Como se planejar para o gerenciamento de identidade e acesso do cliente
A ID externa do Microsoft Entra é uma solução personalizável e extensível para adicionar o CIAM (gerenciamento de identidade e acesso do cliente) ao seu aplicativo. Como ele se baseia na plataforma do Microsoft Entra, você usa a consistência na integração de aplicativos, no gerenciamento de locatários e nas operações nos cenários de força de trabalho e de cliente. Ao criar a configuração, é importante entender os componentes de um locatário externo e os recursos do Microsoft Entra disponíveis para os cenários do cliente.
Importante
A ID externa do Microsoft Entra para aplicativos voltados para o exterior está atualmente em versão prévia. Consulte os Termos de Licença Universais para Serviços Online para obter os termos legais que se aplicam aos recursos e serviços do Azure que estão em versão beta, versão prévia ou não estão disponíveis de outra forma.
Esse artigo fornece uma estrutura geral para integrar seu aplicativo e configurar a ID externa do Microsoft Entra. Ele descreve os recursos disponíveis em um locatário externo e define as considerações importantes de planejamento para cada etapa na sua integração.
Adicionar uma entrada segura ao seu aplicativo e configurar um gerenciamento de identidade e acesso do cliente envolve quatro etapas principais:
Este artigo descreve cada uma dessas etapas e as considerações importantes de planejamento. Na tabela a seguir, selecione uma Etapa para obter detalhes e considerações de planejamento ou vá diretamente para os Guias de instrução.
Etapa 1: Criar um locatário externo
Um locatário externo é o primeiro recurso que você precisa criar para começar a usar a ID externa do Microsoft Entra. O locatário externo é onde você registra seu aplicativo voltado para o cliente. Ele também contém um diretório em que você gerencia as identidades e o acesso do cliente, separados do locatário da força de trabalho.
Ao criar um locatário externo, você pode definir a localização geográfica correta e o nome de domínio. Se você usar o Azure AD B2C no momento, o novo modelo de força de trabalho e locatário externo não afetará os locatários existentes do Azure AD B2C.
Contas de usuário em um locatário externo
O diretório em um locatário externo contém as contas de usuário do administrador e do cliente. Você pode criar e gerenciar contas de administrador para seu locatário externo. As contas de cliente normalmente são criadas por meio de inscrição para autoatendimento, mas você pode criar e gerenciar contas locais do cliente.
As contas do cliente têm um conjunto padrão de permissões. Os clientes estão impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.
Como criar um locatário externo
Crie um locatário externo no centro de administração do Microsoft Entra.
Se você ainda não tiver um locatário do Microsoft Entra e quiser experimentar a ID externa do Microsoft Entra, recomendamos usar a experiência de introdução para iniciar uma avaliação gratuita.
Etapa 2: registrar seu aplicativo
Para que seus aplicativos possam interagir com a ID externa do Microsoft Entra, você precisa registrá-los no locatário externo. O Microsoft Entra ID executa o gerenciamento de identidade e acesso somente para os aplicativos registrados. Registrar seu aplicativo estabelece uma relação de confiança e permite que você integre seu aplicativo à ID externa do Microsoft Entra.
Em seguida, para concluir a relação de confiança entre o Microsoft Entra ID e seu aplicativo, atualize o código-fonte do aplicativo com os valores atribuídos durante o registro do aplicativo, como a ID do aplicativo (cliente), o subdomínio do diretório (locatário) e o segredo do cliente.
Fornecemos guias de exemplo de código e guias de integração detalhados para vários tipos de aplicativos e idiomas. Dependendo do tipo de aplicativo que você deseja registrar, você pode encontrar diretrizes em nossos Exemplos por tipo de aplicativo e página de idioma.
Como registrar seu aplicativo
Encontre diretrizes específicas para o aplicativo que você deseja registrar em nossos Exemplos por tipo de aplicativo e página de idioma.
Se não tivermos um guia específico para sua plataforma ou seu idioma, veja as instruções gerais para registrar um aplicativo em um locatário externo.
Etapa 3: integrar um fluxo de entrada ao seu aplicativo
Depois de configurar o locatário externo e registrar seu aplicativo, crie um fluxo de usuário de inscrição e entrada. Em seguida, integre seu aplicativo ao fluxo de usuário para que qualquer pessoa que o acesse passe pela experiência de inscrição e entrada que você criou.
Para integrar seu aplicativo a um fluxo de usuário, adicione seu aplicativo às propriedades de fluxo do usuário e atualize o código do aplicativo com suas informações de locatário e o ponto de extremidade de autorização.
Fluxo de autenticação
Quando um cliente tenta entrar no seu aplicativo, o aplicativo envia uma solicitação de autorização para o ponto de extremidade fornecido quando você associou o aplicativo ao fluxo do usuário. O fluxo de usuário define e controla a experiência de entrada do cliente.
Se o usuário estiver entrando pela primeira vez, ele receberá a experiência de inscrição. Ele inserirá as informações com base nos atributos de usuário internos ou personalizados que você escolheu coletar.
Quando a inscrição é concluída, o Microsoft Entra ID gera um token e redireciona o cliente para o seu aplicativo. Uma conta de cliente é criada para o cliente no diretório.
Fluxo de usuário de inscrição e de entrada
Ao planejar a experiência de inscrição e entrada, determine os requisitos:
Número de fluxos de usuário. Cada aplicativo pode ter apenas um fluxo de usuário de inscrição e entrada. Se você tiver vários aplicativos, poderá usar um único fluxo de usuário para todos eles. Ou, se você quiser uma experiência diferente para cada aplicativo, poderá criar vários fluxos de usuário. O máximo é de 10 fluxos de usuário por locatário externo.
Personalizações de identidade visual e idioma da empresa. Embora descrevamos a configuração da identidade visual da empresa e das personalizações de idioma posteriormente na Etapa 4, você pode configurá-las a qualquer momento, antes ou depois de integrar um aplicativo a um fluxo de usuário. Se você configurar a identidade visual da empresa antes de criar o fluxo de usuário, as páginas de entrada refletirão essa identidade visual. Caso contrário, as páginas de entrada refletirão a identidade visual neutra padrão.
Atributos a serem coletados. Nas configurações de fluxo do usuário, você pode selecionar um conjunto de atributos internos de usuário que deseja coletar dos clientes. O cliente insere as informações na página de inscrição e elas são armazenadas com o perfil dele em seu diretório. Se você quiser coletar mais informações, poderá definir atributos personalizados e adicioná-los ao fluxo de usuário.
Consentimento com termos e condições. É possível usar atributos de usuários personalizados para solicitar que os usuários aceitem seus termos e condições. Por exemplo, você pode adicionar caixas de seleção ao formulário de inscrição e incluir links para os termos de uso e políticas de privacidade.
Requisitos para declarações de token. Se o aplicativo exigir atributos de usuário específicos, você poderá incluí-los no token enviado ao seu aplicativo.
Provedores de identidade social. Você pode configurar os provedores de identidade social Google e Facebook e adicioná-los ao fluxo de usuário como opções de entrada.
Como integrar um fluxo de usuário ao seu aplicativo
Se você quiser coletar informações de clientes além dos atributos de usuário internos, defina atributos personalizados para que estejam disponíveis conforme você configura para o fluxo de usuário.
Criar um fluxo de inscrição e entrada de usuário para clientes.
Adicionar seu aplicativo ao fluxo de usuário.
Etapa 4: personalizar e proteger sua entrada
Ao planejar a configuração da identidade visual da empresa, personalizações de idioma e extensões personalizadas, considere os seguintes pontos:
Identidade visual da empresa. Depois de criar um locatário externo, você pode personalizar a aparência de seus aplicativos baseados na Web para clientes que se inscrevem ou entram para personalizar a experiência do usuário final. No Microsoft Entra ID, a identidade visual da Microsoft aparece nas páginas de entrada antes de você personalizar qualquer configuração. Essa identidade visual representa a aparência global que se aplica a todas as entradas no seu locatário. Saiba mais sobre como personalizar a aparência de entrada.
Como estender as declarações de token de autenticação. A ID Externa do Microsoft Entra foi projetada para flexibilidade. Você pode usar uma extensão de autenticação personalizada para adicionar declarações de sistemas externos ao token de aplicativo, pouco antes de o token ser emitido para o aplicativo. Saiba mais sobre como adicionar sua própria lógica de negócios com extensões de autenticação personalizadas.
MFA (autenticação multifator). Você também pode habilitar a segurança de acesso do aplicativo impondo a MFA, que adiciona uma segunda camada crítica de segurança às entradas do usuário, exigindo a verificação com senha de uso único por email. Saiba mais sobre MFA para clientes.
Autenticação nativa. A autenticação nativa permite hospedar a interface do usuário no aplicativo cliente em vez de delegar a autenticação para navegadores. Saiba mais sobre a autenticação nativa na ID externa do Microsoft Entra.
Segurança e governança. Saiba mais sobre os recursos de segurança e governança disponíveis no locatário externo, como a Proteção de Identidade.
Como personalizar e proteger sua entrada
- Personalizar identidade visual
- Adicionar provedores de identidade
- Coletar atributos durante a inscrição
- Adicionar atributos ao token
- Adicionar autenticação multifator
Próximas etapas
- Inicie uma avaliação gratuita ou crie seu locatário externo.
- Encontre exemplos e diretrizes para integrar seu aplicativo.
- Consulte também a Central de Desenvolvedores da ID externa do Microsoft Entra para obter o conteúdo e os recursos mais recentes para desenvolvedores.