Поставщики удостоверений для внешних удостоверений

Поставщик удостоверений создает, поддерживает и управляет сведениями об удостоверении, одновременно предоставляя приложениям службы проверки подлинности. Когда вы предоставляете внешним пользователям доступ к приложениям и ресурсам, поставщиком удостоверений по умолчанию для совместного использования является Azure AD. То есть, если вы приглашаете внешних пользователей, у которых есть учетная запись Майкрософт или Azure AD, они смогут автоматически выполнять вход без дальнейшей настройки с вашей стороны.

Внешние удостоверения позволяют использовать различные поставщики удостоверений.

  • Учетные записи Azure Active Directory. Гостевые пользователи могут использовать свои рабочие или учебные учетные записи Azure AD для активации приглашений в службу совместной работы B2B или завершения процессов регистрации. По умолчанию Azure Active Directory является одним из разрешенных поставщиков удостоверений. Чтобы этот поставщик удостоверений стал доступным для потоков пользователей, настраивать дополнительные параметры не нужно.

  • Учетные записи Майкрософт. Гостевые пользователи могут использовать собственную личную учетную запись Майкрософт (MSA) для активации приглашений службы совместной работы B2B. При настройке потока пользователей самостоятельной регистрации можно добавить учетную запись Майкрософт в качестве одного из разрешенных поставщиков удостоверений. Чтобы этот поставщик удостоверений стал доступным для потоков пользователей, настраивать дополнительные параметры не нужно.

  • Отправка одноразового секретного кода по электронной почте. При активации приглашения или обращении к общему ресурсу гостевой пользователь может запросить временный код, который будет отправлен на его адрес электронной почты. Этот код нужно ввести, чтобы войти в систему. Функция отправки одноразового секретного кода по электронной почте позволяет проверить подлинность гостевых пользователей B2B, если это невозможно сделать с помощью других средств. При настройке потока пользователя для самостоятельной регистрации можно добавить отправку одноразового секретного кода по электронной почте в качестве одного из разрешенных поставщиков удостоверений. Вам нужно будет настроить некоторые параметры. Дополнительные сведения см. в статье Проверка подлинности с помощью отправки одноразового секретного кода по электронной почте.

  • Google. Федерация Google позволяет внешним пользователям активировать приглашения от вас и входить в ваши приложения с собственными учетными записями Gmail. Федерацию Google можно также использовать в потоках самостоятельной регистрации пользователей. См. статью о том, как добавить Google в качестве поставщика удостоверений.

    Важно!

    • Начиная с 12 июля 2021 года, если клиенты Azure AD B2B настраивают новые интеграции Google для самостоятельной регистрации в пользовательских или бизнес-приложениях, то проверка подлинности с помощью удостоверений Google будет невозможна, пока она не будет перемещена в системные веб-представления. Подробнее.
    • 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения проверяют подлинность пользователей с помощью встроенного веб-представления и вы используете федерацию Google с Azure AD B2C либо используете Azure AD B2B для приглашения внешних пользователей или самостоятельной регистрации, то пользователи Google Gmail не смогут пройти проверку подлинности. Подробнее.
  • Facebook. При создании приложения можно настроить самостоятельную регистрацию и включить федерацию Facebook, чтобы пользователи могли регистрироваться в приложении с помощью собственных учетных записей Facebook. Facebook можно использовать только для самостоятельной регистрации пользователей, но не как вариант входа, когда пользователи активируют приглашения, полученные от вас. См. статью о том, как добавить Facebook в качестве поставщика удостоверений.

  • Федерация поставщиков удостоверений SAML/WS-Fed: вы можете также настроить федерацию с любым внешним поставщиком удостоверений, который поддерживает протоколы SAML или WS-Fed. Федерация поставщиков удостоверений SAML/WS-Fed позволяет внешним пользователям активировать приглашения от вас и входить в ваши приложения с собственными учетными записями социальных сетей или организаций. См. информацию о настройке федерации поставщиков удостоверений SAML/WS-Fed.

    Примечание

    Поставщиков удостоверений SAML/WS-Fed из федерации нельзя использовать в потоках для самостоятельной регистрации пользователей.

Добавление поставщиков удостоверений в социальных сетях

Служба Azure AD включена по умолчанию для самостоятельной регистрации, поэтому у пользователей всегда есть возможность регистрации с помощью учетной записи Azure AD. Но вы можете включить другие поставщики удостоверений, в том числе в социальных сетях, например Google или Facebook. Чтобы настроить поставщики удостоверений в социальных сетях в клиенте Azure AD, создайте приложение для каждого поставщика удостоверений и настройте учетные данные. Вы получите идентификатор клиента или приложения, а также секрет клиента или приложения, который затем можно добавить в арендатор Azure AD.

После добавления поставщика удостоверений в клиент Azure AD:

  • Когда вы пригласите внешнего пользователя совместно работать с приложениями или ресурсами в вашей организации, такой пользователь сможет войти в систему, используя собственную учетную запись с этим поставщиком удостоверений.

  • Когда вы включите самостоятельную регистрацию для своих приложений, внешние пользователи смогут выполнять регистрацию в них, используя собственные учетные записи с добавленными вами поставщиками удостоверений. Они смогут выбрать на странице регистрации социальную сеть в качестве поставщика удостоверений среди вариантов, которые вы предоставили.

    Снимок экрана: экран входа с использованием учетных записей Google и Facebook

Чтобы обеспечить оптимальный интерфейс для входа, по возможности настройте федерацию с поставщиками удостоверений. Так приглашенные гости смогут без усилий выполнять вход для получения доступа к вашим приложениям.

Дальнейшие действия

Дополнительные сведения о добавлении поставщиков удостоверений для выполнения входа в приложения см. в следующих статьях: