Udostępnij za pośrednictwem

Tworzenie przepływu rejestracji i logowania użytkownika dla zewnętrznej aplikacji najemcy.

Dotyczy: Biały okrąg z szarym symbolem X. Najemcy Zielony okrąg z białym symbolem znacznika wyboru. Najemcy zewnętrzni (dowiedz się więcej)

Napiwek

Ten artykuł dotyczy przepływów użytkowników w zewnętrznych dzierżawcach. Aby uzyskać informacje o pracownikach, zobacz Dodawanie procesu samoobsługowej rejestracji użytkownika do aplikacji.

Możesz utworzyć proste środowisko rejestracji i logowania dla klientów, dodając przepływ użytkownika do aplikacji. Przepływ użytkownika definiuje serię kroków rejestracji, które są wykonywane przez klientów, oraz metody logowania, których mogą używać (takich jak poczta e-mail i hasło, jednorazowe kody dostępu lub konta społecznościowe z usług Google, Facebook, Apple) lub niestandardowa federacja OIDC. Możesz również zbierać informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.

W tym artykule opisano sposób tworzenia przepływu logowania i rejestracji użytkownika. Po utworzeniu przepływu użytkownika następnym krokiem jest dodanie aplikacji do przepływu użytkownika. Możesz utworzyć wiele przepływów użytkownika, jeśli masz wiele aplikacji, które mają być oferowane klientom. Możesz też użyć tego samego przepływu użytkownika dla wielu aplikacji. Jednak aplikacja może mieć tylko jeden przepływ użytkownika.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom scenariusz użycia „Online retail”.

Wymagania wstępne

  • Zewnętrzny dzierżawca Microsoft Entra: Przed rozpoczęciem utwórz zewnętrznego dzierżawcę Microsoft Entra. Możesz skonfigurować bezpłatną wersję próbną lub utworzyć nową dzierżawę zewnętrzną w usłudze Microsoft Entra ID.
  • Włączono jednorazowy kod dostępu e-mail (opcjonalnie): jeśli chcesz, aby klienci używali swojego adresu e-mail i jednorazowego kodu dostępu za każdym razem, gdy się logują, upewnij się, że jednorazowy kod dostępu e-mail jest włączony na poziomie dzierżawy (w centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Tożsamości> zewnętrzneWszystkie dostawcy> tożsamościE-mail jednorazowy kod dostępu).
  • Atrybuty niestandardowe zdefiniowane (opcjonalnie): atrybuty użytkownika są wartościami zbieranymi od użytkownika podczas rejestracji samoobsługowej. Identyfikator Entra firmy Microsoft zawiera wbudowany zestaw atrybutów, ale można zdefiniować atrybuty niestandardowe do zbierania podczas rejestracji. Zdefiniuj atrybuty niestandardowe z wyprzedzeniem, aby były dostępne podczas konfigurowania przepływu użytkownika. Możesz też utworzyć i dodać je później.
  • Zdefiniowani dostawcy tożsamości (opcjonalnie): możesz skonfigurować federację z usługą Google, Facebook lub dostawcą tożsamości OIDC z wyprzedzeniem, a następnie wybrać je jako opcje logowania podczas tworzenia przepływu użytkownika.

Tworzenie i dostosowywanie przepływu użytkownika

Wykonaj następujące kroki, aby utworzyć przepływ użytkownika, który klient może użyć do zalogowania się lub zarejestrowania się w aplikacji. W tych krokach opisano sposób dodawania nowego przepływu użytkownika, wybierania atrybutów, które chcesz zbierać, i zmieniania kolejności atrybutów na stronie rejestracji.

Aby dodać nowy przepływ użytkownika

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się na zewnętrzną dzierżawę z menu Katalogi i subskrypcje.

  3. Przejdź do Entra ID>External Identities>Przepływy użytkownika.

  4. Wybierz pozycję Nowy przepływ użytkownika.

    Zrzut ekranu przedstawiający opcję nowego przepływu użytkownika.

  5. Na stronie Tworzenie wprowadź nazwę procesu użytkownika (np. "SignUpSignIn").

  6. W obszarze Dostawcy tożsamości zaznacz pole wyboru Konta e-mail , a następnie wybierz jedną z następujących opcji:

    • Wiadomość e-mail z hasłem: umożliwia nowym użytkownikom zarejestrowanie się i zalogowanie się przy użyciu adresu e-mail jako nazwy użytkownika i hasła jako metody uwierzytelniania pierwszego czynnika. Możesz również skonfigurować opcje wyświetlania, ukrywania lub dostosowywania linku samoobsługowego resetowania hasła na stronie logowania (dowiedz się więcej). Jeśli planujesz wymagać uwierzytelniania wieloskładnikowego, ta opcja umożliwia wybranie kodów jednorazowych wysyłanych na e-mail, kodów SMS lub obu tych metod jako drugiego składnika.

    • Jednorazowy kod dostępu poczty e-mail: umożliwia nowym użytkownikom rejestrację i logowanie się przy użyciu adresu e-mail jako nazwy logowania i jednorazowego kodu dostępu jako metody uwierzytelniania pierwszego składnika. Jeśli planujesz wymagać uwierzytelniania wieloskładnikowego, możesz włączyć kody tekstowe SMS jako metodę drugiego składnika.

    Uwaga

    Opcja Rejestracji w usłudze Microsoft Entra ID jest niedostępna, ponieważ chociaż klienci mogą zarejestrować się na koncie lokalnym przy użyciu poczty e-mail z innej organizacji firmy Microsoft Entra, federacja Firmy Microsoft Entra nie jest używana do ich uwierzytelniania. Google i Facebook stają się dostępne dopiero po skonfigurowaniu federacji z nimi. Dowiedz się więcej o metodach uwierzytelniania i dostawcach tożsamości.

    Zrzut ekranu przedstawiający opcje dostawcy tożsamości na stronie Tworzenie przepływu użytkownika.

  7. W obszarze Atrybuty użytkownika wybierz atrybuty, które chcesz zebrać od użytkownika podczas rejestracji.

    Zrzut ekranu przedstawiający opcje atrybutów użytkownika na stronie Tworzenie przepływu użytkownika.

  8. Wybierz pozycję Pokaż więcej , aby wybrać pełną listę atrybutów, w tym Stanowisko,Nazwa wyświetlana i Kod pocztowy.

    Ta lista zawiera również wszystkie zdefiniowane atrybuty niestandardowe. Zaznacz pole wyboru obok każdego atrybutu, który chcesz zbierać od użytkownika podczas rejestracji

    Zrzut ekranu przedstawiający okienko atrybutu użytkownika po wybraniu pozycji Pokaż więcej.

  9. Wybierz przycisk OK.

  10. Wybierz pozycję Utwórz , aby utworzyć przepływ użytkownika.

Wyłączanie rejestracji w przepływie rejestracji i logowania użytkownika

Jeśli chcesz, aby użytkownicy klienta tylko się logowali, a nie rejestrowali, możesz wyłączyć proces rejestracji w przepływie użytkownika, używając interfejsu API Update authenticationEventsFlow w Microsoft Graph i aktualizując właściwość onInteractiveAuthFlowStart tak, aby wartość > była ustawiona na . Musisz znać identyfikator przepływu użytkownika, którego rejestracja ma zostać wyłączona. Nie można odczytać identyfikatora przepływu użytkownika z centrum administracyjnego firmy Microsoft Entra, ale możesz pobrać go za pośrednictwem interfejsu API programu Microsoft Graph, jeśli znasz skojarzona z nią aplikację.

  1. Przeczytaj identyfikator aplikacji skojarzony z przepływem użytkownika:

    1. Przejdź do Entra ID>External Identities>Przepływy użytkownika.
    2. Z listy wybierz swój cykl użytkowania.
    3. W menu po lewej stronie w obszarze Użyj wybierz pozycję Aplikacje.
    4. Z listy w kolumnie Identyfikator aplikacji (klienta) skopiuj identyfikator aplikacji (klienta).

  2. Zidentyfikuj identyfikator przepływu użytkownika, którego rejestracja ma zostać wyłączona. W tym celu wyświetl listę przepływu użytkownika skojarzonego z określoną aplikacją. Jest to interfejs API programu Microsoft Graph, który wymaga znajomości identyfikatora aplikacji uzyskanego z poprzedniego kroku.

  3. Zaktualizuj przepływ użytkownika, aby wyłączyć proces rejestracji.

    Przykład:

    PATCH https://graph.microsoft.com/beta/identity/authenticationEventsFlows/{user-flow-id}

    Treść żądania

        {    
        "@odata.type": "#microsoft.graph.externalUsersSelfServiceSignUpEventsFlow",    
        "onInteractiveAuthFlowStart": {    
            "@odata.type": "#microsoft.graph.onInteractiveAuthFlowStartExternalUsersSelfServiceSignUp",    
            "isSignUpAllowed": false    
      }    
    }

    Zastąp {user-flow-id} identyfikatorem przepływu użytkownika, który uzyskałeś w poprzednim kroku. Zwróć uwagę, że isSignUpAllowed parametr ma wartość false. Aby ponownie włączyć rejestrację, wykonaj wywołanie punktu końcowego interfejsu API programu Microsoft Graph, ale ustaw isSignUpAllowed parametr na true.

Następne kroki