Обзор. Защита приложений с помощью внешнего идентификатора в внешнем клиенте

Внешняя идентификация Microsoft Entra включает решение для управления удостоверениями и доступом (CIAM) корпорации Майкрософт. Для организаций и предприятий, которые хотят сделать свои приложения доступными для потребителей и бизнес-клиентов, внешний идентификатор упрощает добавление функций CIAM, таких как самостоятельная регистрация, персонализированный вход и управление учетными записями клиентов. Кроме того, так как эти возможности CIAM встроены в Microsoft Entra ID, вы можете воспользоваться такими функциями платформы, как повышенный уровень безопасности, соответствия требованиям и масштабируемости.

Создание выделенного внешнего клиента

При начале работы с внешним идентификатором для клиентских и бизнес-приложений сначала создается клиент для приложений, ресурсов и каталог учетных записей клиентов.

Если вы работали с идентификатором Microsoft Entra, вы уже знакомы с клиентом Microsoft Entra, который содержит каталог сотрудников, внутренние приложения и другие организационные ресурсы. При использовании внешнего идентификатора создается отдельный клиент, который соответствует стандартной модели клиента Microsoft Entra, но настроен для внешних сценариев. Этот внешний клиент содержит следующее:

• Каталог. Здесь хранятся учетные данные клиентов и данные профиля. Когда потребитель или бизнес-клиент регистрирует приложение, локальная учетная запись создается для них во внешнем клиенте.

• Регистрация приложения. Microsoft Entra ID обеспечивает управление идентификацией и доступом только для зарегистрированных приложений. Регистрация приложения устанавливает отношение доверия и позволяет интегрировать приложение с идентификатором Microsoft Entra.

• Потоки пользователей: внешний клиент содержит возможности самостоятельной регистрации, входа и сброса пароля, которые вы хотите включить для клиентов.

• Расширения. Если нужно добавить атрибуты пользователя и данные из внешних систем, вы можете создать настраиваемые расширения проверки подлинности для потоков пользователей.

• Методы входа. Вы можете включить различные варианты входа в приложение, в частности имя пользователя и пароль, одноразовый секретный код и удостоверения Google или Facebook.

• Ключи шифрования. Добавляйте и администрируйте ключи шифрования для подписывания и проверки маркеров, секретов клиентов, сертификатов и паролей.

Узнайте больше о входе паролей и единовременном входе секретного кода, а также о федерации Google и Facebook.

В внешнем клиенте можно управлять двумя типами учетных записей пользователей:

• Учетная запись клиента. Учетные записи, представляющие клиентов, которые осуществляют доступ к вашим приложениям.

• Учетная запись администратора. Пользователи с рабочей учетной записью могут управлять ресурсами в арендаторе, а при наличии роли администратора могут управлять арендаторами. Пользователи с рабочими учетными записями могут создавать новые учетные записи пользователей, сбрасывать пароли, блокировать и разблокировать учетные записи, а также устанавливать разрешения или назначать учетную запись в группу безопасности.

Узнайте больше об управлении учетными записями клиентов и учетными записями администратора во внешнем клиенте.

Добавление настраиваемого входа

Внешний идентификатор предназначен для предприятий, которые хотят сделать приложения доступными для своих клиентов с помощью платформы Microsoft Entra для идентификации и доступа.

• Добавление страниц регистрации и входа в приложения. Оперативно добавляйте интуитивно понятные и удобные для пользователей возможности регистрации и входа для клиентских приложений. С помощью одного удостоверения клиент может получить безопасный доступ ко всем приложениям, которые вы хотите ему предоставить.

• Добавьте единый вход с использованием удостоверений социальных сетей и предприятий. Клиенты могут выбрать для входа удостоверение социальной сети либо предприятия или управляемое удостоверение, а также использовать имя пользователя и пароль, адрес электронной почты или одноразовый секретный код.

• Добавьте фирменную символику своей компании на страницу регистрации. Настройте оформление страниц регистрации и входа, включая интерфейс по умолчанию и интерфейс для определенных языков браузера.

• Без труда настраивайте и расширяйте потоки регистрации. Настройте потоки идентификации пользователей в соответствии со своими потребностями. Выберите атрибуты, которые хотите получить от клиента во время регистрации, или добавьте собственные настраиваемые атрибуты. Если сведения, необходимые приложению, содержатся во внешней системе, создайте настраиваемые расширения проверки подлинности для сбора и добавления данных в маркеры проверки подлинности.

• Интеграция нескольких языков и платформ приложений. С помощью Microsoft Entra можно быстро настроить и реализовать безопасные потоки проверки подлинности с фирменной символикой для различных типов приложений, платформ и языков.

• Используйте собственную проверку подлинности для приложений. Создание простой проверки подлинности для мобильных и классических приложений с помощью предварительной версии библиотеки проверки подлинности Майкрософт (MSAL) для iOS и Android.

• Обеспечьте самостоятельного управление учетными записями. Клиенты могут самостоятельно зарегистрироваться для получения веб-службы, управлять своим профилем, удалить свою учетную запись, регистрироваться для использования метода многофакторной проверки подлинности (MFA) или сбрасывать пароль без помощи администратора либо службы технической поддержки.

• Согласие на условия использования и политики конфиденциальности. Вы можете предложить пользователям принять условия во время регистрации. Используя атрибуты пользователя клиента, вы можете добавить проверка boxes в форму регистрации и включить ссылки на условия использования и политики конфиденциальности.

См. дополнительные сведения о добавлении в приложение возможностей входа и регистрации, а также о настройке оформления страниц входа.

Проектирование потоков пользователей для самостоятельной регистрации

Вы можете создать простой интерфейс регистрации и входа для клиентов, добавив в приложение поток пользователя. Поток пользователя определяет ряд действий по регистрации, которые выполняют пользователи, и методы входа, которые они могут использовать (например, адрес электронной почты и пароль, одноразовые секретные коды или учетные записи социальных сетей Google либо Facebook). Кроме того, вы можете получать сведения от клиентов во время регистрации, выбирая из ряда встроенных пользовательских атрибутов или добавляя собственные настраиваемые атрибуты.

Несколько параметров потока пользователя позволяют управлять тем, как клиент регистрируется в приложении, в том числе определять следующее:

• Методы входа и поставщики удостоверений социальных сетей (Google или Facebook).
• Атрибуты, которые нужно получить от клиента при регистрации, например имя, почтовый индекс и страна или регион проживания.
• Корпоративная фирменная символика и настройка языка.

Дополнительные сведения о настройке потока пользователя см. в статье Создание потока пользователя для регистрации и входа для клиентов.

Добавление собственной бизнес-логики

Внешний идентификатор предназначен для гибкости, позволяя определять действия в определенных точках в потоке проверки подлинности. С помощью настраиваемого расширения проверки подлинности можно добавлять в маркер утверждения из внешних систем непосредственно перед его выдачей приложению.

См. дополнительные сведения о добавлении собственной бизнес-логики с использованием настраиваемых расширений проверки подлинности.

Безопасность и надежность Microsoft Entra

Внешний идентификатор представляет собой конвергенцию функций бизнес-потребителей (B2C) на платформу Microsoft Entra. Вы получаете преимущества таких функций платформы, как повышенный уровень безопасности и соответствия нормативным требованиям, а также возможность масштабирования процессов управления идентификацией и доступом.

• Безопасность Microsoft Entra. Получите все преимущества обеспечения безопасности и конфиденциальности данных Microsoft Entra, включая условный доступ, многофакторную проверку подлинности и систему управления. Реализуйте защиту доступа к приложениям с помощью надежной проверки подлинности и адаптивных политик доступа на основе рисков. Так как управление клиентами осуществляется в отдельном арендаторе, вы можете настроить политики доступа для пользователей, которые обычно используют личные и общие устройства вместо управляемых.

• Надежность и масштабируемость Microsoft Entra. Создавайте интерфейсы входа с широкими возможностями настройки и управляйте учетными записями клиентов в большом масштабе. Обеспечьте удобную работу с клиентами благодаря преимуществам производительности, устойчивости, непрерывности бизнес-процессов, малой задержки и высокой пропускной способности Microsoft Entra.

Дополнительные сведения о функциях безопасности и управления , доступных во внешнем клиенте.

Анализ активности пользователей и участия

Функция действий пользователей приложения в разделе "Использование и аналитика" предоставляет аналитику данных о действиях пользователей и взаимодействии с зарегистрированными приложениями в клиенте. Эту функцию можно использовать для просмотра, запроса и анализа данных о действиях пользователей в Центре администрирования Microsoft Entra. Это поможет вам выявить ценные аналитические сведения, которые могут помочь стратегическим решениям и стимулировать рост бизнеса.

Дополнительные сведения о панелях мониторинга действий пользователей приложения, доступных во внешнем клиенте.

Общие сведения об Azure AD B2C

Если вы новый клиент, вы можете задаться вопросом, какое решение лучше подходит, Azure AD B2C или Внешняя идентификация Microsoft Entra. Выберите текущий продукт Azure AD B2C, если:

• У вас есть немедленная необходимость развертывания готовой к рабочей сборке.

  Примечание.

  Имейте в виду, что платформа Внешняя идентификация Microsoft Entra следующего поколения представляет будущее CIAM для Майкрософт, а также быстрые инновации, новые функции и возможности будут сосредоточены на этой платформе. Выбрав платформу следующего поколения с самого начала, вы получите преимущества быстрой инноваций и архитектуры с последующим подтверждением.

Выберите платформу следующего поколения Внешняя идентификация Microsoft Entra, если:

• Вы начинаете создавать новые удостоверения в приложения или на ранних этапах обнаружения продуктов.
• Преимущества быстрых инноваций, новых функций и добавленных возможностей являются приоритетом.

Следующие шаги

• Дополнительные сведения о планировании Внешняя идентификация Microsoft Entra.
• См. также центр разработчиков Внешняя идентификация Microsoft Entra для последних версий содержимого и ресурсов разработчика.