Compartir a través de


Planeamiento de la administración de identidad y acceso para clientes

Se aplica a:Círculo blanco con un símbolo X gris. inquilinos de personal Círculo verde con un símbolo de marca de comprobación blanca. inquilinos externos (más información)

Id. externa de Microsoft Entra es una solución personalizable y extensible para agregar la administración de identidades y acceso de clientes (CIAM) a la aplicación. Dado que se basa en la plataforma de Microsoft Entra, te beneficias de la coherencia en la integración de aplicaciones, la administración de inquilinos y las operaciones en los escenarios de personal y cliente. Al diseñar la configuración, es importante comprender los componentes de un inquilino externo y las características de Microsoft Entra que están disponibles para los escenarios de los clientes.

En este artículo se proporciona un marco general para integrar la aplicación y configurar el identificador externo. Describe las funcionalidades disponibles en un inquilino externo y describe las consideraciones de planeación importantes para cada paso de la integración.

La incorporación de un inicio de sesión seguro a la aplicación y la configuración de una administración de identidades y acceso de clientes implica cuatro pasos principales:

Diagrama que muestra información general de los pasos.

En este artículo se describen cada uno de estos pasos así como las consideraciones de planeamiento importantes. En la tabla siguiente, selecciona un paso para obtener detalles y consideraciones de planeamiento o ve directamente a las guías paso a paso.

Paso Guías de procedimientos
Paso 1: Creación de un inquilino externo Creación de un inquilino externo
O inicio de una evaluación gratuita
Paso 2: Registro de la aplicación Registro de la aplicación
Paso 3: Integración de un flujo de inicio de sesión con la aplicación Creación de un flujo de usuario
Incorporación de la aplicación al flujo de usuario
Paso 4: Personalización y protección del inicio de sesión Adaptación de la personalización de marca
Incorporación de proveedores de identidad
Recopilación de atributos durante el registro
Incorporación de atributos al token
Incorporación de autenticación multifactor (MFA)

Paso 1: Creación de un inquilino externo

Diagrama que muestra el paso 1 en el flujo de configuración.

Un inquilino externo es el primer recurso que debe crear para empezar a trabajar con el Id. externa de Microsoft Entra. El inquilino externo es donde registra la aplicación. También contiene un directorio donde se administran las identidades y el acceso del cliente, separados del inquilino del personal.

Al crear un inquilino externo, puedes establecer la ubicación geográfica correcta y el nombre de dominio. Si actualmente usas Azure AD B2C, el nuevo modelo de recursos y inquilinos externos no afecta a los inquilinos de Azure AD B2C existentes.

Cuentas de usuario en un inquilino externo

El directorio de un inquilino externo contiene cuentas de usuario de administrador y cliente. Puedes crear y administrar cuentas de administrador para el inquilino externo. Normalmente, las cuentas de cliente se crean mediante el registro de autoservicio, pero puedes crear y administrar cuentas locales del cliente.

Las cuentas de cliente tienen un conjunto predeterminado de permisos. Los clientes están restringidos a acceder a información sobre otros usuarios del inquilino externo. De forma predeterminada, los clientes no pueden acceder a información sobre otros usuarios, grupos o dispositivos.

Creación de un inquilino externo

Paso 2: Registro de la aplicación

Diagrama que muestra el paso 2 en el flujo de configuración.

Para que las aplicaciones puedan interactuar con la Id. externa, debes registrarlas en el inquilino externo. Microsoft Entra ID realiza la administración de identidades y acceso solo para las aplicaciones registradas. Registrar la aplicación establece una relación de confianza y permite integrar la aplicación con el identificador externo.

Después, para completar la relación de confianza entre Microsoft Entra ID y la aplicación, actualiza el código fuente de la aplicación con los valores asignados durante el registro de la aplicación, como el id. de aplicación (cliente), el subdominio de directorio (inquilino) y el secreto de cliente.

Proporcionamos guías de ejemplo de código y guías de integración detalladas para varios tipos de aplicaciones y lenguajes. Dependiendo del tipo de aplicación que quieras registrar, puedes encontrar instrucciones en nuestra página de ejemplos por tipo de aplicación e idioma.

Registro de la aplicación

Paso 3: Integración de un flujo de inicio de sesión con la aplicación

Diagrama que muestra el paso 3 en el flujo de configuración.

Una vez configurado el inquilino externo y registrado la aplicación, cree un flujo de usuario de registro e inicio de sesión. A continuación, integre la aplicación con el flujo de usuario para que cualquier persona que acceda a ella pase por la experiencia de registro e inicio de sesión que ha diseñado.

