規劃客戶身分識別和存取權管理
適用於:
員工租用戶 
外部租用戶 (深入了解)
Microsoft Entra 外部 ID 是可自訂、可延伸的解決方案,可讓您將客戶身分識別和存取權管理 (CIAM) 新增至您的應用程式。 因為它建置在 Microsoft Entra 平台上,因此您可以受益於跨員工和客戶案例的應用程式整合、租用戶管理和作業的一致性。 設計組態時,請務必理解外部租用戶的元件,以及可供客戶案例使用的 Microsoft Entra 功能。
本文提供整合應用程式及設定外部識別碼的一般架構。 本文描述外部租用戶可用的功能,並概述整合中每個步驟的重要規劃考量。
將安全登入新增至您的應用程式,並設定客戶身分識別和存取權管理涉及四個主要步驟:
本文說明每個步驟,並概述重要的規劃考量。 在下表中,選取 [步驟] 以取得詳細資料和規劃考量,或直接前往 [操作指南]。
| Step | 操作指南 |
|---|---|
| 步驟 1:建立外部租用戶 | • 建立外部租用戶 • 或開始免費試用 |
| 步驟 2:註冊您的應用程式 | • 註冊您的應用程式 |
| 步驟 3:將登入流程與您的應用程式整合 | • 建立使用者流程 • 將您的應用程式新增至使用者流程 |
| 步驟 4:自訂和保護登入 | 自訂商標 • 新增識別提供者 • 在註冊期間收集屬性 • 將屬性新增至權杖 • 新增多重要素驗證 (MFA) |
步驟 1:建立外部租用戶
外部租用戶是您需要建立,以開始使用 Microsoft Entra 外部 ID 的第一個資源。 您的外部租用戶是您註冊應用程式的位置。 它也包含您管理客戶身分識別和存取權的目錄,該目錄與員工租用戶分開。
當您建立外部租用戶時,您可以設定正確的地理位置和網域名稱。 如果您目前使用 Azure AD B2C,新的員工和外部租用戶模型不會影響您現有的 Azure AD B2C 租用戶。
外部租用戶中的使用者帳戶
外部租用戶中的目錄包含系統管理員和客戶使用者帳戶。 您可以為外部租用戶 建立及管理系統管理員帳戶。 客戶帳戶通常是透過自助式註冊來建立,但您可以 建立及管理客戶本機帳戶。
客戶帳戶具有 預設權限集。 客戶會被限制,無法存取外部租用戶中其他使用者的相關資訊。 根據預設,客戶無法存取其他使用者、群組或裝置的相關資訊。
如何建立外部租用戶
如果您還沒有 Microsoft Entra 租用戶,而且想要嘗試外部識別碼,建議您使用 開始使用體驗 以開始免費試用。
如果您使用 Visual Studio Code,也可以使用「適用於 Visual Studio Code 的 Microsoft Entra 外部 ID 延伸項目」,直接在 Visual Studio Code 中建立外部租使用者 (深入瞭解)。
步驟 2:註冊您的應用程式
您必須在外部租用戶中先註冊應用程式,才能使其與外部識別碼互動。 Microsoft Entra ID 只會針對已註冊的應用程式執行身分識別和存取權管理。 註冊您的應用程式 建立信任關係,並讓您將應用程式與外部識別碼整合。
然後,若要完成 Microsoft Entra ID 與應用程式之間的信任關係,請使用應用程式註冊期間指派的值來更新應用程式原始程式碼,例如應用程式 (用戶端) 識別碼、目錄 (租用戶) 子網域和用戶端密碼。
我們提供數種應用程式類型和語言的程式碼範例指南和深入整合指南。 視您要註冊的應用程式類型而定,您可以在我們的 依應用程式類型和語言範例頁面 尋找指引。
如何註冊您的應用程式
在我們的 依應用程式類型和語言範例頁面,尋找您想要註冊的應用程式的專屬指引。
如果我們沒有平台或語言專屬的指南,請參閱在外部租用戶中 註冊應用程式 的一般指示。
步驟 3:將登入流程與您的應用程式整合
設定外部租用戶並註冊應用程式之後,請建立註冊和登入使用者流程。 然後,將您的應用程式與使用者流程整合,讓任何存取應用程式的人員都經歷您設計的註冊和登入體驗。
若要將您的應用程式與使用者流程整合,您可以將應用程式新增至使用者流程屬性,並使用您的租用戶資訊和授權端點更新應用程式程式碼。
驗證流程
當客戶嘗試登入您的應用程式時,應用程式會將授權要求傳送至您在關聯應用程式與使用者流程時提供的端點。 使用者流程會定義及控制客戶的登入體驗。
如果使用者是第一次登入,就會看到註冊體驗。 他們會根據您選擇收集的內建或自訂使用者屬性輸入資訊。
註冊完成時,Microsoft Entra ID 會產生權杖,並將客戶重新導向至您的應用程式。 系統會為目錄中的客戶建立客戶帳戶。
註冊和登入使用者流程
規劃註冊和登入體驗時,請判斷您的需求:
使用者流程的數目。 每個應用程式只能有一個註冊和登入使用者流程。 如果您有數個應用程式,可針對所有應用程式使用單一使用者流程。 或者,如果您想要針對每個應用程式使用不同的體驗,您可以建立多個使用者流程。 每個外部租用戶最多可有 10 個使用者流程。
公司商標和語言自訂。 雖然我們稍後在步驟 4 中描述設定公司商標和語言自訂,但您可以在整合應用程式與使用者流程之前或之後隨時設定它們。 如果您在建立使用者流程之前設定公司商標,登入頁面會反映該商標。 否則,登入頁面會反映預設的中性商標。
要收集的屬性。 您可以在使用者流程設定中,從想要向客戶收集的 [內建使用者屬性] 集合中選取。 客戶會在註冊頁面上輸入資訊,並將該資訊與其設定檔儲存在您的目錄中。 如果您想要收集詳細資訊,您可以 定義自訂屬性,並將其新增至您的使用者流程。
同意條款及條件。 您可以使用自訂使用者屬性來提示使用者接受您的條款和條件。 例如,您可以將核取方塊新增至您的註冊表單,並附上使用規定和隱私原則的連結。
權杖宣告的需求。 如果您的應用程式需要特定的使用者屬性,您可以將它們包含在傳送至應用程式的權杖中。
社交識別提供者。 您可以設定社交識別提供者 Google 和 Facebook,然後將他們新增至您的使用者流程作為登入選項。
如何將使用者流程與您的應用程式整合
如果您想要從客戶收集內建使用者屬性以外的資訊,請 定義自訂屬性,以便在您設定使用者流程時使用。
步驟 4:自訂和保護登入
規劃設定公司商標、語言自訂和自訂延伸模組時,請考慮下列幾點:
公司商標。 建立新的外部租用戶之後,您可以針對登入或註冊的客戶自訂 Web 應用程式的外觀,使其使用者體驗個人化。 在 Microsoft Entra ID 中,在您自訂任何設定之前,預設的 Microsoft 商標會出現在登入頁面中。 此商標設定展現的全域外觀與風格,會套用至所有租用戶的登入作業。 深入瞭解 自訂登入外觀和風格。
擴充驗證權杖宣告。 外部識別碼專為提供彈性而設計。 您可以使用自訂驗證延伸模組,在權杖發行至應用程式之前,將外部系統的宣告新增至應用程式權杖。 深入了解如何使用自訂驗證延伸模組來新增您自己的商務邏輯。
多重要素驗證 (MFA)。 您也可以強制執行 MFA 來啟用應用程式存取安全性,藉由要求透過電子郵件一次性密碼進行驗證,將重要的第二層安全性新增至使用者登入。 深入瞭解可用的 MFA 驗證方法。
原生驗證。 原生驗證可讓您在用戶端應用程式中裝載使用者介面,而不是將驗證委派給瀏覽器。 深入瞭解外部 ID 中的 原生驗證。
安全性與治理。 瞭解外部租用戶中可用的安全性和治理功能,例如 Microsoft Entra ID Protection。
如何自訂和保護登入
下一步
- 開始免費試用 或 建立外部租用戶。
- 尋找整合應用程式的範例和指引。
- 如需最新的開發人員內容和資源,另請參閱 Microsoft Entra 外部 ID 開發人員中心。