培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
适用于: 员工租户 外部租户(了解详细信息)
提示
本文适用于工作人员租户中的 B2B 协作。 有关外部租户的信息,请参阅外部租户中的身份验证方法和标识提供者。
标识提供程序创建、维护和管理标识信息,同时向应用程序提供身份验证服务。 与外部用户共享应用和资源时,Microsoft Entra ID 是用于共享的默认标识提供者。 当你邀请已有 Microsoft Entra 帐户或 Microsoft 帐户的外部用户时,这些用户可以自动登录,而无需你进行进一步的配置。
外部 ID 提供各种标识提供者。
Microsoft Entra 帐户:来宾用户可以使用其 Microsoft Entra 工作或学校帐户兑换 B2B 协作邀请或完成注册用户的流程。 Microsoft Entra ID是默认允许的标识提供者之一。 此标识提供者无需其他配置即可供用户流使用。
Microsoft 帐户:来宾用户可使用自己的个人 Microsoft 帐户 (MSA) 兑换 B2B 协作邀请。 设置自助式注册用户流时,可将 Microsoft 帐户添加为允许的标识提供者之一。 此标识提供者无需其他配置即可供用户流使用。
电子邮件一次性密码:当来宾兑换邀请或访问共享资源时,他们可以请求临时代码。 此代码会发送到其电子邮件地址。 他们输入此代码后,可以继续登录。 在无法通过其他方式对 B2B 来宾用户进行身份验证时,可使用电子邮件一次性密码功能对其进行身份验证。 设置自助式注册用户流时,可将电子邮件一次性密码添加为允许的标识提供者之一。 需进行一些设置;请参阅电子邮件一次性密码身份验证。
Google:通过 Google 联合身份验证,外部用户可以使用他们自己的 Gmail 帐户登录你的应用,来兑换你发出的邀请。 Google 联合身份验证还可以用于自助注册用户流。 了解如何将 Google 添加为标识提供者。
重要
Facebook:生成应用时,可以配置自助注册并启用 Facebook 联合身份验证,这样用户即能够使用他们自己的 Facebook 帐户注册你的应用。 Facebook 只能用于自助注册用户流,当用户兑换你发出的邀请时不能将它用作登录选项。 了解如何将 Facebook 添加为标识提供者。
SAML/WS-Fed 标识提供者联合身份验证:你还可以设置与任何支持 SAML 或 WS-Fed 协议的外部 IdP 的联合身份验证。 通过 SAML/WS-Fed IdP 联合身份验证,外部用户可以使用他们现有的社交或公司帐户登录你的应用,来兑换你发出的邀请。 参阅如何设置 SAML/WS-Fed IdP 联合身份验证。
备注
联合 SAML/WS-Fed IDP 不能用于自助注册用户流。
若要配置与 Google、Facebook 或 SAML/Ws-Fed 标识提供者的联合身份验证,需要在 Microsoft Entra 租户中至少为外部标识提供者管理员。
默认情况下为自助注册启用 Microsoft Entra ID,这样用户始终可以选择使用 Microsoft Entra 帐户进行注册。 但是,可启用其他标识提供者,包括社交标识提供者(如 Google 或 Facebook)。 若要在 Microsoft Entra 租户中设置社交标识提供者,需针对标识提供者创建一个应用程序并配置凭据。 你会获得一个客户端或应用 ID 和一个客户端或应用机密,然后可以将其添加到 Microsoft Entra 租户。
将标识提供者添加到 Microsoft Entra 租户后:
当你邀请外部用户访问组织中的应用或资源时,外部用户可以使用自己的帐户通过该标识提供者登录。
当你为应用启用自助注册时,外部用户可以使用自己的帐户通过你添加的标识提供者注册你的应用。 他们可以选择你在注册页上提供的社交标识提供者选项:
为了获得最佳的登录体验,请尽可能与标识提供者联合,以便你的受邀来宾在访问你的应用时能够获得无缝的登录体验。
若要了解如何向应用程序中添加用于登录的标识提供者,请参阅以下文章:
培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。