Freigeben über


Übersicht: Sichern Ihrer Apps mithilfe der externen ID in einem externen Mandanten

Gilt für:Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Microsoft Entra External ID ist die Microsoft-Lösung zur Verwaltung von Kundenidentitäten und Zugriff (Customer Identity and Access Management, CIAM). Für Organisationen und Unternehmen, die ihre Anwendungen für Consumer und Geschäftskunden verfügbar machen möchten, erleichtert die externe ID das Hinzufügen von CIAM-Features wie Self-Service-Registrierung, personalisierten Anmeldeerfahrungen und Kundenkontoverwaltung. Da diese CIAM-Funktionen in Microsoft Entra ID integriert sind, profitieren Sie auch von Plattformfeatures wie verbesserter Sicherheit, Compliance und Skalierbarkeit.

Diagramm mit einer Übersicht über Kundenidentität und Zugriffsverwaltung.

Erstellen eines dedizierten externen Mandanten

Bei den ersten Schritten mit External ID für Ihre Consumer und Geschäftskunden-Apps erstellen Sie zunächst einen Mandanten für Apps, Ressourcen und das Verzeichnis der Kundenkonten.

Wenn Sie mit Microsoft Entra ID gearbeitet haben, sind Sie bereits mit der Verwendung eines Microsoft Entra-Mandanten vertraut, der Ihr Mitarbeiterverzeichnis, interne Apps und andere Organisationsressourcen enthält. Mit External ID erstellen Sie einen eigenen Mandanten, der dem Microsoft Entra-Standardmandantenmodell folgt, aber für externe Szenarien konfiguriert ist. Dieser externe Mandant enthält:

  • Ein Verzeichnis: Im Verzeichnis werden die Anmeldeinformationen und Profildaten Ihrer Kunden gespeichert. Wenn sich ein Consumer oder Geschäftskunde für Ihre App registriert, wird für ihn ein lokales Konto in Ihrem externen Mandanten erstellt.

  • Anwendungsregistrierungen:Identity & Access Management-Aktionen werden von Microsoft Entra ID nur für registrierte Anwendungen ausgeführt. Durch die Registrierung Ihrer App wird eine Vertrauensstellung hergestellt, und Sie können Ihre App in Microsoft Entra ID integrieren

  • Benutzerflows: Der externe Mandant enthält die Self-Service-Registrierungs-, -Anmelde- und Kennwortzurücksetzungsfunktionen, die Sie für Ihre Kunden aktivieren möchten.

  • Erweiterungen: Wenn Sie Benutzerattribute und Daten aus externen Systemen hinzufügen müssen, können Sie benutzerdefinierte Authentifizierungserweiterungen für Ihre Benutzerflows erstellen.

  • Anmeldemethoden: Sie können verschiedene Optionen für die Anmeldung bei Ihrer App aktivieren, einschließlich Benutzername und Kennwort, Einmalkennung und Google, Facebook, Apple oder benutzerdefinierte OIDC-Identitäten.

  • Verschlüsselungsschlüssel: Hinzufügen und Verwalten von Verschlüsselungsschlüsseln zum Signieren und Überprüfen von Token, geheimen Clientschlüsseln, Zertifikaten und Kennwörtern.

Erfahren Sie mehr über die Anmeldung mit Kennwort und Einmal-Passcode und über die Verwendung von Google, Facebook, Apple und OIDC als Partnerverbund.

In einem externen Mandanten können Sie zwei Arten von Benutzerkonten verwalten:

  • Kundenkonto: Konten, die die Kunden darstellen, die auf Ihre Anwendungen zugreifen.

  • Geschäftskonto: Benutzer mit Geschäftskonten können Ressourcen in einem Mandanten verwalten und zudem Mandanten verwalten, wenn sie über eine Administratorrolle verfügen. Benutzer mit Geschäftskonten können neue Consumerkonten erstellen, Kennwörter zurücksetzen, Konten sperren/entsperren und Berechtigungen festlegen oder ein Konto einer Sicherheitsgruppe zuweisen.

Erfahren Sie mehr über die Verwaltung von Kundenkonten und Administratorkonten in Ihrem externen Mandanten.

Hinzufügen einer benutzerdefinierten Anmeldung

External ID richtet sich an Unternehmen, die ihren Kunden Anwendungen über die Microsoft Entra-Plattform für Identität und Zugriff bereitstellen möchten.

  • Fügen Sie Ihren Apps die Registrierungs- und Anmeldeseiten hinzu. Fügen Sie schnell eine intuitive, benutzerfreundliche Registrierungs- sowie Anmeldefunktionen für Ihre Kunden-Apps hinzu. Mit einer einzigen Identität kann ein Kunde sicher auf alle Anwendungen zugreifen, von denen Sie möchten, dass er sie nutzen soll.

  • Fügen Sie ein einmaliges Anmelden (Single Sign-On, SSO) mit Identitäten für soziale Netzwerke und Unternehmen hinzu. Kunden können eine soziale, Unternehmens- oder verwaltete Identität auswählen, um sich mit einem Benutzernamen und Kennwort, einer E-Mail-Adresse oder einer einmaligen Kennung anzumelden.

  • Fügen Sie der Registrierungsseite Ihr Unternehmensbranding hinzu. Passen Sie das Erscheinungsbild Ihrer Registrierungs- und Anmeldeerfahrungen an, einschließlich der Standardumgebung und der Benutzeroberfläche für bestimmte Browsersprachen.

  • Passen Sie Ihre Registrierungsflows ganz einfach an und erweitern Sie sie. Passen Sie Ihre Identitätsbenutzerflows an Ihre Anforderungen an. Wählen Sie die Attribute aus, die Sie während der Registrierung von einem Kunden erfassen möchten, oder fügen Sie Ihre eigenen benutzerdefinierten Attribute hinzu. Wenn die von Ihrer App benötigten Informationen in einem externen System enthalten sind, erstellen Sie benutzerdefinierte Authentifizierungserweiterungen zum Erfassen und Hinzufügen von Daten zu Authentifizierungstoken.

  • Integrieren Sie mehrere App-Sprachen und -Plattformen. Mit Microsoft Entra können Sie schnell sichere Markenauthentifizierungsflows für mehrere App-Typen, Plattformen und Sprachen einrichten und bereitstellen.

  • Anwenden der nativen Authentifizierung für Ihre Apps. Erstellen Sie nahtlose Authentifizierungsfunktionen für mobile Anwendungen und Desktopanwendungen mithilfe der Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) für iOS und Android.

  • Stellen Sie die Self-Service-Kontoverwaltung bereit. Kunden können sich selbst für Ihre Onlinedienste registrieren, ihr Profil verwalten, ihr Konto löschen, sich bei einer MFA-Methode (Multifactor Authentication) registrieren oder ihr Kennwort ohne Unterstützung von Administratoren oder Helpdesks zurücksetzen.

  • Stimmen Sie Ihren Nutzungsbedingungen und Datenschutzrichtlinien zu. Sie können Benutzer auffordern, Ihre Geschäftsbedingungen während der Registrierung zu akzeptieren. Mithilfe von Kundenbenutzerattributen können Sie Ihrem Registrierungsformular Kontrollkästchen hinzufügen und Links zu Ihren Nutzungsbedingungen und Datenschutzrichtlinien hinzufügen.

Erfahren Sie mehr über das Hinzufügen von Anmeldungen und Registrierungen zu Ihrer App sowie zum Anpassen des Erscheinungsbilds der Anmeldung.

Entwerfen von Benutzerflows für die Self-Service-Registrierung

Sie können eine einfache Regsitrierungs- und Anmeldeumgebung für Ihre Kunden erstellen, indem Sie Ihrer Anwendung einen Benutzerflow hinzufügen. Der Benutzerablauf definiert die Reihe von Anmeldeschritten, die Kunden befolgen, und die Anmeldemethoden, die sie verwenden können (z. B. E-Mail und Kennwort, einmalige Kennungen, Soziale Konten von Google, Facebook- oder Applesowie benutzerdefinierten OIDC- Identitätsanbietern). Sie können zudem während der Registrierung Informationen von Kunden erfassen, indem Sie aus einer Reihe von integrierten Benutzerattributen auswählen oder Ihre eigenen benutzerdefinierten Attribute hinzufügen.

Mit mehreren Benutzerfloweinstellungen können Sie steuern, wie sich der Kunde für die Anwendung registriert, einschließlich:

  • Anmeldemethoden und externe Identitätsanbieter
  • Attribute, die vom Benutzer bei der Registrierung erfasst werden, z. B. Vorname, Postleitzahl oder Land/Region des Wohnsitzes
  • Unternehmensbranding und Sprachanpassung

Ausführliche Informationen zum Konfigurieren eines Benutzerflows finden Sie unter Erstellen eines Registrierungs- und Anmeldebenutzerflows für Kunden.

Hinzufügen Ihrer eigenen Geschäftslogik

External ID ist auf Flexibilität ausgelegt, da Sie an bestimmten Stellen innerhalb des Authentifizierungsflusses Aktionen definieren können. Mithilfe einer benutzerdefinierten Authentifizierungserweiterung können Sie dem Token Ansprüche von externen Systemen hinzufügen, bevor es für Ihre Anwendung ausgestellt wird.

Erfahren Sie mehr über das Hinzufügen Ihrer eigenen Geschäftslogik mit benutzerdefinierten Authentifizierungserweiterungen.

Sicherheit und Zuverlässigkeit von Microsoft Entra

External ID stellt die Konvergenz von B2C-Features (Business-to-Consumer) in die Microsoft Entra-Plattform dar. Sie profitieren von Plattformfeatures wie verbesserter Sicherheit, Einhaltung von Vorschriften und der Möglichkeit, Ihre Identitäts- und Zugriffsverwaltungsprozesse zu skalieren.

  • Microsoft Entra-Sicherheit. Nutzen Sie alle Sicherheits- und Datenschutzvorteile von Microsoft Entra, einschließlich bedingtem Zugriff, mehrstufiger Authentifizierung und Governance. Schützen Sie den Zugriff auf Ihre Apps mithilfe einer starken Authentifizierung sowie mit risikobasierten adaptiven Zugriffsrichtlinien. Da Kunden in einem separaten Mandanten verwaltet werden, können Sie Ihre Zugriffsrichtlinien auf Benutzer anpassen, die in der Regel persönliche und freigegebene Geräte anstelle verwalteter Geräte verwenden.

  • Zuverlässigkeit und Skalierbarkeit von Microsoft Entra. Erstellen Sie eine hochgradig angepasste Anmeldeumgebung und verwalten Sie Kundenkonten in großem Umfang. Sorgen Sie für eine gute Kundenerfahrung, indem Sie von Microsoft Entra Leistung, Resilienz, Geschäftskontinuität, geringer Latenz und hohem Durchsatz profitieren.

Erfahren Sie mehr über die Sicherheits- und Governance-Funktionen, die in einem externen Mandanten verfügbar sind.

Analysieren von Benutzeraktivitäten und -bindung

Die Funktion „Anwendungsbenutzeraktivität“ unter „Nutzung und Erkenntnisse“ bietet Datenanalysen zu Benutzeraktivitäten und Kundenbindung für registrierte Anwendungen in Ihrem Mandanten. Mit dieser Funktion können Sie Benutzeraktivitätsdaten im Microsoft Entra Admin Center anzeigen, abfragen und analysieren. Auf diese Weise können Sie wertvolle Erkenntnisse aufdecken, die strategische Entscheidungen unterstützen und das Geschäftswachstum fördern können.

Erfahren Sie mehr über die App-Benutzeraktivitäts-Dashboards, die in externen Mandanten verfügbar sind.

Informationen zu Azure AD B2C

Welche Lösung eignet sich für neue Kunden besser, Azure AD B2C oder Microsoft Entra External ID? Entscheiden Sie sich für das aktuelle Azure AD B2C-Produkt, wenn:

  • Sie müssen dringend einen produktionsbereiten Build bereitstellen.

    Hinweis

    Denken Sie daran, dass die Microsoft Entra External ID-Plattform der nächsten Generation die Zukunft von CIAM für Microsoft darstellt. Deshalb werden sich schnelle Innovation, neue Features und Funktionen auf diese Plattform konzentrieren. Wenn Sie sich von Anfang an für die Plattform der nächsten Generation entscheiden, profitieren Sie von schnellen Innovationen und einer zukunftssicheren Architektur.

Entscheiden Sie sich für die Microsoft Entra External ID-Plattform der nächsten Generation, wenn:

  • Sie damit beginnen, Identitäten in Apps neu zu erstellen, oder sich in den frühen Phasen der Produktermittlung befinden.
  • Die Vorteile schneller Innovationen, neuer Features und hinzugefügter Funktionen stehen im Vordergrund.

Nächste Schritte