Sdílet prostřednictvím


Přehled: Zabezpečení aplikací pomocí externího ID v externím tenantovi

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Microsoft Entra Externí ID zahrnuje řešení Microsoftu pro správu identit a přístupu (CIAM). Pro organizace a firmy, které chtějí zpřístupnit své aplikace spotřebitelům a firemním zákazníkům, umožňuje externí ID snadno přidávat funkce CIAM, jako je samoobslužná registrace, přizpůsobené přihlašování a správa zákaznických účtů. Vzhledem k tomu, že jsou tyto funkce CIAM integrované v Microsoft Entra ID, získáte také výhody funkcí platformy, jako jsou rozšířené zabezpečení, dodržování předpisů nebo škálovatelnost.

Diagram znázorňující přehled správy identit a přístupu zákazníků

Vytvoření vyhrazeného externího tenanta

Při zahájení práce s externím ID pro aplikace pro zákazníky a firemní zákazníky nejprve vytvoříte tenanta pro vaše aplikace, prostředky a adresář zákaznických účtů.

Pokud jste pracovali s ID Microsoft Entra, už víte, že používáte tenanta Microsoft Entra, který obsahuje adresář zaměstnanců, interní aplikace a další organizační prostředky. Pomocí externího ID vytvoříte jedinečného tenanta, který se řídí standardním modelem tenanta Microsoft Entra, ale je nakonfigurovaný pro externí scénáře. Tento externí tenant obsahuje:

  • Adresář: V adresáři se ukládají přihlašovací údaje a data profilů zákazníků. Když se zákazník nebo firemní zákazník zaregistruje do vaší aplikace, vytvoří se pro ně místní účet ve vašem externím tenantovi.

  • Registrace aplikací: Microsoft Entra ID provádí správu identit a přístupu pouze u zaregistrovaných aplikací. Registrace aplikace vytvoří vztah důvěryhodnosti a umožní vám integrovat aplikaci s ID Microsoft Entra.

  • Toky uživatelů: Externí tenant obsahuje prostředí samoobslužné registrace, přihlášení a resetování hesla, které chcete pro vaše zákazníky povolit.

  • Rozšíření: Pokud potřebujete přidat atributy uživatele a data z externích systémů, můžete pro toky uživatelů vytvořit vlastní rozšíření ověřování.

  • metody přihlášení: Můžete povolit různé možnosti pro přihlášení k aplikaci, včetně uživatelského jména a hesla, jednorázového hesla a Google, Facebooku, Apple nebo vlastních identit OIDC.

  • Šifrovací klíče: Můžete přidat a spravovat šifrovací klíče pro podepisování a ověřování tokenů, tajných klíčů klientů, certifikátů a hesel.

Přečtěte si další informace o heslu a nástroji pro přihlášení jednorázovým heslem a o federaci Google, Facebook, Apple a OIDC.

Existují dva typy uživatelských účtů, které můžete spravovat ve svém externím tenantovi:

  • Účet zákazníka: Účty, které představují zákazníky, kteří přistupují k vašim aplikacím.

  • Účet správce: Uživatelé s pracovními účty můžou spravovat prostředky v tenantovi a uživatelé s rolí správce můžou spravovat také tenanty. Uživatelé s pracovními účty můžou vytvářet nové zákaznické účty, resetovat hesla, zablokovat nebo odblokovat účty a nastavit oprávnění nebo přiřadit účet ke skupině zabezpečení.

Přečtěte si další informace o správě zákaznických účtů a účtů správců ve vašem externím tenantovi.

Přidání přizpůsobeného přihlášení

Externí ID je určené pro firmy, které chtějí zpřístupnit aplikace svým zákazníkům pomocí platformy Microsoft Entra pro identitu a přístup.

  • Přidání registrační a přihlašovací stránky do aplikací Do zákaznických aplikací můžete rychle přidat intuitivní a uživatelsky přívětivé prostředí pro registraci a přihlašování. S jedinou identitou může zákazník bezpečně přistupovat ke všem aplikacím, které chcete, aby mohl používat.

  • Přidání jednotného přihlašování s využitím sociálních a podnikových identit Zákazníci si můžou zvolit sociální, podnikovou nebo spravovanou identitu a přihlašovat se pomocí uživatelského jména a hesla, e-mailu nebo jednorázového přístupového kódu.

  • Přidání brandingu společnosti na registrační stránku Přizpůsobte si vzhled a chování prostředí pro registraci a přihlašování, včetně výchozího prostředí a prostředí pro konkrétní jazyky prohlížeče.

  • Snadné přizpůsobení a rozšíření toků registrace Přizpůsobte si toky uživatelů identit svým potřebám. Vyberte atributy, které chcete při registraci shromáždit od uživatele, nebo přidejte vlastní atributy. Pokud se informace, které vaše aplikace potřebuje, nacházejí v externím systému, vytvořte vlastní rozšíření ověřování, která budou shromažďovat data a přidávat je do ověřovacích tokenů.

  • Integrace různých jazyků a platforem aplikací S Microsoft Entra můžete rychle nastavit a dodávat zabezpečené toky ověřování s brandingem pro různé typy, platformy a jazyky aplikací.

  • Používejte nativní ověřování pro vaše aplikace. Vytvářejte bezproblémová prostředí ověřování pro mobilní a desktopové aplikace pomocí knihovny MICROSOFT Authentication Library (MSAL) pro iOS a Android.

