Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: 
клиенты рабочей силы 
внешние клиенты (узнать больше)
Microsoft Entra External ID включает решение Microsoft по управлению идентификацией и доступом клиентов (CIAM). Для организаций и предприятий, которые хотят сделать свои приложения доступными для потребителей и бизнес-клиентов, внешний идентификатор упрощает добавление функций CIAM, таких как самостоятельная регистрация, персонализированный вход и управление учетными записями клиентов. Кроме того, так как эти возможности CIAM встроены в Microsoft Entra ID, вы можете воспользоваться такими функциями платформы, как повышенный уровень безопасности, соответствия требованиям и масштабируемости.
Создайте выделенного внешнего арендатора
При внедрении External ID для клиентских и бизнес-приложений сначала создайте арендатора для ваших приложений, ресурсов и каталога учетных записей клиентов.
Если вы работали с идентификатором Microsoft Entra, вы уже знакомы с клиентом Microsoft Entra, который содержит каталог сотрудников, внутренние приложения и другие организационные ресурсы. При использовании внешнего идентификатора создается отдельный клиент, который соответствует стандартной модели клиента Microsoft Entra, но настроен для внешних сценариев. Этот внешний клиент содержит следующее:
Каталог. Здесь хранятся учетные данные клиентов и данные профиля. Когда потребитель или бизнес-клиент подписывается на ваше приложение, для них создается локальная учетная запись во внешнем арендаторе.
Регистрация приложения. Microsoft Entra ID обеспечивает управление идентификацией и доступом только для зарегистрированных приложений. Регистрация приложения устанавливает отношение доверия и позволяет интегрировать приложение с идентификатором Microsoft Entra.
Потоки пользователей: внешний клиент содержит возможности самостоятельной регистрации, входа и сброса пароля, которые вы хотите включить для клиентов.
Расширения. Если нужно добавить атрибуты пользователя и данные из внешних систем, вы можете создать настраиваемые расширения проверки подлинности для потоков пользователей.
методы входа: Вы можете включить различные варианты входа в приложение, включая имя пользователя и пароль, одноразовый пароль, Google, Facebook, Apple или пользовательские идентификаторы OIDC.
Ключи шифрования. Добавляйте и администрируйте ключи шифрования для подписывания и проверки маркеров, секретов клиентов, сертификатов и паролей.
Узнайте больше о пароле и одноразовом входе в систему, а также о Google, Facebook, Apple и федерации OIDC.
В внешнем клиенте можно управлять двумя типами учетных записей пользователей:
Учетная запись клиента. Учетные записи, представляющие клиентов, которые осуществляют доступ к вашим приложениям.
Учетная запись администратора. Пользователи с рабочей учетной записью могут управлять ресурсами в арендаторе, а при наличии роли администратора могут управлять арендаторами. Пользователи с рабочими учетными записями могут создавать новые учетные записи пользователей, сбрасывать пароли, блокировать и разблокировать учетные записи, а также устанавливать разрешения или назначать учетную запись в группу безопасности.
Узнайте больше об управлении учетными записями клиентов и учетными записями администратора во внешнем клиенте.
Добавление настраиваемого входа
Внешний идентификатор предназначен для предприятий, которые хотят сделать приложения доступными для своих клиентов с помощью платформы Microsoft Entra для идентификации и доступа.
Добавление страниц регистрации и входа в приложения. Быстро добавьте интуитивно понятные и удобные функции регистрации и входа в ваши клиентские приложения. С помощью одного удостоверения клиент может получить безопасный доступ ко всем приложениям, которые вы хотите ему предоставить.
Добавьте единый вход (SSO) с использованием аккаунтов социальных сетей и предприятий. Клиенты могут выбрать для входа удостоверение социальной сети либо предприятия или управляемое удостоверение, а также использовать имя пользователя и пароль, адрес электронной почты или одноразовый секретный код.
Добавьте фирменную символику своей компании на страницу регистрации. Настройте оформление страниц регистрации и входа, включая интерфейс по умолчанию и интерфейс для определенных языков браузера.
Без труда настраивайте и расширяйте потоки регистрации. Настройте потоки идентификации пользователей в соответствии со своими потребностями. Выберите атрибуты, которые хотите получить от клиента во время регистрации, или добавьте собственные настраиваемые атрибуты. Если сведения, необходимые приложению, содержатся во внешней системе, создайте настраиваемые расширения проверки подлинности для сбора и добавления данных в маркеры проверки подлинности.
Интеграция нескольких языков и платформ приложений. С помощью Microsoft Entra можно быстро настроить и реализовать безопасные потоки проверки подлинности с фирменной символикой для различных типов приложений, платформ и языков.
Используйте собственную проверку подлинности для приложений. Создание простой проверки подлинности для мобильных и классических приложений с помощью библиотеки проверки подлинности Майкрософт (MSAL) для iOS и Android.
Обеспечьте самостоятельное управление учетными записями. Клиенты могут самостоятельно зарегистрироваться для получения онлайн-услуг, управлять своим профилем, удалить свою учетную запись, подключить многофакторную аутентификацию (MFA) или сбросить пароль без помощи администратора или службы технической поддержки.
Согласие на условия использования и политики конфиденциальности. Вы можете предложить пользователям принять условия во время регистрации. С помощью атрибутов пользователя клиента можно добавить флажки в форму регистрации и включить ссылки на условия использования и политики конфиденциальности.
См. дополнительные сведения о добавлении в приложение возможностей входа и регистрации, а также о настройке оформления страниц входа.
Проектирование потоков пользователей для самостоятельной регистрации
Вы можете создать простой интерфейс регистрации и входа для клиентов, добавив в приложение поток пользователя. Поток пользователей определяет ряд шагов регистрации и методы входа, которые они могут использовать (например, электронную почту и пароль, одноразовые секретные коды, учетные записи социальных сетей из Google, Facebook или Apple, а также пользовательских поставщиков OIDC удостоверений). Кроме того, вы можете получать сведения от клиентов во время регистрации, выбирая из ряда встроенных пользовательских атрибутов или добавляя собственные настраиваемые атрибуты.
Несколько параметров потока пользователя позволяют управлять тем, как клиент регистрируется в приложении, в том числе определять следующее:
- Методы входа и внешние поставщики удостоверений
- Атрибуты, которые нужно получить от клиента при регистрации, например имя, почтовый индекс и страна или регион проживания.
- Корпоративная фирменная символика и настройка языка.
Дополнительные сведения о настройке потока пользователя см. в статье Создание потока пользователя для регистрации и входа для клиентов.
Добавление собственной бизнес-логики
Внешний идентификатор предназначен для гибкости, позволяя определять действия в определенных точках в потоке проверки подлинности. Используя настраиваемое расширение аутентификации, вы можете добавлять утверждения из внешних систем в токен непосредственно перед его выдачей вашему приложению.
См. дополнительные сведения о добавлении собственной бизнес-логики с использованием настраиваемых расширений проверки подлинности.
Безопасность и надежность Microsoft Entra
Внешний идентификатор представляет собой конвергенцию функций бизнес-для-потребителей (B2C) в платформу Microsoft Entra. Вы получаете преимущества таких функций платформы, как повышенный уровень безопасности и соответствия нормативным требованиям, а также возможность масштабирования процессов управления идентификацией и доступом.
Условный доступ
Условный доступ Microsoft Entra объединяет сигналы, принимает решения и применяет политики безопасности. Политики условного доступа на самом простом этапе — это операторы if-then; Если пользователь хочет получить доступ к приложению, он должен выполнить действие.
Политики условного доступа применяются после того, как пользователь завершит проверку подлинности первого фактора. Например, если уровень риска входа пользователя высок, он должен выполнять MFA для получения доступа. Кроме того, наиболее строгим подходом является блокировка доступа к приложению.
Подсказка
Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования условного доступа и многофакторной проверки подлинности.
Многофакторная проверка подлинности (MFA)
Microsoft Entra MFA помогает защитить доступ к данным и приложениям, сохраняя простоту для пользователей. Внешняя идентификация Microsoft Entra интегрируется непосредственно с Microsoft Entra MFA, чтобы обеспечить безопасность для регистрации и входа, требуя второй формы проверки подлинности. Многофакторную проверку подлинности можно настроить в зависимости от степени безопасности, которую вы хотите применить к приложениям. Рассмотрим следующие сценарии:
Вы предлагаете клиентам одно приложение и хотите включить многофакторную аутентификацию для дополнительного уровня безопасности. Вы можете включить MFA в политике условного доступа, предназначенной для всех пользователей и приложения.
Вы предлагаете клиентам несколько приложений, но для каждого приложения не требуется многофакторная проверка подлинности. Например, пользователь может войти в приложение автострахования с помощью учетной записи в социальной сети или локальной учетной записи, но должен подтвердить номер телефона, прежде чем получить доступ к приложению страхования жилища, зарегистрированному в том же каталоге. В политике условного доступа вы можете нацелиться на всех пользователей, но применить MFA только к тем приложениям, для которых это требуется.
Узнайте больше о MFA во внешних клиентах или узнайте, как включить многофакторную проверку подлинности.
Надежность и масштабируемость Microsoft Entra
Создавайте интерфейсы входа с широкими возможностями настройки и управляйте учетными записями клиентов в большом масштабе. Обеспечьте удобную работу с клиентами благодаря преимуществам производительности, устойчивости, непрерывности бизнес-процессов, малой задержки и высокой пропускной способности Microsoft Entra.
Анализ активности пользователей и участия
Функция действий пользователей приложения в разделе "Использование и аналитика" предоставляет аналитику данных о действиях пользователей и взаимодействии с зарегистрированными приложениями в клиенте. Эту функцию можно использовать для просмотра, запроса и анализа данных о действиях пользователей в Центре администрирования Microsoft Entra. Это поможет вам выявить ценные аналитические сведения, которые могут помочь стратегическим решениям и стимулировать рост бизнеса.
Дополнительные сведения о панелях мониторинга действий пользователей приложения, доступных во внешнем клиенте.
Общие сведения об Azure AD B2C
Начиная с 1 мая 2025 г. Azure AD B2C больше не доступен для покупки новыми клиентами (дополнительные сведения см. в разделе "Вопросы и ответы"). Внешний идентификатор Microsoft Entra — это решение CIAM следующего поколения от Корпорации Майкрософт с новыми функциями и возможностями, созданными на этой платформе.
Следующие шаги
- Ознакомьтесь с нашими учебными, интерактивными демонстрациями и видео.
- Дополнительные сведения о планировании внешних идентификаторов в Microsoft Entra.
- См. также Microsoft Entra External ID Developer Center для последних материалов и ресурсов разработчика.