logowania użytkownika. Jeśli masz kilka aplikacji, możesz użyć jednego przepływu użytkownika dla wszystkich z nich. Jeśli chcesz mieć inne środowisko dla każdej aplikacji, możesz utworzyć wiele przepływów użytkownika. Maksymalna wartość to 10 przepływów użytkowników na dzierżawę zewnętrzną.

  • Dostosowywanie znakowania i języka firmy. Mimo że w kroku 4 opisano konfigurowanie dostosowywania znakowania i języka firmy, można je skonfigurować w dowolnym momencie, przed lub po zintegrowaniu aplikacji z przepływem użytkownika. Jeśli skonfigurujesz znakowanie firmowe przed utworzeniem przepływu użytkownika, strony logowania odzwierciedlają to znakowanie. W przeciwnym razie strony logowania odzwierciedlają domyślne, neutralne znakowanie.

  • Atrybuty do zbierania. W ustawieniach przepływu użytkownika możesz wybrać spośród zestawu wbudowanych atrybutów użytkownika, które chcesz zbierać od klientów. Klient wprowadza informacje na stronie rejestracji, które są przechowywane wraz z profilem w Twoim katalogu. Jeśli chcesz zebrać więcej informacji, możesz zdefiniować atrybuty niestandardowe i dodać je do przepływu użytkownika.

  • Zgoda na warunki i postanowienia. Możesz użyć niestandardowych atrybutów użytkownika, aby monitować użytkowników o zaakceptowanie warunków i postanowień. Możesz na przykład dodać pola wyboru do formularza rejestracji i dołączyć linki do warunków użytkowania i zasad ochrony prywatności.

  • Wymagania dotyczące oświadczeń tokenów. Jeśli aplikacja wymaga określonych atrybutów użytkownika, możesz dołączyć je do tokenu wysłanego do aplikacji.

  • Dostawcy tożsamości społecznościowych. Możesz skonfigurować dostawców tożsamości społecznościowych Google i Facebook, a następnie dodać je do przepływu użytkownika jako opcje logowania.

Jak zintegrować przepływ użytkownika z aplikacją

Krok 4. Dostosowywanie i zabezpieczanie logowania

Diagram przedstawiający krok 4 w przepływie instalacji.

Podczas planowania konfigurowania znakowania firmowego, dostosowań języka i rozszerzeń niestandardowych należy wziąć pod uwagę następujące kwestie:

  • Znakowanie firmowe. Po utworzeniu nowej dzierżawy zewnętrznej możesz dostosować wygląd aplikacji internetowych dla klientów, którzy logują się lub tworzą konto, aby spersonalizować środowisko użytkownika końcowego. W usłudze Microsoft Entra ID domyślne znakowanie firmy Microsoft jest wyświetlane na stronach logowania przed dostosowaniem wszystkich ustawień. To znakowanie reprezentuje globalne właściwości wyglądu i działania, które mają zastosowanie we wszystkich logowaniach do dzierżawy. Dowiedz się więcej na temat dostosowywania wyglądu i działania logowania.

  • Rozszerzanie oświadczeń tokenu uwierzytelniania. Tożsamość zewnętrzna Microsoft Entra zaprojektowano z myślą o elastyczności. Możesz użyć niestandardowego rozszerzenia uwierzytelniania, aby dodać oświadczenia z systemów zewnętrznych do tokenu aplikacji tuż przed wystawieniem tokenu do aplikacji. Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.

  • Uwierzytelnianie wieloskładnikowe (MFA) Możesz również włączyć zabezpieczenia dostępu do aplikacji, wymuszając uwierzytelnianie wieloskładnikowe, co dodaje krytyczną drugą warstwę zabezpieczeń do logowania użytkowników, wymagając weryfikacji za pośrednictwem jednorazowego kodu dostępu poczty e-mail. Dowiedz się więcej o usłudze MFA dla klientów.

  • Uwierzytelnianie natywne. Uwierzytelnianie natywne umożliwia hostowanie interfejsu użytkownika w aplikacji klienckiej zamiast delegowania uwierzytelniania do przeglądarek. Dowiedz się więcej o uwierzytelnianiu natywnym w Tożsamość zewnętrzna Microsoft Entra.

  • Zabezpieczenia i nadzór. Dowiedz się więcej o funkcjach zabezpieczeń i ładu dostępnych w dzierżawie zewnętrznej, takich jak Identity Protection.

Jak dostosować i zabezpieczyć logowanie

Następne kroki