Zprostředkovatelé identit pro externí tenanty

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Tip

Tento článek se týká externího ID v externích tenantech. Informace o tenantech pracovních sil najdete v tématu Zprostředkovatelé identity externího ID v tenantech pracovních sil.

S Microsoft Entra Externí ID můžete vytvářet zabezpečená a přizpůsobená přihlašovací prostředí pro aplikace určené pro zákazníky a zákazníky. V externím tenantovi existuje několik způsobů, jak se uživatelé můžou k aplikaci zaregistrovat. Můžou si vytvořit účet pomocí svého e-mailu a hesla nebo jednorázového hesla. Nebo pokud povolíte přihlášení přes Facebook, Google, Apple nebo vlastního zprostředkovatele identity OIDC, může se přihlásit pomocí svého vlastního účtu.

Tento článek popisuje zprostředkovatele identity, které jsou k dispozici pro primární ověřování při registraci a přihlašování k aplikacím v externích tenantech. Zabezpečení můžete zvýšit také vynucováním zásad vícefaktorového ověřování (MFA), které vyžadují druhou formu ověření při každém přihlášení uživatele (další informace).

Přihlášení k e-mailu a heslu

Registrace e-mailu je ve výchozím nastavení povolená v nastavení zprostředkovatele identity místního účtu. S možností e-mailu se zákazníci můžou zaregistrovat a přihlásit pomocí své e-mailové adresy a hesla.

• Registrace: Zákazníkům se zobrazí výzva k zadání e-mailové adresy, která se ověřuje při registraci pomocí jednorázového hesla. Zákazník pak na registrační stránce zadá jakékoli další požadované informace, například zobrazované jméno, jméno a příjmení. Pak vyberou Pokračovat a vytvoří účet.

• Přihlášení: Po registraci zákazníka a vytvoření účtu se může přihlásit zadáním své e-mailové adresy a hesla.

• Resetování hesla: Pokud povolíte přihlášení k e-mailu a heslu, zobrazí se na stránce s heslem odkaz pro resetování hesla. Pokud zákazník zapomene heslo, po výběru tohoto odkazu se na jeho e-mailovou adresu odešle jednorázový přístupový kód. Po ověření může zákazník zvolit nové heslo.

  

Když vytvoříte tok registrace a přihlášení uživatele, výchozí možností je e-mail s heslem.

E-mail s jednorázovým přihlašováním pomocí hesla

E-mail s jednorázovým heslem je možnost v nastavení zprostředkovatele identity místního účtu. Díky této možnosti se zákazník přihlásí pomocí dočasného hesla místo uloženého hesla při každém přihlášení.

• Registrace: Zákazníci se můžou zaregistrovat pomocí své e-mailové adresy a požádat o dočasný kód, který se odešle na svoji e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení.

• Přihlášení: Jakmile se zákazník zaregistruje a vytvoří účet, pokaždé, když se přihlásí, zadá svoji e-mailovou adresu a obdrží dočasné heslo.

  

Můžete také nakonfigurovat možnosti pro zobrazení, skrytí nebo přizpůsobení odkazu na samoobslužné resetování hesla na přihlašovací stránce (další informace).

Když vytvoříte tok registrace a přihlášení uživatele, jednorázový přístupový kód e-mailu je jednou z možností místního účtu.

Zprostředkovatelé sociálních identit: Facebook, Google a Apple

Pokud chcete zajistit optimální možnosti přihlašování, federujte je s zprostředkovateli sociálních identit, kdykoli je to možné, abyste svým zákazníkům umožnili bezproblémovou registraci a přihlašování. V externím tenantovi můžete zákazníkovi povolit registraci a přihlášení pomocí vlastního účtu Facebook, Google nebo Apple. Když se zákazník zaregistruje k vaší aplikaci pomocí svého účtu na sociální síti, zprostředkovatel sociální identity vytvoří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím.

Když povolíte zprostředkovatele sociálních identit, můžou si zákazníci vybrat z možností zprostředkovatelů sociálních identit, které zpřístupníte na registrační stránce. Pokud chcete nastavit zprostředkovatele sociálních identit ve vašem externím tenantovi, vytvoříte aplikaci u zprostředkovatele identity a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, který pak můžete přidat do externího tenanta.

Přihlášení Google (Preview)

Nastavením federace s Googlem můžete zákazníkům umožnit přihlášení k aplikacím pomocí vlastních účtů Gmail. Když google přidáte jako jednu z možností přihlášení aplikace, můžou se uživatelé na přihlašovací stránce přihlásit k Microsoft Entra Externí ID pomocí účtu Google.

Následující snímky obrazovky ukazují přihlášení pomocí prostředí Google. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Googlu. V tomto okamžiku se uživatel přesměruje na zprostředkovatele identity Google a dokončí přihlášení.

Zjistěte, jak přidat Google jako zprostředkovatele identity.

Přihlášení k Facebooku (Preview)

Nastavením federace s Facebookem můžete pozvaným uživatelům povolit přihlášení k aplikacím pomocí vlastních facebookových účtů. Když přidáte Facebook jako jednu z možností přihlášení aplikace, můžou se uživatelé na přihlašovací stránce přihlásit k Microsoft Entra Externí ID pomocí facebookového účtu.

Následující snímky obrazovky ukazují přihlášení pomocí facebookového prostředí. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Facebooku. Pak se uživatel přesměruje na zprostředkovatele identity Facebooku, aby se přihlášení dokončilo.

Zjistěte, jak přidat Facebook jako zprostředkovatele identity.

Přihlášení Apple (Preview)

Nastavením federace s Apple můžete pozvaným uživatelům povolit přihlášení k aplikacím pomocí vlastních účtů Apple. Po přidání Apple jako jedné z možností přihlášení aplikace se uživatelé na přihlašovací stránce můžou přihlásit k Externímu ID Microsoft Entra pomocí účtu Apple.

Následující snímky obrazovky ukazují přihlášení pomocí prostředí Apple. Na přihlašovací stránce si uživatelé vyberou možnost Přihlášení pomocí Applu. Pak se uživatel přesměruje na zprostředkovatele identity Apple a dokončí přihlášení. Zjistěte, jak přidat Apple jako zprostředkovatele identity.

Vlastní poskytovatel identity OIDC (Náhled)

Můžete nastavit vlastního zprostředkovatele identity OpenID Connect (OIDC), který zákazníkům umožní registraci a přihlášení k aplikacím pomocí vlastních účtů. Když se zákazník zaregistruje do vaší aplikace pomocí vlastního zprostředkovatele identity OIDC, vytvoří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím.

Toky přihlašování a registrace můžete také federovat pomocí tenanta Azure AD B2C pomocí protokolu OIDC.

Zjistěte, jak nastavit vlastního zprostředkovatele identity OIDC.

Aktualizace metod přihlašování

Možnosti přihlášení pro aplikaci můžete kdykoli aktualizovat. Můžete například přidat zprostředkovatele sociálních identit nebo změnit metodu přihlášení k místnímu účtu.

Když změníte metody přihlašování, tato změna ovlivní jenom nové uživatele. Stávající uživatelé se nadále přihlašují pomocí původní metody. Předpokládejme například, že začnete s metodou přihlášení k e-mailu a heslem a pak změníte e-mail s jednorázovým heslem. Noví uživatelé se přihlašují pomocí jednorázového hesla, ale všichni uživatelé, kteří se už zaregistrovali pomocí e-mailu a hesla, budou dál vyzváni k zadání e-mailu a hesla.

Rozhraní Microsoft Graph API

Pro správu zprostředkovatelů identity a metod ověřování v Microsoft Entra Externí ID se podporují následující operace rozhraní Microsoft Graph API:

• Pokud chcete zjistit, jaké zprostředkovatele identity a metody ověřování se podporují, zavolejte rozhraní API List availableProviderTypes .
• Chcete-li identifikovat zprostředkovatele identit a metody ověřování, které jsou již nakonfigurovány a povoleny v tenantovi, zavoláte rozhraní List identityProviders API.
• Pokud chcete povolit podporovaného zprostředkovatele identity nebo metodu ověřování, volejte rozhraní API Create identityProvider .

Související obsah

• Přidání Facebooku jako zprostředkovatele identity
• Přidání Googlu jako zprostředkovatele identity
• Přidání Apple jako zprostředkovatele identity