Методы проверки подлинности и поставщики удостоверений для клиентов

  • Статья

Внешняя идентификация Microsoft Entra предлагает несколько вариантов проверки подлинности пользователей приложений. Вы можете разрешить клиентам создавать учетную запись в каталоге клиентов с помощью электронной почты и пароля или одноразового секретного кода электронной почты. Вы также можете включить вход с помощью учетной записи социальной сети.

Вход электронной почты и пароля

Подписка по электронной почте включена по умолчанию в настройках вашего локального поставщика удостоверений. С помощью параметра электронной почты клиенты могут зарегистрироваться и войти с помощью своего адреса электронной почты и пароля.

  • Регистрация: клиентам предлагается адрес электронной почты, который проверяется при регистрации с помощью однократного секретного кода. Затем клиент вводит любую другую информацию, запрошенную на странице регистрации, например отображаемое имя, заданное имя и фамилию. Затем необходимо выбрать Продолжить, чтобы создать учетную запись.

  • Вход. После регистрации и создания учетной записи клиент может войти, введя свой адрес электронной почты и пароль.

  • Сброс пароля: если вы включите вход электронной почты и пароля, на странице пароля появится ссылка сброса пароля. Если клиент забывает пароль, при выборе этой ссылки отправляется одноразовый секретный код на свой адрес электронной почты. После проверки клиент может выбрать новый пароль.

    Снимок экрана электронной почты с экранами входа в систему паролей.

При создании потока регистрации и входа в систему электронная почта с паролем является параметром по умолчанию.

Электронная почта с единым входом секретного кода

Электронная почта с одноразовым секретным кодом — это параметр в параметрах поставщика удостоверений локальной учетной записи. С помощью этого параметра клиент выполняет вход с помощью временного секретного кода вместо сохраненного пароля при каждом входе.

  • Регистрация: клиенты могут зарегистрироваться с помощью своего адреса электронной почты и запросить временный код, который отправляется по адресу электронной почты. Этот код нужно ввести, чтобы войти в систему.

  • Вход. После регистрации и создания учетной записи клиент каждый раз, когда они подписывают свой адрес электронной почты и получают временный секретный код.

    Снимок экрана электронной почты с экранами единовременного входа с секретным кодом.

Примечание.

Если вы хотите включить многофакторную проверку подлинности (MFA), задайте для метода проверки подлинности локальной учетной записи значение Email с паролем. Если для локальной учетной записи задано значение Email с одноразовым секретным кодом, клиенты, использующие этот метод, не смогут войти, так как одноразовый секретный код уже является их методом единого фактора входа и не может использоваться в качестве второго фактора. В настоящее время другие методы проверки недоступны для сценариев клиента.

При создании потока регистрации и входа в систему одноразовый секретный код электронной почты является одним из вариантов локальной учетной записи.

Поставщики социальных удостоверений: Facebook и Google

Для оптимального входа федеративные поставщики удостоверений социальных удостоверений по возможности позволяют клиентам легко зарегистрироваться и войти в систему. В внешнем клиенте можно разрешить клиенту зарегистрироваться и войти с помощью собственной учетной записи Facebook или Google. Когда клиент регистрирует приложение с помощью своей учетной записи социальной сети, поставщик удостоверений социальных удостоверений создает, сохраняет и управляет сведениями об удостоверениях, предоставляя службы проверки подлинности приложениям.

При включении поставщиков удостоверений социальных сетей клиенты могут выбрать варианты поставщиков удостоверений социальных сетей, доступные на странице регистрации. Чтобы настроить поставщиков удостоверений социальных удостоверений во внешнем клиенте, создайте приложение на поставщике удостоверений и настройте учетные данные. Вы получаете идентификатор клиента или приложения и секрет клиента или приложения, который затем можно добавить во внешний клиент.

Вход Google

Настроив федерацию с Google, вы можете разрешить клиентам входить в приложения с помощью собственных учетных записей Gmail. После добавления Google в качестве одного из вариантов входа в приложение на странице входа пользователи могут войти в Внешняя идентификация Microsoft Entra с помощью учетной записи Google.

На следующих снимках экрана показан вход с помощью Google. На странице входа пользователи выбирают вход с помощью Google. На этом этапе пользователь перенаправляется на поставщика удостоверений Google, чтобы завершить вход.

Снимок экрана: экраны входа в Google.

Узнайте, как добавить Google в качестве поставщика удостоверений.

Вход в Facebook

Настроив федерацию с Facebook, вы можете разрешить пользователям входить в свои приложения с помощью собственных учетных записей Facebook. После добавления Facebook в качестве одного из вариантов входа в приложение на странице входа пользователи могут войти в Внешняя идентификация Microsoft Entra с помощью учетной записи Facebook.

На следующих снимках экрана показан вход с помощью интерфейса Facebook. На странице входа пользователи выбирают вход с помощью Facebook. Затем пользователь перенаправляется на поставщика удостоверений Facebook, чтобы завершить вход.

Снимок экрана: экраны входа в Facebook.

Узнайте, как добавить Facebook в качестве поставщика удостоверений.

Обновление методов входа

В любое время вы можете обновить параметры входа, выбранные для приложения. Например, можно добавить поставщиков удостоверений социальных сетей или изменить метод входа в локальную учетную запись.

Помните, что при изменении методов входа изменение влияет только на новых пользователей. Существующие пользователи будут продолжать выполнять вход с помощью исходного метода. Например, предположим, что вы начинаете с метода входа в электронную почту и пароль, а затем перейдете на электронную почту с одноразовым секретным кодом. Новые пользователи будут входить с помощью однократного секретного кода, но все пользователи, которые уже зарегистрировались с помощью электронной почты и пароля, будут по-прежнему запрашивать их электронную почту и пароль.

API-интерфейсы Microsoft Graph

Следующие операции API Microsoft Graph поддерживаются для управления поставщиками удостоверений и методами проверки подлинности в Внешняя идентификация Microsoft Entra.

  • Чтобы определить, какие поставщики удостоверений и методы проверки подлинности поддерживаются, вызовите API List availableProviderTypes .
  • Чтобы определить поставщиков удостоверений и методы проверки подлинности, которые уже настроены и включены в клиенте, вызовите API List identityProviders .
  • Чтобы включить поддерживаемый поставщик удостоверений или метод проверки подлинности, вызовите API Create identityProvider .

Следующие шаги

Дополнительные сведения о добавлении поставщиков удостоверений для выполнения входа в приложения см. в следующих статьях: