分享方式:

Azure AD B2C 登入選項

  • 文章

Azure AD B2C 為您的應用程式使用者提供數種註冊和登入方法。 當使用者註冊您的應用程式時,您會決定使用者是否要使用使用者名稱、電子郵件或電話號碼,在您的 Azure AD B2C 租用戶中建立本機帳戶。 您也可以與社交身分識別提供者建立同盟 (例如 Facebook、Linkedin 和 Twitter),以及與標準身分識別通訊協定建立同盟 (例如 OAuth 2.0、OpenID Connect 等)。

本文提供 Azure AD B2C 登入選項的概觀。

電子郵件登入

依預設,會在您的本機帳戶身分識別提供者設定中啟用電子郵件登入。 藉由電子郵件選項,使用者可以自己的電子郵件地址和密碼註冊和登入。

  • 登入:系統會提示使用者提供電子郵件和密碼。
  • 註冊:系統會提示使用者輸入電子郵件地址,在註冊時 (選擇性) 加以驗證並成為登入識別碼。 使用者接著會輸入註冊頁面所要求的任何其他資訊,例如顯示名稱、名字和姓氏。 然後選取 [繼續] 以建立帳戶。
  • 密碼重設:使用者輸入並驗證電子郵件後,便可重設密碼

顯示電子郵件註冊或登入體驗的一系列螢幕擷取畫面。

了解如何在您的本機帳戶身分識別提供者中設定電子郵件登入。

使用者名稱登入

您的本機帳戶身分識別提供者包含使用者名稱登入選項,讓使用者以使用者名稱和密碼註冊和登入您的應用程式。

  • 登入:系統會提示使用者提供使用者名稱和密碼。
  • 註冊:系統會提示使用者輸入使用者名稱,其將成為登入識別碼。 系統也會提示使用者輸入電子郵件地址,在註冊時加以驗證。 電子郵件將在密碼重設流程期間使用。 使用者會輸入註冊頁面所要求的任何其他資訊,例如顯示名稱、名字和姓氏。 然後選取 [繼續] 以建立帳戶。
  • 密碼重設:使用者必須輸入使用者名稱和相關聯的電子郵件地址。 電子郵件地址必須經過驗證後,使用者才可重設密碼。

顯示註冊或登入體驗的一系列螢幕擷取畫面。

電話登入

電話登入是您本機帳戶身分識別提供者中的無密碼選項。 此方法可讓使用者使用電話號碼作為主要識別碼,註冊您的應用程式。 一次性密碼會透過 SMS 文字簡訊傳送給您的使用者。 在註冊和登入期間,使用者將會有下列體驗:

  • 登入:如果使用者有以電話號碼作為識別碼的帳戶,則使用者會輸入電話號碼並選取 [登入]。 使用者選取 [繼續] 來確認國家/地區和電話號碼,並將一次性驗證碼傳送至電話。 使用者輸入驗證碼,然後選取 [繼續] 登入。
  • 註冊:如果使用者尚未有您應用程式的帳戶,則可以按一下 [立即註冊] 連結以建立帳戶。
    1. 隨即顯示註冊頁面,接著使用者可選取 [國家/地區]、輸入電話號碼,然後選取 [傳送驗證碼]。
    2. 一次性驗證碼會傳送至使用者的電話號碼。 使用者會在註冊頁面上輸入驗證碼,然後選取 [確認驗證碼]。 (如果使用者無法擷取驗證碼,則可以選取 [傳送新的驗證碼])。
    3. 使用者會輸入註冊頁面所要求的任何其他資訊,例如顯示名稱、名字和姓氏。 然後選取 [繼續] 。
    4. 接下來,系統會要求使用者提供復原電子郵件。 使用者會輸入電子郵件地址,然後選取 [傳送驗證碼]。 驗證碼會傳送至使用者的電子郵件收件匣,使用者可從其中擷取並在 [驗證碼] 方塊中輸入。 然後,使用者選取 [確認驗證碼]。
    5. 在確認驗證碼之後,使用者選取 [建立] 建立帳戶。

顯示手機註冊或登入體驗的一系列螢幕擷取畫面。

電話登入的定價

一次性密碼會透過使用 SMS 文字訊息傳送至您的使用者。 取決於您的行動網路業者,您可能會支付每個傳送訊息的費用。 如需定價資訊,請參閱 Azure Active Directory B2C 定價的<個別費用>一節。

注意

當您以電話註冊來設定使用者流程時,依預設會停用多重要素驗證 (MFA)。 您可以電話註冊在使用者流程中啟用 MFA,但因為使用電話號碼作為主要識別碼,所以電子郵件一次性密碼是第二個驗證因素的唯一可用選項。

電話復原

當您啟用使用者流程的電話註冊和登入功能時,也建議您啟用復原電子郵件功能。 使用這項功能時,使用者可以提供電子郵件地址,以便在沒有電話時用來復原其帳戶。 此電子郵件地址僅用於帳戶復原, 無法用來登入。

  • 當復原電子郵件提示為 [開啟] 時,系統會要求使用者在第一次註冊時驗證備份電子郵件。 要求在下次登入期間驗證備份電子郵件之前未提供復原電子郵件的使用者。

  • 當復原電子郵件為 [關閉] 時,註冊或登入的使用者不會看到復原電子郵件提示。

下列螢幕擷取畫面示範電話復原流程:

顯示手機復原使用者流程的圖表。

電話或電子郵件登入

您可以在您的本機帳戶身分識別提供者設定中選擇結合 [電話登入] 與 [電子郵件登入]。 在 [註冊] 或 [登入] 頁面中,使用者可以輸入電話號碼或電子郵件地址。 根據使用者輸入,Azure AD B2C 會將使用者移至對應的流程。

顯示手機或電子郵件註冊或登入體驗的一系列螢幕擷取畫面。

同盟登入

您可以設定 Azure AD B2C,讓使用者使用來自外部社交或企業識別提供者的認證登入您的應用程式, (IdP) 。 Azure AD B2C 支援許多 外部識別提供者 ,以及任何支援 OAuth 1.0、OAuth 2.0、OpenID Connect 和 SAML 通訊協定的識別提供者。

透過外部識別提供者同盟,您可讓取用者能夠使用其現有的社交或企業帳戶登入,而不需為您的應用程式建立新的帳戶。

在註冊或登入頁面上,Azure AD B2C 會顯示使用者可選擇用於登入的外部識別提供者清單。 一旦他們選取其中一個外部識別提供者,就會重新導向至選取的提供者網站,以完成登入程式。 使用者成功登入之後,便會回到 Azure AD B2C,以在您的應用程式中驗證帳戶。

此圖顯示社交帳戶 (Facebook) 的行動登入範例。

您可以使用 Azure 入口網站,將 Azure Active Directory B2C (Azure AD B2C) 支援的識別提供者新增至您的使用者流程。 您也可以將識別提供者新增至自訂原則

後續步驟