Поделиться через


Обзор. Защита приложений с помощью внешнего идентификатора в внешнем клиенте

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Внешняя идентификация Microsoft Entra включает решение для управления удостоверениями и доступом (CIAM) корпорации Майкрософт. Для организаций и предприятий, которые хотят сделать свои приложения доступными для потребителей и бизнес-клиентов, внешний идентификатор упрощает добавление функций CIAM, таких как самостоятельная регистрация, персонализированный вход и управление учетными записями клиентов. Так как эти возможности CIAM встроены в идентификатор Microsoft Entra ID, вы также можете воспользоваться такими функциями платформы, как улучшенная безопасность, соответствие и масштабируемость.

Схема, показывающая обзор управления удостоверениями клиентов и доступом.

Создание выделенного внешнего клиента

При начале работы с внешним идентификатором для клиентских и бизнес-приложений сначала создается клиент для приложений, ресурсов и каталог учетных записей клиентов.

Если вы работали с идентификатором Microsoft Entra, вы уже знакомы с клиентом Microsoft Entra, который содержит каталог сотрудников, внутренние приложения и другие организационные ресурсы. При использовании внешнего идентификатора создается отдельный клиент, который соответствует стандартной модели клиента Microsoft Entra, но настроен для внешних сценариев. Этот внешний клиент содержит следующее:

  • Каталог: каталог хранит учетные данные клиентов и данные профиля. Когда потребитель или бизнес-клиент регистрирует приложение, локальная учетная запись создается для них во внешнем клиенте.

  • Регистрация приложений. Идентификатор Microsoft Entra выполняет управление удостоверениями и доступом только для зарегистрированных приложений. Регистрация приложения устанавливает отношение доверия и позволяет интегрировать приложение с идентификатором Microsoft Entra.

  • Потоки пользователей: внешний клиент содержит возможности самостоятельной регистрации, входа и сброса пароля, которые вы хотите включить для клиентов.

  • Расширения. Если необходимо добавить атрибуты пользователей и данные из внешних систем, можно создать пользовательские расширения проверки подлинности для потоков пользователей.

  • Методы входа. Вы можете включить различные варианты входа в приложение, включая имя пользователя и пароль, одноразовый секретный код и удостоверения Google или Facebook.

  • Ключи шифрования. Добавление ключей шифрования и управление ими для подписывания и проверки маркеров, секретов клиента, сертификатов и паролей.

Узнайте больше о входе паролей и единовременном входе секретного кода, а также о федерации Google и Facebook.

В внешнем клиенте можно управлять двумя типами учетных записей пользователей:

  • Учетная запись клиента: учетные записи, представляющие клиентов, которые обращаются к вашим приложениям.

  • Учетная запись администратора. Пользователи с рабочими учетными записями могут управлять ресурсами в клиенте и с ролью администратора, также могут управлять клиентами. Пользователи с рабочими учетными записями могут создавать новые учетные записи потребителей, сбрасывать пароли, блокировать или разблокировать учетные записи, а также задавать разрешения или назначать учетную запись группе безопасности.

Узнайте больше об управлении учетными записями клиентов и учетными записями администратора во внешнем клиенте.

Добавление настраиваемого входа

Внешний идентификатор предназначен для предприятий, которые хотят сделать приложения доступными для своих клиентов с помощью платформы Microsoft Entra для идентификации и доступа.

  • Добавьте страницы регистрации и входа в приложения. Быстро добавьте интуитивно понятные и понятные возможности регистрации и регистрации для клиентских приложений. С помощью одного удостоверения клиент может безопасно получить доступ ко всем приложениям, которые вы хотите использовать.

  • Добавьте единый вход (SSO) с удостоверениями социальных и корпоративных удостоверений. Клиенты могут выбрать социальное, корпоративное или управляемое удостоверение для входа с помощью имени пользователя и пароля, электронной почты или однократного секретного кода.

  • Добавьте фирменную символику компании на страницу регистрации. Настройте внешний вид и интерфейс регистрации и входа, включая интерфейс по умолчанию и интерфейс для определенных языков браузера.

  • Легко настраивать и расширять потоки регистрации. Настройте потоки пользователей удостоверений в соответствии с вашими потребностями. Выберите атрибуты, которые нужно собрать от клиента во время регистрации, или добавьте собственные настраиваемые атрибуты. Если сведения, необходимые приложению, содержатся во внешней системе, создайте пользовательские расширения проверки подлинности для сбора и добавления данных в маркеры проверки подлинности.

  • Интеграция нескольких языков приложений и платформ. С помощью Microsoft Entra вы можете быстро настроить и обеспечить безопасные, фирменные потоки проверки подлинности для нескольких типов приложений, платформ и языков.

  • Используйте собственную проверку подлинности для приложений. Создание простой проверки подлинности для мобильных и классических приложений с помощью библиотеки проверки подлинности Майкрософт (MSAL) для iOS и Android.

  • Укажите самостоятельное управление учетными записями. Клиенты могут регистрировать веб-службы самостоятельно, управлять своим профилем, удалять свою учетную запись, регистрироваться в методе многофакторной проверки подлинности (MFA) или сбрасывать пароль без помощи администратора или службы технической поддержки.

  • Согласие на условия использования и политики конфиденциальности. Вы можете предложить пользователям принять условия во время регистрации. С помощью атрибутов пользователя клиента можно добавить флажки в форму регистрации и включить ссылки на условия использования и политики конфиденциальности.

Узнайте больше о добавлении входа и регистрации в приложение и настройке внешнего вида входа.

Проектирование потоков пользователей для самостоятельной регистрации

Вы можете создать простой интерфейс регистрации и входа для клиентов, добавив поток пользователя в приложение. Поток пользователя определяет ряд шагов регистрации и методов входа, которые они могут использовать (например, электронную почту и пароль, одноразовые секретные коды или учетные записи социальных сетей из Google или Facebook). Вы также можете собирать сведения от клиентов во время регистрации, выбрав из ряда встроенных атрибутов пользователя или добавив собственные пользовательские атрибуты.

Несколько параметров потока пользователя позволяют контролировать, как клиент регистрируется в приложении, в том числе:

  • Методы входа и поставщики удостоверений социальных сетей (Google или Facebook)
  • Атрибуты, собираемые от регистрации клиента, например имя, почтовый индекс или страна или регион проживания
  • Настройка фирменной символики и языка компании

Дополнительные сведения о настройке потока пользователя см. в разделе "Создание потока регистрации и входа" для клиентов.

Добавление собственной бизнес-логики

Внешний идентификатор предназначен для гибкости, позволяя определять действия в определенных точках в потоке проверки подлинности. С помощью настраиваемого расширения проверки подлинности можно добавлять утверждения из внешних систем в маркер непосредственно перед его выдачой приложению.

Узнайте больше о добавлении собственной бизнес-логики с помощью пользовательских расширений проверки подлинности.

Безопасность и надежность Microsoft Entra

Внешний идентификатор представляет собой конвергенцию функций бизнес-потребителей (B2C) на платформу Microsoft Entra. Вы можете воспользоваться такими функциями платформы, как улучшенная безопасность, соответствие нормативным требованиям и возможность масштабирования процессов управления удостоверениями и доступом.

  • Безопасность Microsoft Entra. Получите все преимущества безопасности и конфиденциальности данных Microsoft Entra, включая условный доступ, многофакторную проверку подлинности и управление. Защита доступа к приложениям с помощью строгой проверки подлинности и политик адаптивного доступа на основе рисков. Так как клиенты управляются в отдельном клиенте, вы можете настроить политики доступа для пользователей, которые обычно используют персональные и общие устройства вместо управляемых.

  • Надежность и масштабируемость Microsoft Entra. Создайте высоко настраиваемые возможности входа и управляйте учетными записями клиентов в большом масштабе. Обеспечьте хороший интерфейс клиента, используя преимущества производительности Microsoft Entra, устойчивости, непрерывности бизнес-процессов, низкой задержки и высокой пропускной способности.

Дополнительные сведения о функциях безопасности и управления , доступных во внешнем клиенте.

Анализ активности пользователей и участия

Функция действий пользователей приложения в разделе "Использование и аналитика" предоставляет аналитику данных о действиях пользователей и взаимодействии с зарегистрированными приложениями в клиенте. Эту функцию можно использовать для просмотра, запроса и анализа данных о действиях пользователей в Центре администрирования Microsoft Entra. Это поможет вам выявить ценные аналитические сведения, которые могут помочь стратегическим решениям и стимулировать рост бизнеса.

Дополнительные сведения о панелях мониторинга действий пользователей приложения, доступных во внешнем клиенте.

Сведения о Azure AD B2C

Если вы новый клиент, вы можете задаться вопросом, какое решение лучше подходит, Azure AD B2C или Внешняя идентификация Microsoft Entra. Выберите текущий продукт Azure AD B2C, если:

  • У вас есть немедленная необходимость развертывания готовой к рабочей сборке.

    Заметка

    Имейте в виду, что платформа Внешняя идентификация Microsoft Entra следующего поколения представляет будущее CIAM для Майкрософт, а также быстрые инновации, новые функции и возможности будут сосредоточены на этой платформе. Выбрав платформу следующего поколения с самого начала, вы получите преимущества быстрой инноваций и архитектуры с последующим подтверждением.

Выберите платформу следующего поколения Внешняя идентификация Microsoft Entra, если:

  • Вы начинаете создавать новые удостоверения в приложения или на ранних этапах обнаружения продуктов.
  • Преимущества быстрых инноваций, новых функций и добавленных возможностей являются приоритетом.

Дальнейшие действия