Omówienie: Zabezpieczanie aplikacji przy użyciu identyfikatora zewnętrznego w dzierżawie zewnętrznej

Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)

Tożsamość zewnętrzna Microsoft Entra obejmuje rozwiązanie do zarządzania tożsamościami klientów i dostępem (CIAM) firmy Microsoft. W przypadku organizacji i firm, które chcą udostępniać swoje aplikacje klientom i klientom biznesowym, identyfikator zewnętrzny ułatwia dodawanie funkcji CIAM, takich jak rejestracja samoobsługowa, spersonalizowane środowiska logowania i zarządzanie kontami klientów. Ponieważ te możliwości CIAM są wbudowane w identyfikator Entra firmy Microsoft, możesz również korzystać z funkcji platformy, takich jak zwiększone zabezpieczenia, zgodność i skalowalność.

Tworzenie dedykowanej dzierżawy zewnętrznej

Podczas rozpoczynania pracy z identyfikatorem zewnętrznym dla aplikacji klientów konsumenckich i biznesowych należy najpierw utworzyć dzierżawę dla aplikacji, zasobów i katalogu kont klientów.

Jeśli pracujesz z identyfikatorem Entra firmy Microsoft, znasz już dzierżawę firmy Microsoft Entra, która zawiera katalog pracowników, aplikacje wewnętrzne i inne zasoby organizacyjne. Za pomocą identyfikatora zewnętrznego tworzysz odrębną dzierżawę, która jest zgodna ze standardowym modelem dzierżawy firmy Microsoft Entra, ale jest skonfigurowana dla scenariuszy zewnętrznych. Ta zewnętrzna dzierżawa zawiera następujące elementy:

• Katalog: katalog przechowuje poświadczenia klientów i dane profilu. Gdy użytkownik lub klient biznesowy zarejestruje się w aplikacji, zostanie utworzone konto lokalne dla nich w dzierżawie zewnętrznej.

• Rejestracje aplikacji: identyfikator Entra firmy Microsoft wykonuje zarządzanie tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z identyfikatorem Entra firmy Microsoft.

• Przepływy użytkowników: dzierżawa zewnętrzna zawiera środowiska samoobsługowego tworzenia konta, logowania i resetowania haseł, które chcesz włączyć dla klientów.

• Rozszerzenia: jeśli musisz dodać atrybuty użytkownika i dane z systemów zewnętrznych, możesz utworzyć niestandardowe rozszerzenia uwierzytelniania dla przepływów użytkownika.

• Metody logowania: możesz włączyć różne opcje logowania się do aplikacji, w tym nazwę użytkownika i hasło, jednorazowy kod dostępu oraz tożsamości Google lub Facebook.

• Klucze szyfrowania: dodawanie kluczy szyfrowania i zarządzanie nimi na potrzeby podpisywania i weryfikowania tokenów, wpisów tajnych klienta, certyfikatów i haseł.

Dowiedz się więcej o hasłach i jednorazowym logowaniu kodu dostępu oraz o federacji Google i Facebook .

Istnieją dwa typy kont użytkowników, którymi można zarządzać w dzierżawie zewnętrznej:

• Konto klienta: konta reprezentujące klientów, którzy uzyskują dostęp do aplikacji.

• Konto administratora: użytkownicy z kontami służbowymi mogą zarządzać zasobami w dzierżawie, a także z rolą administratora, mogą również zarządzać dzierżawami. Użytkownicy z kontami służbowymi mogą tworzyć nowe konta konsumentów, resetować hasła, blokować/odblokowywać konta oraz ustawiać uprawnienia lub przypisywać konto do grupy zabezpieczeń.

Dowiedz się więcej o zarządzaniu kontami klientów i kontami administratora w dzierżawie zewnętrznej.

Dodawanie dostosowanego logowania

Identyfikator zewnętrzny jest przeznaczony dla firm, które chcą udostępniać aplikacje swoim klientom przy użyciu platformy Microsoft Entra na potrzeby tożsamości i dostępu.

• Dodaj strony rejestracji i logowania do aplikacji. Szybkie dodawanie intuicyjnych, przyjaznych dla użytkownika środowisk rejestracji i rejestracji w aplikacjach klienta. Dzięki jednej tożsamości klient może bezpiecznie uzyskać dostęp do wszystkich aplikacji, których chcesz użyć.

• Dodawanie logowania jednokrotnego (SSO) przy użyciu tożsamości społecznościowych i tożsamości przedsiębiorstwa. Klienci mogą wybrać tożsamość społecznościową, przedsiębiorstwa lub zarządzaną, aby zalogować się przy użyciu nazwy użytkownika i hasła, poczty e-mail lub jednorazowego kodu dostępu.

• Dodaj znakowanie firmowe do strony rejestracji. Dostosuj wygląd i działanie środowiska rejestracji i logowania, w tym środowisko domyślne i środowisko dla określonych języków przeglądarki.

• Łatwe dostosowywanie i rozszerzanie przepływów rejestracji. Dostosuj przepływy użytkowników tożsamości do własnych potrzeb. Wybierz atrybuty, które chcesz zebrać od klienta podczas rejestracji, lub dodaj własne atrybuty niestandardowe. Jeśli informacje wymagane przez aplikację znajdują się w systemie zewnętrznym, utwórz niestandardowe rozszerzenia uwierzytelniania w celu zbierania i dodawania danych do tokenów uwierzytelniania.

• Integrowanie wielu języków aplikacji i platform. Dzięki firmie Microsoft Entra można szybko skonfigurować i dostarczać bezpieczne, oznaczone marką przepływy uwierzytelniania dla wielu typów aplikacji, platform i języków.

• Użyj uwierzytelniania natywnego dla aplikacji. Twórz bezproblemowe środowiska uwierzytelniania dla aplikacji mobilnych i klasycznych przy użyciu biblioteki Microsoft Authentication Library (MSAL) dla systemów iOS i Android.

• Zapewnianie samoobsługowego zarządzania kontami. Klienci mogą rejestrować się w celu Usługi online samodzielnie, zarządzać swoim profilem, usuwać swoje konto, rejestrować się w metodzie uwierzytelniania wieloskładnikowego (MFA) lub zresetować hasło bez pomocy administratora ani pomocy technicznej.

• Wyrażanie zgody na warunki użytkowania i zasady ochrony prywatności. Podczas rejestracji możesz monitować użytkowników o zaakceptowanie warunków i postanowień. Za pomocą atrybutów użytkownika klienta można dodawać pola wyboru do formularza rejestracji i dołączać linki do warunków użytkowania i zasad ochrony prywatności.

Dowiedz się więcej na temat dodawania logowania i rejestracji do aplikacji oraz dostosowywania wyglądu i działania logowania.

Projektowanie przepływów użytkowników na potrzeby rejestracji samoobsługowej

Możesz utworzyć proste środowisko rejestracji i logowania dla klientów, dodając przepływ użytkownika do aplikacji. Przepływ użytkownika definiuje serię kroków rejestracji, które klienci stosują, i metody logowania, których mogą używać (takich jak poczta e-mail i hasło, jednorazowe kody dostępu lub konta społecznościowe z Google lub Facebook). Możesz również zbierać informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.

Kilka ustawień przepływu użytkownika pozwala kontrolować, jak klient zarejestruje się w aplikacji, w tym:

• Metody logowania i dostawcy tożsamości społecznościowych (Google lub Facebook)
• Atrybuty, które mają być zbierane z rejestracji klienta, takie jak imię, kod pocztowy lub kraj/region pobytu
• Dostosowywanie znakowania i języka firmy

Aby uzyskać szczegółowe informacje na temat konfigurowania przepływu użytkownika, zobacz Tworzenie przepływu rejestracji i logowania użytkowników dla klientów.

Dodawanie własnej logiki biznesowej

Identyfikator zewnętrzny został zaprojektowany pod kątem elastyczności, umożliwiając definiowanie akcji w określonych punktach przepływu uwierzytelniania. Za pomocą niestandardowego rozszerzenia uwierzytelniania można dodawać oświadczenia z systemów zewnętrznych do tokenu tuż przed wystawieniem go do aplikacji.

Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.

Zabezpieczenia i niezawodność firmy Microsoft

Identyfikator zewnętrzny reprezentuje zbieżność funkcji typu "klient-klient" (B2C) na platformie Microsoft Entra. Możesz korzystać z funkcji platformy, takich jak zwiększone zabezpieczenia, zgodność z przepisami oraz możliwość skalowania procesów zarządzania tożsamościami i dostępem.

• Zabezpieczenia firmy Microsoft. Uzyskaj wszystkie korzyści z zakresu zabezpieczeń i prywatności danych firmy Microsoft Entra, w tym dostęp warunkowy, uwierzytelnianie wieloskładnikowe i ład. Ochrona dostępu do aplikacji przy użyciu silnego uwierzytelniania i zasad dostępu adaptacyjnego opartego na ryzyku. Ponieważ klienci są zarządzani w oddzielnej dzierżawie, można dostosować zasady dostępu do użytkowników, którzy zazwyczaj używają urządzeń osobistych i udostępnionych zamiast zarządzanych.

• Niezawodność i skalowalność firmy Microsoft. Twórz wysoce dostosowane środowiska logowania i zarządzaj kontami klientów na dużą skalę. Zapewnij dobre środowisko klienta, korzystając z wydajności, odporności, ciągłości działania, małych opóźnień i wysokiej przepływności firmy Microsoft.

Dowiedz się więcej o funkcjach zabezpieczeń i ładu , które są dostępne w dzierżawie zewnętrznej.

Analizowanie aktywności i zaangażowania użytkowników

Funkcja aktywności użytkownika aplikacji w obszarze Użycie i szczegółowe informacje udostępnia analizę danych na temat aktywności użytkownika i zaangażowania zarejestrowanych aplikacji w dzierżawie. Ta funkcja umożliwia wyświetlanie, wykonywanie zapytań i analizowanie danych aktywności użytkownika w centrum administracyjnym firmy Microsoft Entra. Może to pomóc w odkryciu cennych szczegółowych informacji, które mogą pomóc w podejmowaniu strategicznych decyzji i napędzać rozwój firmy.

Dowiedz się więcej na temat pulpitów nawigacyjnych działań użytkownika aplikacji, które są dostępne w dzierżawie zewnętrznej.

Informacje o usłudze Azure AD B2C

Jeśli jesteś nowym klientem, możesz zastanawiać się, które rozwiązanie jest lepszym rozwiązaniem, usługą Azure AD B2C lub Tożsamość zewnętrzna Microsoft Entra. Wybierz bieżący produkt usługi Azure AD B2C, jeśli:

• Masz natychmiastową potrzebę wdrożenia kompilacji gotowej do użycia w środowisku produkcyjnym.

  Nuta

  Należy pamiętać, że platforma Tożsamość zewnętrzna Microsoft Entra nowej generacji reprezentuje przyszłość CIAM dla firmy Microsoft, a szybkie innowacje, nowe funkcje i możliwości będą skoncentrowane na tej platformie. Po wybraniu platformy nowej generacji od samego początku będziesz otrzymywać korzyści z szybkich innowacji i architektury sprawdzającej przyszłość.

Wybierz platformę Tożsamość zewnętrzna Microsoft Entra nowej generacji, jeśli:

• Rozpoczynasz tworzenie nowych tożsamości w aplikacjach lub na wczesnym etapie odnajdywania produktów.
• Korzyści wynikające z szybkich innowacji, nowych funkcji i dodanych możliwości są priorytetem.

Następne kroki

• Zobacz nasze szkolenia, pokazy na żywo i filmy wideo.
• Dowiedz się więcej o planowaniu Tożsamość zewnętrzna Microsoft Entra.
• Zobacz również centrum deweloperów Tożsamość zewnętrzna Microsoft Entra, aby uzyskać najnowszą zawartość i zasoby dla deweloperów.