規劃客戶身分識別和存取管理
Microsoft Entra 外部 ID 是可自定義且可延伸的解決方案,可讓您將客戶身分識別和存取管理 (CIAM) 新增至您的應用程式。 因為它建置在 Microsoft Entra 平臺上,因此您可以受益於跨員工和客戶案例的應用程式整合、租使用者管理和作業的一致性。 設計組態時,請務必瞭解外部租用戶和客戶案例可用的 Microsoft Entra 功能元件。
本文提供整合您的應用程式和設定 Microsoft Entra 外部 ID的一般架構。 其描述外部租使用者中可用的功能,並概述整合中每個步驟的重要規劃考慮。
將安全登入新增至您的應用程式,並設定客戶身分識別和存取管理牽涉到四個主要步驟:
本文說明每個步驟,並概述重要的規劃考慮。 在下表中,選取步驟以取得詳細數據和規劃考慮,或直接移至操作指南。
| 步驟 | 操作指南 |
|---|---|
| 步驟 1:建立外部租使用者 | • 建立外部租使用者 • 或啟動免費試用 |
| 步驟 2:註冊您的應用程式 | • 註冊您的應用程式 |
| 步驟 3:整合登入流程與您的應用程式 | • 建立使用者流程 • 將您的應用程式新增至使用者流程 |
| 步驟 4:自定義並保護您的登入 | • 自訂商標 • 新增識別提供者 • 註冊期間 收集屬性• 將屬性新增至令牌 • 新增多重要素驗證 (MFA) |
步驟 1:建立外部租使用者
外部租使用者是您建立以開始使用 Microsoft Entra 外部 ID 的第一個資源。 您的外部租用戶是您註冊應用程式的位置。 它也包含您管理客戶身分識別和存取權的目錄,與員工租使用者分開。
當您建立外部租使用者時,您可以設定正確的地理位置和功能變數名稱。 如果您目前使用 Azure AD B2C,新的員工和外部租使用者模型不會影響您現有的 Azure AD B2C 租使用者。
外部租使用者中的用戶帳戶
外部租使用者中的目錄包含系統管理員和客戶用戶帳戶。 您可以 為外部租使用者建立和管理系統管理員帳戶 。 客戶帳戶通常是透過自助式註冊來建立,但您可以 建立和管理客戶本機帳戶。
客戶帳戶有一 組預設的許可權。 客戶受限於存取外部租使用者中其他使用者的相關信息。 根據預設,客戶無法存取其他使用者、群組或裝置的相關信息。
如何建立外部租使用者
如果您還沒有 Microsoft Entra 租使用者並想要嘗試 Microsoft Entra 外部 ID,建議您使用開始使用體驗來開始免費試用。
步驟 2:註冊您的應用程式
您的應用程式必須先在外部租用戶中註冊應用程式,才能與 Microsoft Entra 外部 ID 互動。 Microsoft Entra ID 只會針對已註冊的應用程式執行身分識別和存取管理。 註冊您的應用程式會建立信任關係,並可讓您將應用程式與 Microsoft Entra 外部 ID 整合。
然後,若要完成 Microsoft Entra ID 與應用程式之間的信任關係,請使用應用程式註冊期間指派的值來更新應用程式原始程式碼,例如應用程式(用戶端)標識碼、目錄(租使用者)子域和客戶端密碼。
我們提供數種應用程式類型和語言的程式碼範例指南和深入整合指南。 視您想要註冊的應用程式類型而定,您可以依應用程式類型和語言頁面找到我們的範例指引。
如何註冊您的應用程式
步驟 3:整合登入流程與您的應用程式
設定外部租用戶並註冊應用程式之後,請建立註冊和登入使用者流程。 然後,將您的應用程式與使用者流程整合,讓任何存取應用程式的人員都經過您設計的註冊和登入體驗。
若要整合您的應用程式與使用者流程,您可以將應用程式新增至使用者流程屬性,並使用您的租使用者資訊和授權端點更新應用程式程式碼。
驗證流程
當客戶嘗試登入您的應用程式時,應用程式會將授權要求傳送至您在應用程式與使用者流程相關聯時所提供的端點。 使用者流程會定義及控制客戶的登入體驗。
如果使用者第一次登入,就會看到註冊體驗。 他們會根據您選擇收集的內建或自定義使用者屬性輸入資訊。
註冊完成時,Microsoft Entra ID 會產生令牌,並將客戶重新導向至您的應用程式。 系統會為目錄中的客戶建立客戶帳戶。
註冊和登入使用者流程
規劃註冊和登入體驗時,請判斷您的需求:
使用者流程數目。 每個應用程式只能有一個註冊和登入使用者流程。 如果您有數個應用程式,則可以針對所有應用程式使用單一使用者流程。 或者,如果您想要針對每個應用程式使用不同的體驗,您可以建立多個使用者流程。 每個外部租使用者最多10個使用者流程。
公司商標和語言自定義。 雖然我們稍後在步驟 4 中描述設定公司商標和語言自定義,但您可以在整合應用程式與使用者流程之前或之後隨時設定它們。 如果您在建立使用者流程之前設定公司商標,登入頁面會反映該商標。 否則,登入頁面會反映預設的中性商標。
要收集的屬性。 您可以在使用者流程設定中,從想要向客戶收集的 [內建使用者屬性] 集合中選取。 客戶會在註冊頁面上輸入資訊,並將該資訊與其設定檔儲存在您的目錄中。 如果您想要收集詳細資訊,您可以 定義自訂屬性 ,並將其新增至您的使用者流程。
條款及條件同意。 您可以使用自訂使用者屬性來提示使用者接受您的條款和條件。 例如,您可以將複選框新增至您的註冊表單,並包含使用規定和隱私策略的連結。
令牌宣告的需求。 如果您的應用程式需要特定的使用者屬性,您可以將它們包含在傳送至應用程式的令牌中。
社交識別提供者。 您可以設定社交識別提供者 Google 和 Facebook ,然後將他們新增至您的使用者流程作為登入選項。
如何整合使用者流程與您的應用程式
步驟 4:自定義並保護您的登入
規劃設定公司商標、語言自定義和自定義延伸模組時,請考慮下列幾點:
公司商標。 建立新的外部租用戶之後,您可以針對登入或註冊的客戶自定義 Web 應用程式的外觀,以個人化其用戶體驗。 在 Microsoft Entra ID 中,預設的 Microsoft 商標會出現在登入頁面中,再自定義任何設定。 此商標設定展現的全域外觀與風格,會套用至所有租用戶的登入作業。 深入瞭解 自定義登入外觀和風格。
擴充驗證令牌宣告。 Microsoft Entra 外部 ID 專為彈性而設計。 您可以使用自訂驗證延伸模組,在令牌發行至應用程式之前,將外部系統的宣告新增至應用程式令牌。 深入了解如何使用自訂驗證延伸模組來新增您自己的商務邏輯。
多重要素驗證 (MFA)。 您也可以強制執行 MFA 來啟用應用程式存取安全性,藉由透過電子郵件單次密碼要求驗證,將重要的第二層安全性新增至使用者登入。 深入了解 客戶的 MFA。
原生驗證。 原生驗證可讓您在用戶端應用程式中裝載使用者介面,而不是將驗證委派給瀏覽器。 深入瞭解 Microsoft Entra 外部 ID 中的原生驗證。
安全性和控管。 瞭解 外部租使用者中可用的安全性和治理 功能,例如Identity Protection。
如何自定義和保護登入
下一步
- 啟動免費試用 ,或 建立您的外部租使用者。
- 尋找整合應用程式的範例和指引。
- 另請參閱 Microsoft Entra 外部 ID 開發人員中心,以取得最新的開發人員內容和資源。