Поставщики удостоверений для внешних клиентов
Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)
Совет
Эта статья относится к внешнему идентификатору во внешних клиентах. Сведения о клиентах рабочей силы см. в разделе "Поставщики удостоверений" для внешнего идентификатора в клиентах рабочей силы.
С помощью Внешняя идентификация Microsoft Entra вы можете создавать безопасные настраиваемые возможности входа для приложений, подключенных к потребителю и бизнесу. В внешнем клиенте существует несколько способов регистрации для приложения. Они могут создать учетную запись с помощью электронной почты и пароля или одноразовый секретный код. Или, если вы включите вход в Facebook и Google, они могут войти с помощью собственной учетной записи социальной сети.
В этой статье описываются поставщики удостоверений, доступные для первичной проверки подлинности при регистрации и входе в приложения во внешних клиентах. Вы также можете повысить безопасность, применяя политику многофакторной проверки подлинности (MFA), требующую второй формы проверки при каждом входе пользователя (подробнее).
Вход электронной почты и пароля
Подписка по электронной почте включена по умолчанию в настройках вашего локального поставщика удостоверений. С помощью параметра электронной почты клиенты могут зарегистрироваться и войти с помощью своего адреса электронной почты и пароля.
Регистрация: клиентам предлагается адрес электронной почты, который проверяется при регистрации с помощью однократного секретного кода. Затем клиент вводит любую другую информацию, запрошенную на странице регистрации, например отображаемое имя, заданное имя и фамилию. Затем необходимо выбрать Продолжить, чтобы создать учетную запись.
Вход. После регистрации и создания учетной записи клиент может войти, введя свой адрес электронной почты и пароль.
Сброс пароля: если вы включите вход электронной почты и пароля, на странице пароля появится ссылка сброса пароля. Если клиент забывает пароль, при выборе этой ссылки отправляется одноразовый секретный код на свой адрес электронной почты. После проверки клиент может выбрать новый пароль.
При создании потока регистрации и входа в систему электронная почта с паролем является параметром по умолчанию.
Электронная почта с единым входом секретного кода
Электронная почта с одноразовым секретным кодом — это параметр в параметрах поставщика удостоверений локальной учетной записи. С помощью этого параметра клиент выполняет вход с помощью временного секретного кода вместо сохраненного пароля при каждом входе.
Регистрация: клиенты могут зарегистрироваться с помощью своего адреса электронной почты и запросить временный код, который отправляется по адресу электронной почты. Этот код нужно ввести, чтобы войти в систему.
Вход. После регистрации и создания учетной записи клиент каждый раз при входе в систему введет свой адрес электронной почты и получает временный секретный код.
Вы также можете настроить параметры для отображения, скрытия или настройки ссылки для самостоятельного сброса пароля на странице входа (дополнительные сведения).
При создании потока регистрации и входа в систему одноразовый секретный код электронной почты является одним из вариантов локальной учетной записи.
Поставщики социальных удостоверений: Facebook и Google
Для оптимального входа федеративные поставщики удостоверений социальных удостоверений по возможности позволяют клиентам легко зарегистрироваться и войти в систему. В внешнем клиенте можно разрешить клиенту зарегистрироваться и войти с помощью собственной учетной записи Facebook или Google. Когда клиент регистрирует приложение с помощью своей учетной записи социальной сети, поставщик удостоверений социальных удостоверений создает, сохраняет и управляет сведениями об удостоверениях, предоставляя службы проверки подлинности приложениям.
При включении поставщиков удостоверений социальных сетей клиенты могут выбрать варианты поставщиков удостоверений социальных сетей, доступные на странице регистрации. Чтобы настроить поставщиков удостоверений социальных удостоверений во внешнем клиенте, создайте приложение на поставщике удостоверений и настройте учетные данные. Вы получаете идентификатор клиента или приложения и секрет клиента или приложения, который затем можно добавить во внешний клиент.
Вход Google (предварительная версия)
Настроив федерацию с Google, вы можете разрешить клиентам входить в приложения с помощью собственных учетных записей Gmail. После добавления Google в качестве одного из вариантов входа в приложение на странице входа пользователи могут войти в Внешняя идентификация Microsoft Entra с помощью учетной записи Google.
На следующих снимках экрана показан вход с помощью Google. На странице входа пользователи выбирают вход с помощью Google. На этом этапе пользователь перенаправляется на поставщика удостоверений Google, чтобы завершить вход.
Узнайте, как добавить Google в качестве поставщика удостоверений.
Вход в Facebook (предварительная версия)
Настроив федерацию с Facebook, вы можете разрешить пользователям входить в свои приложения с помощью собственных учетных записей Facebook. После добавления Facebook в качестве одного из вариантов входа в приложение на странице входа пользователи могут войти в Внешняя идентификация Microsoft Entra с помощью учетной записи Facebook.
На следующих снимках экрана показан вход с помощью интерфейса Facebook. На странице входа пользователи выбирают вход с помощью Facebook. Затем пользователь перенаправляется на поставщика удостоверений Facebook, чтобы завершить вход.
Узнайте, как добавить Facebook в качестве поставщика удостоверений.
Обновление методов входа
В любое время вы можете обновить параметры входа для приложения. Например, можно добавить поставщиков удостоверений социальных сетей или изменить метод входа в локальную учетную запись.
При изменении методов входа изменение влияет только на новых пользователей. Существующие пользователи продолжают выполнять вход с помощью исходного метода. Например, предположим, что вы начинаете с метода входа в электронную почту и пароль, а затем перейдете на электронную почту с одноразовым секретным кодом. Новые пользователи вошли с помощью однократного секретного кода, но все пользователи, которые уже зарегистрировались с помощью электронной почты и пароля, продолжают запрашивать их электронную почту и пароль.
API-интерфейсы Microsoft Graph
Следующие операции API Microsoft Graph поддерживаются для управления поставщиками удостоверений и методами проверки подлинности в Внешняя идентификация Microsoft Entra.
- Чтобы определить, какие поставщики удостоверений и методы проверки подлинности поддерживаются, вызовите API List availableProviderTypes .
- Чтобы определить поставщиков удостоверений и методы проверки подлинности, которые уже настроены и включены в клиенте, вызовите API List identityProviders .
- Чтобы включить поддерживаемый поставщик удостоверений или метод проверки подлинности, вызовите API Create identityProvider .