Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: 
Locatários da força de trabalho 
Locatários externos (saiba mais)
Dica
Este artigo se aplica à ID externa em locatários externos. Para obter informações sobre locatários da força de trabalho, consulte Provedores de identidade para ID externa em locatários da força de trabalho.
Com a ID Externa do Microsoft Entra, você pode criar experiências de login seguras e personalizadas para seus aplicativos voltados para o consumidor e para o cliente corporativo. Em um locatário externo, existem várias maneiras para os usuários se inscreverem no aplicativo. Podem criar uma conta usando o respectivo email acrescido de uma senha ou de uma senha de uso único. Ou, se você habilitar a entrada com o Facebook, Google, Apple ou um IdP (provedor de identidade) OIDC ou SAML/WS-Fed personalizado, os usuários poderão entrar usando suas credenciais no provedor de identidade externo. Um objeto de usuário é criado para eles em seu diretório com as informações de identidade coletadas durante a inscrição.
Este artigo descreve os provedores de identidade disponíveis para autenticação primária ao se inscrever e entrar em aplicativos em locatários externos. Você também pode aprimorar a segurança impondo uma política de autenticação multifator (MFA) que exige uma segunda forma de verificação sempre que um usuário entra (saiba mais).
Entrada por email e senha
A entrada com email é habilitada por padrão nas configurações do provedor de identidade da conta local. Com a opção de email, os usuários podem se inscrever e entrar com seu endereço de email e uma senha.
Inscrição: os usuários são solicitados a solicitar um endereço de email, que é verificado na inscrição com uma senha única. Em seguida, o usuário insere quaisquer outras informações solicitadas na página de inscrição, por exemplo, nome de exibição, nome fornecido e sobrenome. Depois, eles selecionam Continuar para criar uma conta.
Entrada: depois que o usuário se inscreve e cria uma conta, ele pode entrar inserindo seu endereço de email e senha.
Redefinição de senha: se você habilitar a entrada por email e senha, um link de redefinição de senha será exibido na página de senha. Se o usuário esquecer sua senha, selecionar esse link enviará uma senha única para seu endereço de email. Após a verificação, o usuário pode escolher uma nova senha.
Quando você cria um fluxo de usuário de inscrição e entrada, o Email com senha é a opção padrão.
Entrada por email com senha de uso único
O email com senha de uso único é uma opção nas configurações do provedor de identidade da conta local. Com essa opção, o usuário entra com uma senha temporária em vez de uma senha armazenada sempre que entra.
Inscrição: os usuários podem se inscrever com seu endereço de email e solicitar um código temporário, que é enviado para seu endereço de email. Em seguida, ele digita esse código para continuar o processo de entrada.
Entrada: depois que o usuário se inscrever e criar uma conta, cada vez que entrar, ele inserirá seu endereço de email e receberá uma senha temporária.
Você também pode configurar opções para mostrar, ocultar ou personalizar o link de redefinição de senha self-service na página de entrada (saiba mais).
Quando você cria um fluxo de usuário de inscrição e entrada, o Email com senha de uso único é uma das opções de conta local.
Provedores de identidade social: Facebook, Google e Apple
Para uma experiência de login ideal, faça a federação com provedores de identidade social sempre que possível, para que você possa oferecer aos seus usuários uma experiência perfeita de registro e login. Em um locatário externo, você pode permitir que um usuário se inscreva e entre usando sua própria conta do Facebook, Google ou Apple.
Quando você habilita provedores de identidade social, os usuários podem selecionar entre as opções de provedores de identidade social que você disponibiliza na página de inscrição. Para configurar provedores de identidade de rede social no seu locatário externo, você criará um aplicativo no provedor de identidade e vai configurar as credenciais. Você obtém uma ID de cliente ou aplicativo, um segredo de cliente ou aplicativo ou um certificado, que você pode usar para configurar seu locatário externo.
Entrada do Google
Ao configurar a federação com o Google, você pode permitir que os usuários entrem em seus aplicativos com suas próprias contas do Gmail. Após você adicionar o Google como uma das opções de login do seu aplicativo, os usuários poderão fazer login na ID externa do Microsoft Entra com uma conta do Google na página de login.
As capturas de tela a seguir mostram a experiência de entrada com o Google. Na página de entrada, os usuários selecionam Entrar com o Google. Nesse ponto, o usuário é redirecionado ao provedor de identidade do Google para concluir a entrada.
Saiba como adicionar o Google como provedor de identidade.
Entrada do Facebook
Ao configurar a federação com o Facebook, você pode permitir que os usuários entrem em seus aplicativos com suas próprias contas do Facebook. Após você adicionar o Facebook como uma das opções de login do seu aplicativo, os usuários poderão fazer login na ID externa do Microsoft Entra com uma conta do Facebook na página de login.
As capturas de tela a seguir mostram a experiência de entrada com o Facebook. Na página de entrada, os usuários selecionam Entrar com o Facebook. Em seguida, o usuário é redirecionado ao provedor de identidade do Facebook para concluir a entrada.
Saiba como adicionar o Facebook como provedor de identidade.
Login da Apple (prévia)
Ao configurar a federação com a Apple, você pode permitir que os usuários entrem em seus aplicativos com suas próprias contas da Apple. Depois de adicionar a Apple como uma das opções de entrada do aplicativo, na página de entrada, os usuários poderão entrar na ID Externa do Microsoft Entra com uma conta da Apple.
As capturas de tela a seguir mostram a experiência de login com a Apple. Na página de entrada, os usuários selecionam Entrar com a Apple. Em seguida, o usuário é redirecionado para o provedor de identidade da Apple para concluir a entrada. Saiba como adicionar a Apple como um provedor de identidade.
Provedores de identidade SAML/WS-Fed personalizados
Você pode configurar um provedor de identidade SAML ou WS-Fed para permitir que os usuários se registrem e façam login em seus aplicativos usando a própria conta com o provedor de identidade. O usuário pode se inscrever ou entrar selecionando a opção Inscrever-se com ou Entrar. Eles são redirecionados para o provedor de identidade e, em seguida, retornados ao Microsoft Entra assim que entrarem com êxito. Para locatários externos, o email de entrada de um usuário não precisa corresponder aos domínios predefinidos configurados durante a federação SAML. Como resultado, atualizar a configuração da federação adicionando, alterando ou removendo domínios não afetará a experiência dos usuários existentes.
Um usuário que insere um endereço de email na página de entrada que corresponde a um domínio predefinido em qualquer um dos provedores de identidade externos será redirecionado para autenticação com esse provedor de identidade. Se eles não tiverem uma conta, eles poderão ser solicitados a obter detalhes adicionais e a conta será criada.
Para obter mais informações, consulte provedores de identidade SAML/WS-Fed. Para obter etapas detalhadas de configuração, consulte Adicionar federação com provedores de identidade SAML/WS-Fed.
Provedor de identidade OIDC personalizado
Você pode configurar um provedor de identidade personalizado do OpenID Connect (OIDC) para permitir que os usuários se inscrevam e entrem em seus aplicativos usando suas credenciais no provedor de identidade externo. Você também pode federar seus fluxos de login e registro com um inquilino do Azure AD B2C usando o protocolo OIDC.
Saiba como configurar um provedor de identidade OIDC personalizado.
Como atualizar métodos de entrada
Você pode atualizar as opções de login para um aplicativo a qualquer momento. Por exemplo, você pode adicionar provedores de identidade social ou alterar o método de entrada da conta local.
Quando você altera os métodos de login, isso afeta somente os novos usuários. Os usuários existentes continuam a entrar usando seu método original. Por exemplo, suponha que você comece com o método de entrada por email e senha e, em seguida, altere para email com senha única. Os novos usuários entram usando uma senha de uso único, mas todos os usuários que já se inscreveram com um email e uma senha continuam sendo solicitados a fornecer seu email e senha.
APIs do Microsoft Graph
As seguintes operações da Microsoft Graph API têm suporte para gerenciar provedores de identidade e métodos de autenticação no Microsoft Entra External ID:
- Para identificar quais provedores de identidade e métodos de autenticação são suportados, você chama a API List availableProviderTypes.
- Para identificar os provedores de identidade e os métodos de autenticação que já estão configurados e habilitados no locatário, você chama a API List IdentityProviders.
- Para habilitar um provedor de identidade ou método de autenticação compatível, chame a API Create IdentityProvider.