Identitetsprovidrar för externa identiteter

  • Artikel
  • 3 minuter för att läsa

En identitetsprovider skapar, underhåller och hanterar identitetsinformation samtidigt som autentiseringstjänster till program. När du delar dina appar och resurser med externa användare är Azure AD standardidentitetsprovidern för delning. Det innebär att när du bjuder in externa användare som redan har ett Azure AD- eller Microsoft-konto kan de automatiskt logga in utan ytterligare konfiguration från din sida.

Externa identiteter erbjuder en mängd olika identitetsprovidrar.

  • Azure Active Directory-konton: Gästanvändare kan använda sina Azure AD arbets- eller skolkonton för att lösa in dina B2B-samarbetsinbjudningar eller slutföra dina användarflöden för registrering. Azure Active Directory är en av de tillåtna identitetsprovidrar som standard. Ingen ytterligare konfiguration krävs för att göra den här identitetsprovidern tillgänglig för användarflöden.

  • Microsoft-konton: Gästanvändare kan använda sitt eget personliga Microsoft-konto (MSA) för att lösa in dina B2B-samarbetsinbjudningar. När du konfigurerar ett användarflöde för självbetjäningsregistrering kan du lägga till Microsoft-konto som en av de tillåtna identitetsprovidrar. Ingen ytterligare konfiguration krävs för att göra den här identitetsprovidern tillgänglig för användarflöden.

  • Email engångslösenord: När du löser in en inbjudan eller öppnar en delad resurs kan en gästanvändare begära en tillfällig kod som skickas till deras e-postadress. Sedan anger användaren den här koden för att fortsätta logga in. E-postfunktionen för engångslösenord autentiserar B2B-gästanvändare när de inte kan autentiseras på annat sätt. När du konfigurerar ett användarflöde för självbetjäningsregistrering kan du lägga till Email One-Time lösenord som en av de tillåtna identitetsprovidrar. Viss konfiguration krävs. se Email autentisering med engångslösenord.

  • Google: Med Google-federation kan externa användare lösa in inbjudningar från dig genom att logga in på dina appar med sina egna Gmail-konton. Google-federation kan också användas i dina användarflöden för registrering via självbetjäning. Se hur du lägger till Google som identitetsprovider.

    Viktigt

    • Från och med den 12 juli 2021, om Azure AD B2B-kunder konfigurerar nya Google-integreringar för användning med självbetjäningsregistrering för sina anpassade eller verksamhetsspecifika program, fungerar inte autentisering med Google-identiteter förrän autentiseringar flyttas till systemwebbvyer. Läs mer.
    • Från och med den 30 september 2021 är Google inaktuellt stöd för inbäddad webbvyinloggning. Om dina appar autentiserar användare med en inbäddad webbvy och du använder Google-federation med Azure AD B2C eller Azure AD B2B för externa användarinbjudningar eller självbetjäningsregistrering kommer Google Gmail-användare inte att kunna autentisera. Läs mer.

  • Facebook: När du skapar en app kan du konfigurera registrering via självbetjäning och aktivera Facebook-federation så att användare kan registrera sig för din app med sina egna Facebook-konton. Facebook kan bara användas för användarflöden för självbetjäningsregistrering och är inte tillgängligt som ett inloggningsalternativ när användare löser in inbjudningar från dig. Se hur du lägger till Facebook som identitetsprovider.

  • SAML/WS-Fed-identitetsproviderfederation: Du kan också konfigurera federation med valfri extern IdP som stöder SAML- eller WS-Fed-protokoll. SAML/WS-Fed IdP-federation tillåter externa användare att lösa in inbjudningar från dig genom att logga in i dina appar med sina befintliga sociala konton eller företagskonton. Se hur du konfigurerar SAML/WS-Fed IdP-federation.

    Anteckning

    Federerade SAML/WS-Fed-IDP:er kan inte användas i dina användarflöden för självbetjäningsregistrering.

För att konfigurera federation med Google, Facebook eller en SAML/Ws-Fed-identitetsprovider måste du vara administratör för extern identitetsprovider eller global administratör i din Azure AD klientorganisation.

Lägga till leverantörer av sociala identiteter

Azure AD är aktiverat som standard för självbetjäningsregistrering, så användarna har alltid möjlighet att registrera sig med ett Azure AD konto. Du kan dock aktivera andra identitetsprovidrar, inklusive leverantörer av sociala identiteter som Google eller Facebook. Om du vill konfigurera sociala identitetsprovidrar i din Azure AD klientorganisation skapar du ett program hos identitetsprovidern och konfigurerar autentiseringsuppgifter. Du får ett klient- eller app-ID och en klient- eller apphemlighet som du sedan kan lägga till i din Azure AD klientorganisation.

När du har lagt till en identitetsprovider i din Azure AD klientorganisation:

  • När du bjuder in en extern användare till appar eller resurser i din organisation kan den externa användaren logga in med sitt eget konto hos identitetsprovidern.

  • När du aktiverar självbetjäningsregistrering för dina appar kan externa användare registrera sig för dina appar med sina egna konton med de identitetsprovidrar som du har lagt till. De kommer att kunna välja bland de alternativ för sociala identitetsprovidrar som du har gjort tillgängliga på registreringssidan:

    Skärmbild som visar inloggningsskärmen med Google- och Facebook-alternativ

För en optimal inloggningsupplevelse kan du federera med identitetsprovidrar när det är möjligt så att du kan ge dina inbjudna gäster en smidig inloggningsupplevelse när de kommer åt dina appar.

Nästa steg

Mer information om hur du lägger till identitetsprovidrar för inloggning i dina program finns i följande artiklar: