Plánování správy identit a přístupu zákazníků

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Microsoft Entra Externí ID je přizpůsobitelné a rozšiřitelné řešení pro přidání správy identit a přístupu zákazníků (CIAM) do vaší aplikace. Vzhledem k tomu, že je založená na platformě Microsoft Entra, získáte výhodu z konzistence v integraci aplikací, správě tenantů a operací ve scénářích vašich pracovníků a zákazníků. Při navrhování konfigurace je důležité porozumět komponentám externího tenanta a funkcím Microsoft Entra, které jsou k dispozici pro vaše scénáře zákazníků.

Tento článek obsahuje obecnou architekturu pro integraci aplikace a konfiguraci externího ID. Popisuje možnosti dostupné v externím tenantovi a popisuje důležité aspekty plánování jednotlivých kroků integrace.

Přidání zabezpečeného přihlašování do aplikace a nastavení správy identit a přístupu zákazníka zahrnuje čtyři hlavní kroky:

Tento článek popisuje každý z těchto kroků a popisuje důležité aspekty plánování. V následující tabulce vyberte krok pro podrobnosti a aspekty plánování nebo přejděte přímo na příručky s postupy.

Krok	Návody
Krok 1: Vytvoření externího tenanta	• Vytvořte externího tenanta • Nebo spusťte bezplatnou zkušební verzi.
Krok 2: Registrace aplikace	• Registrace aplikace
Krok 3: Integrace toku přihlašování s vaší aplikací	• Vytvoření toku uživatele • Přidání aplikace do toku uživatele
Krok 4: Přizpůsobení a zabezpečení přihlášení	• Přizpůsobení brandingu • Přidání zprostředkovatelů identity• Shromažďování atributů během registrace • Přidání atributů do tokenu • Přidání vícefaktorového ověřování (MFA)

Krok 1: Vytvoření externího tenanta

Externí tenant je první prostředek, který je potřeba vytvořit, abyste mohli začít s Microsoft Entra Externí ID. Váš externí tenant je místo, kde svou aplikaci zaregistrujete. Obsahuje také adresář, ve kterém spravujete identity zákazníků a přístup odděleně od tenanta pracovních sil.

Při vytváření externího tenanta můžete nastavit správné geografické umístění a název domény. Pokud aktuálně používáte Azure AD B2C, nový model pracovních sil a externího tenanta neovlivní vaše stávající tenanty Azure AD B2C.

Uživatelské účty v externím tenantovi

Adresář v externím tenantovi obsahuje uživatelské účty správce a zákazníka. Pro externího tenanta můžete vytvářet a spravovat účty správců. Zákaznické účty se obvykle vytvářejí prostřednictvím samoobslužné registrace, ale můžete vytvářet a spravovat místní účty zákazníků.

Zákaznické účty mají výchozí sadu oprávnění. Zákazníci nemají přístup k informacím o jiných uživatelích v externím tenantovi. Ve výchozím nastavení nemají zákazníci přístup k informacím o jiných uživatelích, skupinách nebo zařízeních.

Vytvoření externího tenanta

• Vytvořte externího tenanta v Centru pro správu Microsoft Entra.

• Pokud ještě nemáte tenanta Microsoft Entra a chcete vyzkoušet externí ID, doporučujeme použít úvodní prostředí k zahájení bezplatné zkušební verze.

• Pokud používáte Visual Studio Code, můžete také použít rozšíření Microsoft Entra Externí ID pro Visual Studio Code k vytvoření externího tenanta přímo v editoru Visual Studio Code (další informace).

Krok 2: Registrace aplikace

Než budou vaše aplikace moct pracovat s externím ID, musíte je zaregistrovat ve svém externím tenantovi. Microsoft Entra ID provádí správu identit a přístupu pouze pro registrované aplikace. Registrace aplikace vytvoří vztah důvěryhodnosti a umožní vám integrovat aplikaci s externím ID.

Potom pro dokončení vztahu důvěryhodnosti mezi ID Microsoft Entra a vaší aplikací aktualizujete zdrojový kód aplikace hodnotami přiřazenými během registrace aplikace, jako je ID aplikace (id klienta), subdoména adresáře (tenanta) a tajný klíč klienta.

Poskytujeme ukázkové příručky kódu a podrobné průvodce integrací pro několik typů a jazyků aplikací. V závislosti na typu aplikace, kterou chcete zaregistrovat, najdete pokyny na stránce Ukázky podle typu aplikace a jazyka.

Postup registrace aplikace

• Pokyny týkající se aplikace, kterou chcete zaregistrovat, najdete na stránce Ukázky podle typu aplikace a jazyka.

• Pokud nemáme příručku specifickou pro vaši platformu nebo jazyk, projděte si obecné pokyny k registraci aplikace v externím tenantovi.

Krok 3: Integrace toku přihlašování s vaší aplikací

Jakmile nastavíte externího tenanta a zaregistrujete aplikaci, vytvořte tok uživatele pro registraci a přihlášení. Pak aplikaci integrujte s tokem uživatele, aby každý, kdo k ní přistupuje, procházel procesem registrace a přihlašování, které jste navrhli.

Pokud chcete aplikaci integrovat s tokem uživatele, přidáte aplikaci do vlastností toku uživatele a aktualizujete kód aplikace pomocí informací o tenantovi a koncového bodu autorizace.

Tok ověřování

Když se zákazník pokusí přihlásit k vaší aplikaci, odešle aplikace žádost o autorizaci do koncového bodu, který jste zadali při přidružení aplikace k toku uživatele. Tok uživatele definuje a řídí přihlašovací prostředí zákazníka.

Pokud se uživatel poprvé přihlašuje, zobrazí se mu prostředí registrace. Zadají informace na základě předdefinovaných nebo vlastních uživatelských atributů, které jste zvolili ke shromažďování.

Po dokončení registrace vygeneruje ID Microsoft Entra token a přesměruje zákazníka na vaši aplikaci. Pro zákazníka v adresáři se vytvoří účet zákazníka.

Tok registrace a přihlášení uživatele

Při plánování registrace a přihlašování určete své požadavky:

• Počet toků uživatelů Každá aplikace může mít jenom jeden tok registrace a přihlášení. Pokud máte několik aplikací, můžete pro všechny použít jeden tok uživatele. Nebo pokud chcete pro každou aplikaci použít jiné prostředí, můžete vytvořit více toků uživatelů. Maximální počet je 10 toků uživatelů na externího tenanta.

• Přizpůsobení firemního brandingu a jazyka I když popisujeme konfiguraci přizpůsobení firemního brandingu a jazyka později v kroku 4, můžete je nakonfigurovat kdykoli, a to buď před nebo po integraci aplikace s tokem uživatele. Pokud před vytvořením toku uživatele nakonfigurujete firemní branding, přihlašovací stránky odrážejí tuto značku. V opačném případě přihlašovací stránky odrážejí výchozí neutrální branding.

• Atributy, které se mají shromažďovat. V nastavení toku uživatele si můžete vybrat ze sady předdefinovaných atributů uživatelů , které chcete od zákazníků shromažďovat. Zákazník zadá informace na registrační stránce a uloží se s jeho profilem ve vašem adresáři. Pokud chcete shromáždit další informace, můžete definovat vlastní atributy a přidat je do toku uživatele.

• Souhlas s podmínkami a ujednáními. Pomocí vlastních atributů uživatele můžete vyzvat uživatele, aby přijali vaše podmínky a ujednání. Do registračního formuláře můžete například přidat zaškrtávací políčka a zahrnout odkazy na vaše podmínky použití a zásady ochrany osobních údajů.

• Požadavky na deklarace identity tokenů Pokud vaše aplikace vyžaduje konkrétní atributy uživatele, můžete je zahrnout do tokenu odeslaného do vaší aplikace.

• Zprostředkovatelé sociálních identit. Můžete nastavit zprostředkovatele sociálních identit Google a Facebook a pak je přidat do toku uživatele jako možnosti přihlašování.

Integrace toku uživatele s aplikací

• Pokud chcete shromažďovat informace od zákazníků nad rámec předdefinovaných atributů uživatele, definujte vlastní atributy, aby byly dostupné při konfiguraci toku uživatele.

• Vytvořte tok uživatele pro registraci a přihlášení pro zákazníky.

• Přidejte aplikaci do toku uživatele.

Krok 4: Přizpůsobení a zabezpečení přihlášení

Při plánování konfigurace firemního brandingu, přizpůsobení jazyka a vlastních rozšíření zvažte následující body:

• Firemní branding. Po vytvoření nového externího tenanta můžete přizpůsobit vzhled webových aplikací pro zákazníky, kteří se přihlašují nebo zaregistrují, a přizpůsobit tak jejich činnost koncového uživatele. V Microsoft Entra ID se výchozí branding Microsoftu zobrazí na přihlašovacích stránkách před přizpůsobením nastavení. Tento branding představuje globální vzhled, který je používán při všech přihlášeních k vašemu tenantovi. Přečtěte si další informace o přizpůsobení vzhledu a chování přihlašování.

• Rozšíření deklarací identity ověřovacího tokenu Externí ID je navržené pro flexibilitu. Vlastní rozšíření ověřování můžete použít k přidání deklarací identity z externích systémů do tokenu aplikace těsně před vydáním tokenu pro aplikaci. Přečtěte si další informace o přidání vlastní obchodní logiky s využitím vlastních rozšíření ověřování.

• Vícefaktorové ověřování (MFA) Zabezpečení přístupu k aplikacím můžete povolit také vynucováním vícefaktorového ověřování, která přidá kritickou druhou vrstvu zabezpečení k přihlašování uživatelů tím, že vyžaduje ověření prostřednictvím jednorázového hesla e-mailu. Přečtěte si další informace o dostupných metodách ověřování vícefaktorového ověřování.

• Nativní ověřování. Nativní ověřování umožňuje hostovat uživatelské rozhraní v klientské aplikaci místo delegování ověřování do prohlížečů. Přečtěte si další informace o nativním ověřování v externím ID.

• Zabezpečení a zásady správného řízení. Seznamte se s funkcemi zabezpečení a zásad správného řízení , které jsou k dispozici ve vašem externím tenantovi, jako je Microsoft Entra ID Protection.

Jak přizpůsobit a zabezpečit přihlášení

• Přizpůsobení brandingu
• Přidání zprostředkovatelů identity
• Shromažďování atributů během registrace
• Přidání atributů do tokenu
• Přidání vícefaktorového ověřování
• Použití vlastní domény URL

Další kroky

• Spusťte bezplatnou zkušební verzi nebo vytvořte externího tenanta.
• Projděte si ukázky a pokyny pro integraci vaší aplikace.
• Podívejte se také na centrum pro vývojáře Microsoft Entra Externí ID, kde najdete nejnovější obsah a materiály pro vývojáře.