Métodos de autenticação e provedores de identidade para clientes

  • Artigo

A ID externa do Microsoft Entra oferece várias opções para autenticar os usuários dos seus aplicativos. Você pode permitir que os clientes criem uma conta no diretório do cliente usando seu email e uma senha ou uma senha de uso único por email. Você também pode habilitar a entrada com uma conta de rede social.

Entrada por email e senha

A entrada com email é habilitada por padrão nas configurações do provedor de identidade da conta local. Com a opção de email, os usuários podem se inscrever e entrar com os respectivos endereços de email e senhas.

  • Inscrição: os clientes são solicitados a fornecer um endereço de email, que é verificado na inscrição com uma senha de uso único. Em seguida, o cliente insere todas as outras informações solicitadas na página de inscrição, por exemplo, nome de exibição, nome fornecido e sobrenome. Depois, eles selecionam Continuar para criar uma conta.

  • Entrada: depois que o cliente se inscrever e criar uma conta, ele poderá entrar inserindo seu endereço de email e senha.

  • Redefinição de senha: se você habilitar a entrada por email e senha, um link de redefinição de senha será exibido na página de senha. Se o cliente esquecer a senha, selecionar esse link enviará uma senha de uso único para o endereço de email. Após a verificação, o cliente pode escolher uma nova senha.

    Captura de tela da entrada por email com senha.

Quando você cria um fluxo de usuário de inscrição e entrada, o Email com senha é a opção padrão.

Entrada por email com senha de uso único

O email com senha de uso único é uma opção nas configurações do provedor de identidade da conta local. Com essa opção, o cliente entra com uma senha temporária, em vez de uma senha armazenada sempre que ele entrar.

  • Inscrição: os clientes podem se inscrever com o endereço de email e solicitar um código temporário, que será enviado para o endereço de email. Em seguida, ele digita esse código para continuar o processo de entrada.

  • Entrada: depois que o cliente se inscrever e criar uma conta, cada vez que ele assinar, entrará no endereço de email e receberá uma senha temporária.

    Captura de tela da entrada por email com senha de uso único.

Observação

Se você quiser habilitar a MFA (autenticação multifator), defina o método de autenticação de conta local como Email com senha. Se você definir sua opção de conta local para Email com senha de uso único, os clientes que usam esse método não poderão entrar porque a senha de uso único já é seu método de entrada de primeiro fator e não pode ser usada como um segundo fator. No momento, outros métodos de verificação não estão disponíveis para cenários do cliente.

Quando você cria um fluxo de usuário de inscrição e entrada, o Email com senha de uso único é uma das opções de conta local.

Provedores de identidade de rede social: Facebook e Google

Para uma experiência de entrada ideal, faça a federação com provedores de identidade de rede social sempre que possível para que você possa oferecer aos clientes uma experiência de inscrição e entrada perfeita. Em um locatário externo, você pode permitir que um cliente se inscreva e entre usando sua própria conta do Facebook ou do Google. Quando um cliente se inscreve no seu aplicativo usando a conta de rede social, o provedor de identidade de rede social cria, mantém e gerencia as informações de identidade e, ao mesmo tempo, fornece serviços de autenticação para aplicativos.

Quando você habilita provedores de identidade de rede social, os clientes podem selecionar entre as opções de provedores de identidade de rede social que você disponibilizou na página de inscrição. Para configurar provedores de identidade de rede social no seu locatário externo, você criará um aplicativo no provedor de identidade e vai configurar as credenciais. Você obterá uma ID de cliente ou de aplicativo e um segredo de cliente ou de aplicativo, que poderá então adicionar ao seu locatário externo.

Entrada do Google

Ao configurar a federação com o Google, você pode permitir que os clientes entrem em seus aplicativos com suas próprias contas do Gmail. Depois de você adicionar o Google como uma das opções de logon do seu aplicativo, na página de logon, os usuários podem fazer logon na ID externa do Microsoft Entra com uma conta do Google.

As capturas de tela a seguir mostram a experiência de entrada com o Google. Na página de entrada, os usuários selecionam Entrar com o Google. Nesse ponto, o usuário é redirecionado ao provedor de identidade do Google para concluir a entrada.

Captura de tela da entrada com o Google.

Saiba como adicionar o Google como provedor de identidade.

Entrada do Facebook

Ao configurar a federação com o Facebook, você pode permitir que os usuários convidados entrem nos seus aplicativos com suas próprias contas do Facebook. Depois de você adicionar o Facebook como uma das opções de entrada do seu aplicativo, na página de entrada, os usuários podem entrar na ID externa do Microsoft Entra com uma conta do Facebook.

As capturas de tela a seguir mostram a experiência de entrada com o Facebook. Na página de entrada, os usuários selecionam Entrar com o Facebook. Em seguida, o usuário é redirecionado ao provedor de identidade do Facebook para concluir a entrada.

Captura de tela da entrada com o Facebook.

Saiba como adicionar o Facebook como provedor de identidade.

Como atualizar métodos de entrada

A qualquer momento, você pode atualizar as opções de entrada selecionadas para um aplicativo. Por exemplo, você pode adicionar provedores de identidade social ou alterar o método de entrada da conta local.

Lembre-se que, quando você altera os métodos de entrada, isso afeta apenas novos usuários. Os usuários existentes continuarão a entrar usando seu método original. Por exemplo, suponha que você comece com o método de entrada por email e senha e, em seguida, altere para email com senha única. Novos usuários entrarão usando uma senha única, mas todos os usuários que já se inscreveram com um email e senha continuarão sendo solicitados a fornecer seus emails e senhas.

APIs do Microsoft Graph

As seguintes operações da Microsoft Graph API têm suporte para gerenciar provedores de identidade e métodos de autenticação no Microsoft Entra External ID:

  • Para identificar quais provedores de identidade e métodos de autenticação são suportados, você chama a API List availableProviderTypes.
  • Para identificar os provedores de identidade e os métodos de autenticação que já estão configurados e habilitados no locatário, você chama a API List IdentityProviders.
  • Para habilitar um provedor de identidade ou método de autenticação compatível, chame a API Create IdentityProvider.

Próximas etapas

Para saber como adicionar provedores de identidade para entrar em seus aplicativos, consulte os seguintes artigos: