Share via

概述:使用外部租户中的外部 ID 保护应用

  • 项目

Microsoft Entra 外部 ID 包括 Microsoft 的客户标识和访问管理 (CIAM) 解决方案。 对于希望将其应用提供给消费者和企业客户的组织和企业,可以使用 外部 ID 轻松添加 CIAM 功能,例如自助注册、个性化登录体验和客户帐户管理。 因为这些 CIAM 功能内置于 Microsoft Entra ID 中,因此你还会受益于增强的安全性、合规性和可伸缩性等平台功能。

一个示意图,其中显示了客户标识和访问管理概览。

创建专用外部租户

开始使用消费者和商业客户应用的外部 ID 时,首先为应用、资源和客户帐户目录创建租户。

如果你使用过 Microsoft Entra ID,那么你已经熟悉如何使用包含员工目录、内部应用和其他组织资源的 Microsoft Entra 租户。 使用外部 ID,可以创建一个不同的租户,既遵循标准 Microsoft Entra 租户模型,又可以针对外部方案进行配置。 此外部租户包含:

  • 一个目录:该目录存储客户的凭据和个人资料数据。 当消费者或企业客户在你的应用中注册时,会在你的外部租户中为其创建一个本地帐户。

  • 应用程序注册:Microsoft Entra ID 仅对已注册的应用程序执行标识和访问管理。 注册你的应用可建立信任关系,并允许你将应用与 Microsoft Entra ID 进行集成。

  • 用户流:外部租户包含你要为客户启用的自助注册、登录和密码重置体验。

  • 扩展:如果你需要从外部系统添加用户属性和数据,可以为用户流创建自定义身份验证扩展。

  • 登录方法:你可以启用各种用于登录你的应用的选项,包括用户名和密码、一次性密码以及 Google 或 Facebook 标识。

  • 加密密钥:添加和管理用于对令牌、客户端密码、证书和密码进行签名和验证的加密密钥。

详细了解密码和一次性密码登录以及 GoogleFacebook 联合身份验证。

可以在外部租户中管理的用户帐户类型有两种:

  • 客户帐户:表示访问应用程序的客户的帐户。

  • 管理员帐户:具有工作帐户的用户可以管理租户中的资源,而具有管理员角色的用户还可以管理租户。 具有工作帐户的用户可以创建新的使用者帐户、重置密码、阻止/解除阻止帐户,以及设置权限或将帐户分配到安全组。

详细了解如何管理外部租户中的客户帐户管理员帐户

添加自定义登录

外部 ID 专为希望使用 Microsoft Entra 身份验证和访问控制平台向客户提供应用程序的企业而设计。

  • 向应用添加注册和登录页面。 快速为客户应用添加直观、用户友好的注册和登录体验。 只需使用单个标识,客户就可以安全地访问你希望他们使用的所有应用程序。

  • 添加使用社交和企业标识的单一登录 (SSO)。 客户可以选择一个社交、企业或托管标识以使用用户名和密码、电子邮件或一次性密码进行登录。

  • 将公司品牌添加到注册页。 为注册和登录体验自定义外观,包括默认体验和特定浏览器语言的体验。

  • 轻松自定义和扩展你的注册流。 根据需要定制你的标识用户流。 选择在注册期间要向客户收集的属性,或添加自己的自定义属性。 如果你的应用需要的信息包含在外部系统中,请创建自定义身份验证扩展以收集数据并将其添加到身份验证令牌。

  • 集成多种应用语言和平台。 借助 Microsoft Entra,你可以针对多种应用类型、平台和语言快速设置并提供安全的品牌化身份验证流。

  • 对应用使用本机身份验证。 使用适用于 iOS 和 Android 的预览版 Microsoft 身份验证库 (MSAL) 为移动和桌面应用程序创建无缝身份验证体验。

  • 提供自助式帐户管理。 客户可以自行注册你的联机服务、管理其个人资料、删除其帐户、注册多重身份验证 (MFA) 方法,或者重置其密码,无需管理员或技术支持人员协助。

  • 同意使用条款和隐私策略。 你可以在用户注册期间提示其接受你的条款和条件。 通过使用客户用户属性,可以向注册表单添加复选框,并在其中包括指向使用条款和隐私策略的链接。

详细了解如何向应用添加登录和注册页面以及如何自定义登录页面的外观

设计自助注册用户流

你可以通过向应用程序中添加用户流,为客户创建简单的注册和登录体验。 用户流定义了客户遵循的一系列注册步骤,以及他们可以使用的登录方法(例如电子邮件和密码、一次性密码,或者 GoogleFacebook 社交帐户)。 你还可以通过从一系列用户内置属性中进行选择或添加自己的自定义属性,在注册期间从客户那里收集信息。

有多个用户流设置可以用来控制客户如何在应用程序中注册,包括:

  • 登录方法和社交标识提供者(Google 或 Facebook)
  • 要向注册客户收集的属性,例如名字、邮政编码或居住地所在国家/地区
  • 公司品牌和语言自定义

有关配置用户流的详细信息,请参阅为客户创建注册和登录用户流

添加自己的业务逻辑

外部 ID 在设计时考虑了灵活性,允许在身份验证流中的某些节点定义操作。 使用自定义身份验证扩展,可以在将令牌颁发给应用程序之前,将来自外部系统的声明添加到令牌。

详细了解如何使用自定义身份验证扩展添加自己的业务逻辑

Microsoft Entra 安全性和可靠性

外部 ID 将企业对消费者 (B2C) 功能融合到了 Microsoft Entra 平台中。 你将受益于平台功能,例如增强的安全性、合规性,以及对标识和访问管理流程进行缩放的能力。

  • Microsoft Entra 安全性。 获得 Microsoft Entra 的所有安全性和数据隐私优势,包括条件访问、多重身份验证和治理。 使用强身份验证和基于风险的自适应访问策略保护对应用的访问。 因为客户是在单独的租户中管理的,所以你可以针对通常使用个人和共享设备(而非托管设备)的用户定制访问策略。

  • Microsoft Entra 可靠性和可伸缩性。 创建高度自定义的登录体验并大规模管理客户帐户。 利用 Microsoft Entra 的性能、复原能力、业务连续性、低延迟和高吞吐量来确保良好的客户体验。

详细了解外部租户中提供的安全性和治理功能。

分析用户活动和参与度

”使用情况和见解”下的“应用程序用户活动”功能提供了有关租户中已注册应用程序的用户活动和参与度的数据分析。 你可以使用此功能在 Microsoft Entra 管理中心查看、查询和分析用户活动数据。 这可以帮助你发现有价值的见解,从而帮助做出战略性决策并推动业务增长。

详细了解外部租户中提供的应用程序用户活动仪表板

关于 Azure AD B2C

如果你是新客户,则可能想知道 Azure AD B2C 或 Microsoft Entra 外部 ID 中哪个解决方案更适合。 在以下情况中,请选择当前 Azure AD B2C 产品:

  • 你需要立即部署生产就绪版本。

    注意

    请记住,下一代 Microsoft Entra 外部 ID 平台代表了 Microsoft CIAM 的未来,将重点在该平台上实现快速创新、新特性和功能。 如果从一开始就选择下一代平台,你将获得快速创新和面向未来的体系结构的优势。

在以下情况中,请选择下一代 Microsoft Entra 外部 ID 平台:

  • 你正在应用中新建标识,或者你处于产品发现的早期阶段。
  • 优先考虑快速创新、新特性和新增功能的优势。

后续步骤