  • Zajištění samoobslužné správy účtů Zákazníci si můžou sami zaregistrovat vaše online služby, spravovat svůj profil, odstranit svůj účet, zaregistrovat si metodu vícefaktorového ověřování (MFA) nebo resetovat své heslo bez pomoci správce nebo technické podpory.

  • Souhlas s vašimi podmínkami použití a zásadami ochrany osobních údajů. Během registrace můžete uživatele vyzvat, aby přijali vaše podmínky a ujednání. Pomocí atributů uživatele zákazníka můžete do registračního formuláře přidat zaškrtávací políčka a zahrnout odkazy na vaše podmínky použití a zásady ochrany osobních údajů.

Přečtěte si další informace o přidání registrace a přihlašování do aplikace a přizpůsobení vzhledu a chování přihlašování.

Návrh toků uživatelů pro samoobslužnou registraci

Přidáním toku uživatelů do aplikace můžete vytvořit jednoduché prostředí pro registraci a přihlašování zákazníků. Tok uživatele definuje řadu kroků registrace, které zákazníci následují, a metody přihlašování, které mohou zvolit (například e-mail a heslo, jednorázové kódy, sociální účty z Google, Facebook nebo Apple, jakož i vlastní poskytovatele identity OIDC). Během registrace také můžete od zákazníků shromažďovat informace výběrem z řady předdefinovaných atributů uživatele nebo přidáním vlastních atributů.

Několik nastavení toku uživatelů umožňuje řídit způsob registrace zákazníků k aplikaci. Patří mezi ně následující:

  • Metody přihlašování a externí zprostředkovatelé identit
  • Atributy, které se mají shromáždit během registrace zákazníka, jako jsou jméno, PSČ nebo země/oblast bydliště
  • Branding společnosti a přizpůsobení jazyka

Podrobnosti o konfiguraci toku uživatelů najdete v tématu Vytvoření toku uživatelů pro registraci a přihlašování zákazníků.

Přidání vlastní obchodní logiky

Externí ID je navržené pro flexibilitu tím, že umožňuje definovat akce v určitých bodech v rámci toku ověřování. Pomocí vlastního rozšíření ověřování můžete do tokenu těsně před jeho vydáním do aplikace přidat deklarace identity z externích systémů.

Přečtěte si další informace o přidání vlastní obchodní logiky s využitím vlastních rozšíření ověřování.

Zabezpečení a spolehlivost Microsoft Entra

Externí ID představuje konvergenci funkcí B2C (business-to-consumer) do platformy Microsoft Entra. Získáte výhody funkcí platformy, jako jsou rozšířené zabezpečení, dodržování předpisů a možnost škálovat procesy správy identit a přístupu.

  • Zabezpečení Microsoft Entra Získejte všechny výhody zabezpečení a ochrany osobních údajů v datech, které nabízí Microsoft Entra, včetně podmíněného přístupu, vícefaktorového ověřování a zásad správného řízení. Chraňte přístup k vašim aplikacím s využitím silného ověřování a adaptivních zásad přístupu na základě rizika. Vzhledem k tomu, že se zákazníci spravují v samostatném tenantovi, můžete zásady přístupu přizpůsobit uživatelům, kteří obvykle místo spravovaných zařízení používají osobní nebo sdílená zařízení.

  • Spolehlivost a škálovatelnost Microsoft Entra Vytvářejte vysoce přizpůsobená prostředí pro přihlašování a spravujte zákaznické účty ve velkém. Zajistěte dobré uživatelské prostředí s využitím výkonu, odolnosti, provozní kontinuity, nízké latence a vysoké propustnosti, které nabízí Microsoft Entra.

Přečtěte si další informace o funkcích zabezpečení a zásad správného řízení , které jsou k dispozici v externím tenantovi.

Analýza aktivity a zapojení uživatelů

Funkce aktivity uživatele aplikace v části Využití a přehledy poskytuje analýzu dat o aktivitách uživatelů a zapojení registrovaných aplikací ve vašem tenantovi. Tuto funkci můžete použít k zobrazení, dotazování a analýze dat aktivit uživatelů v Centru pro správu Microsoft Entra. To vám může pomoct odhalit cenné poznatky, které vám můžou pomoct se strategickými rozhodnutími a podpořit obchodní růst.

Přečtěte si další informace o řídicích panelech aktivit uživatelů aplikace, které jsou k dispozici v externím tenantovi.

Informace o Azure AD B2C

Pokud jste nový zákazník, možná vás zajímá, které řešení je vhodnější, Azure AD B2C nebo Microsoft Entra Externí ID. Vyberte aktuální produkt Azure AD B2C, pokud:

  • Musíte okamžitě nasadit sestavení připravené pro produkční prostředí.

    Poznámka:

    Mějte na paměti, že nová generace Microsoft Entra Externí ID platforma představuje budoucnost CIAM pro Microsoft a rychlé inovace, nové funkce a schopnosti budou zaměřeny na tuto platformu. Výběrem platformy nové generace od začátku získáte výhody rychlé inovace a budoucí architektury.

Vyberte novou generaci Microsoft Entra Externí ID platformě, pokud:

  • Začínáte vytvářet identity do aplikací nebo jste v počátečních fázích zjišťování produktů.
  • Předností jsou výhody rychlých inovací, nových funkcí a přidaných funkcí.

Další kroky