客户的身份验证方法和标识提供者

Microsoft Entra 外部 ID 提供了多种用于对应用程序用户进行身份验证的选项。可以让客户使用电子邮件与密码或电子邮件一次性密码在客户目录中创建帐户。还可以使用社交帐户启用登录。

在默认情况下，本地帐户标识提供者设置中会启用电子邮件注册。借助电子邮件选项，客户可以使用其电子邮件地址和密码进行注册和登录。

注册：系统会提示客户输入电子邮件地址，该地址在注册时使用一次性密码进行验证。客户随后在注册页面上输入任何其他所需的信息，例如“显示名称”、“名字”和“姓氏”。然后，用户选择“继续”以创建帐户。
登录：客户注册并创建帐户后，可以通过输入电子邮件地址和密码登录。
密码重置：如果启用电子邮件与密码登录，密码页面上会显示密码重置链接。如果客户忘记了密码，选择此链接会将一次性密码发送到其电子邮件地址。验证后，客户可以选择新的密码。

创建注册和登录用户流时，默认选项是“电子邮件与密码”。

“电子邮件与一次性密码”是本地帐户标识提供者设置中的一个选项。使用此选项，客户在每次登录时使用临时密码而不是存储的密码登录。

注意

如果要启用多重身份验证 (MFA)，请将本地帐户身份验证方法设置为“电子邮件与密码”。如果将本地帐户选项设置为“电子邮件与一次性密码”，则使用此方法的客户将无法登录，因为一次性密码已经是其第一因素登录方法，不能用作第二因素。目前，其他验证方法不适用于客户场景。

创建注册和登录用户流时，“电子邮件一次性密码”是本地帐户选项之一。

为了获得最佳的登录体验，请尽可能与社交标识提供者联合，以便为客户提供无缝的注册和登录体验。在外部租户中，可以允许客户使用其自己的 Facebook 或 Google 帐户注册和登录。当客户使用其社交帐户注册你的应用时，社交标识提供者会在向应用程序提供身份验证服务的同时，创建、维护和管理标识信息。

启用社交标识提供者后，客户可以从你在注册页上提供的社交标识提供者选项中进行选择。若要在外部租户中设置社交标识提供者，可在标识提供者处创建一个应用程序并配置凭据。你可获得一个客户端或应用 ID 和一个客户端或应用机密，然后你可以将其添加到外部租户。

通过设置与 Google 的联合身份验证，可以使客户能够使用他们自己的 Gmail 帐户登录到应用程序。将 Google 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Google 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Google 登录的体验。在登录页中，用户选择“使用 Google 登录”。此时，用户将重定向到 Google 标识提供者以完成登录。

Google 登录屏幕的屏幕截图。

通过设置与 Facebook 的联合身份验证，可以使受邀用户能够使用其自己的 Facebook 帐户登录到应用程序。将 Facebook 添加为应用程序的登录选项之一后，在登录页面上，用户可以使用 Facebook 帐户登录到 Microsoft Entra 外部 ID。

以下屏幕截图显示了使用 Facebook 登录的体验。在登录页中，用户选择“使用 Facebook 登录”。然后，用户将重定向到 Facebook 标识提供者以完成登录。

你可以随时更新为应用选择的登录选项。例如，可以添加社交标识提供者或更改本地帐户登录方法。

请注意，更改登录方法时，更改仅会影响新用户。现有用户将继续使用其原始方法登录。例如，假设开始时选择的是使用电子邮件地址与密码的登录方法，然后更改为使用电子邮件地址与一次性密码。新用户将使用一次性密码登录，但已使用电子邮件地址和密码注册的所有用户都将继续被提示输入其电子邮件地址和密码。

Microsoft 图形 API

支持使用以下 Microsoft Graph API 操作来管理 Microsoft Entra 外部 ID 中的标识提供者和身份验证方法：

若要了解如何向应用程序中添加用于登录的标识提供者，请参阅以下文章：