員工租用戶中外部 ID 的識別提供者
適用於: 員工租用戶 外部租用戶 (深入了解)
提示
本文適用於員工租用戶中的 B2B 共同作業。 如需外部租用戶的相關資訊,請參閱外部租用戶中的驗證方法和識別提供者。
識別提供者可建立、維護及管理身分識別資訊,同時對應用程式提供驗證服務。 與外部使用者共用您的應用程式和資源時,Microsoft Entra ID 是共用時所使用的預設識別提供者。 若邀請的外部使用者已經有 Microsoft Entra 帳戶或 Microsoft 帳戶,則其可以自動登入,您就不需要進一步設定。
外部 ID 提供各種識別提供者。
Microsoft Entra 帳戶:來賓使用者可以使用其公司或學校的 Microsoft Entra 帳戶來兌換 B2B 共同作業邀請,或完成註冊使用者流程。 依預設,Microsoft Entra ID 是其中一個允許的識別提供者。 不需要進行其他設定,就能讓此識別提供者用於使用者流程。
Microsoft 帳戶:來賓使用者可以使用其個人 Microsoft 帳戶 (MSA) 兌換您的 B2B 共同作業邀請。 設定自助式註冊使用者流程時,您可以新增 Microsoft 帳戶為其中一個允許的識別提供者。 不需要進行其他設定,就能讓此識別提供者用於使用者流程。
電子郵件一次性密碼:來賓兌換邀請或存取共用資源時,可以要求一個暫時性驗證碼。 此驗證碼會傳送至其電子郵件地址。 之後,他們便可輸入此驗證碼繼續登入。 當您無法透過其他方式驗證 B2B 來賓使用者時,電子郵件一次性密碼功能會對其進行驗證。 設定自助式註冊使用者流程時,您可以新增 [電子郵件一次性密碼] 為允許的其中之一個身分識別提供者。 需要進行某些設定;請參閱電子郵件單次密碼驗證。
Google:Google 同盟允許外部使用者使用其 Gmail 帳戶登入應用程式,以兌換來自您的邀請。 Google 同盟也可以用於您的自助式註冊使用者流程。 請參閱如何將 Google 新增為身分識別提供者。
重要
- 從 2021 年 7 月 12 日開始,如果 Microsoft Entra B2B 客戶設定新的 Google 整合以與自訂或企業營運應用程式的自助式註冊搭配使用,則必須等到驗證移至系統 Web 檢視之後,才能使用 Google 身分識別進行驗證。 深入了解。
- 自 2021 年 9月 30 日起,Google 將淘汰內嵌的 Web 檢視登入支援。 若應用程式是以內嵌的 Web 檢視來驗證使用者,且您為外部使用者邀請或自助式註冊使用 Google 與 Azure AD B2C 或 Microsoft Entra B2B 的同盟,則 Google Gmail 使用者將無法進行驗證。 深入了解。
Facebook:建置應用程式後,即可設定自助式註冊並啟用 Facebook 同盟,讓使用者可以使用其 Facebook 帳戶註冊您的應用程式。 Facebook 只能用於自助式註冊使用者流程,且在使用者兌換來自您的邀請時,並不能作為登入選項使用。 了解如何新增 Facebook 新增為身分識別提供者。
SAML/WS-Fed 識別提供者同盟:您也可以與任何支援 SAML 或 WS-Fed 通訊協定的外部 IdP 設定同盟。 SAML/WS-Fed IdP 同盟允許外部使用者使用其現有的社交或企業帳戶登入您的應用程式,以兌換來自您的邀請。 了解如何設定 SAML/WS-Fed IdP 同盟。
注意
同盟 SAML/WS-Fed IdP 無法使用於您的自助式註冊使用者流程中。
若要設定與 Google、Facebook 或 SAML/Ws-Fed 識別提供者的同盟,您必須至少是 Microsoft Entra 租用戶中的外部識別提供者管理員。
新增社交識別提供者
自助式註冊預設會啟用 Microsoft Entra ID,因此使用者一律可以使用 Microsoft Entra 帳戶來註冊。 不過,您可以啟用其他身分識別提供者,包括 Google 或 Facebook 等社交識別提供者。 若要在 Microsoft Entra 租用戶中設定社交識別提供者,請在識別提供者建立應用程式並設定認證。 您將取得用戶端或應用程式識別碼,以及用戶端或應用程式密碼,之後可將其新增至 Microsoft Entra 租用戶。
將識別提供者新增至 Microsoft Entra 租用戶之後:
邀請外部使用者到組織中的應用程式或資源時,外部使用者可以使用具有該身分識別提供者的自身帳戶登入。
為應用程式啟用自助式註冊時,外部使用者可以使用自己的帳戶與您新增的識別提供者,註冊您的應用程式。 他們可在註冊頁面上,選取您提供的社交識別提供者選項:
若要獲得最佳的登入體驗,請盡可能與身分識別提供者建立同盟,讓受邀的來賓能夠在存取您的應用程式時享有順暢的登入體驗。
下一步
若要了解如何新增身分識別提供者來登入您的應用程式,請參閱下列文章:
- 新增電子郵件一次性密碼驗證
- 新增 Google 為允許的社交識別提供者
- 新增 Facebook 為允許的社交識別提供者
- 針對其識別提供者可支援 SAML 2.0 或 WS-Fed 通訊協定的任何組織來設定 SAML/WS-Fed IdP 同盟。 SAML/WS-Fed IdP 同盟並不是自助式註冊使用者流程的選項。