Para integrar la aplicación con un flujo de usuario, agregue la aplicación a las propiedades del flujo de usuario y actualice el código de la aplicación con la información del inquilino y el punto de conexión de autorización.

Flujo de autenticación

Cuando un cliente intenta iniciar sesión en la aplicación, esta envía una solicitud de autorización al punto de conexión que usted proporcionó al asociarla con el flujo de usuario. El flujo de usuario define y controla la experiencia de inicio de sesión del cliente.

Si el usuario inicia sesión por primera vez, se le presenta la experiencia de registro. Se escribe la información basada en los atributos de usuario integrados o personalizados que ha optado por recopilar.

Cuando el registro se completa, el Id. de Microsoft Entra genera un token y redirige al cliente a la aplicación. Se crea una cuenta de cliente para el cliente en el directorio.

Flujo de usuario de registro e inicio de sesión

Al planear la experiencia de registro e inicio de sesión, determine los requisitos:

  • Número de flujos de usuario. Cada aplicación solo puede tener un flujo de usuario de registro e inicio de sesión. Si tiene varias aplicaciones, puede usar un único flujo de usuario para todos ellos. O bien, si desea una experiencia diferente para cada aplicación, puede crear varios flujos de usuario. El máximo es de 10 flujos de usuario por inquilino externo.

  • Personalizaciones de marca e idioma de la empresa. Aunque más adelante en el paso 4 se describe la configuración de las personalizaciones de marca y de lenguaje de la empresa, puede configurarlas en cualquier momento, ya sea antes o después de integrar una aplicación con un flujo de usuario. Si configura la personalización de marca de la empresa antes de crear el flujo de usuario, las páginas de inicio de sesión reflejarán esa personalización de marca. De lo contrario, las páginas de inicio de sesión reflejarán la personalización de marca neutra predeterminada.

  • Atributos que se van a recopilar. En la configuración del flujo de usuario, puede seleccionar entre un conjunto de atributos de usuario integrados que quiera recopilar de los clientes. El cliente escribe la información en la página de registro y se almacena con su perfil en el directorio. Si desea recopilar más información, puede definir atributos personalizados y agregarlos al flujo de usuario.

  • Consentimiento de términos y condiciones. Puede usar atributos de usuario personalizados para pedir a los usuarios que acepten los términos y condiciones. Por ejemplo, puede agregar casillas al formulario de registro e incluir vínculos a los términos de uso y directivas de privacidad.

  • Requisitos para las notificaciones de token. Si la aplicación requiere atributos de usuario específicos, puede incluirlos en el token enviado a la aplicación.

  • Proveedores de identidades sociales. Puede configurar los proveedores de identidades sociales Google y Facebook y, a continuación, agregarlos al flujo de usuario como opciones de inicio de sesión.

Integración de un flujo de usuario con la aplicación

Paso 4: Personalización y protección del inicio de sesión

Diagrama que muestra el paso 4 en el flujo de configuración.

Al planear la configuración de las personalizaciones de marca e idioma de la empresa y las extensiones personalizadas, tenga en cuenta los siguientes puntos:

  • Personalización de marca de empresa. Después de crear un nuevo inquilino externo, puede personalizar la apariencia de las aplicaciones basadas en web para los clientes que inician sesión o se registran, para personalizar su experiencia del usuario final. En el Id. de Microsoft Entra aparece la personalización de marca predeterminada de Microsoft en las páginas de inicio de sesión antes de personalizar cualquier configuración. Esta personalización de marca representa la apariencia global y la sensación que el usuario percibe que se aplica a todos los inicios de sesión en el inquilino. Obtenga más información sobre la personalización de la apariencia y la sensación del inicio de sesión.

  • Extensión de las notificaciones del token de autenticación. El identificador externo está diseñado para ofrecer flexibilidad. Puede usar una extensión de autenticación personalizada para agregar notificaciones de sistemas externos al token de aplicación justo antes de que este se emita a la aplicación. Obtenga más información sobre como agregar su propia lógica de negocios con extensiones de autenticación personalizadas.

  • Autenticación multifactor (MFA). También puede habilitar la seguridad de acceso a las aplicaciones aplicando MFA, que agrega una segunda capa crítica de seguridad a los inicios de sesión de usuario mediante la necesidad de verificación a través código de acceso de un solo uso por correo electrónico. Obtén más información sobre los métodos de autenticación de MFA disponibles.

  • Autenticación nativa. La autenticación nativa permite hospedar la interfaz de usuario en la aplicación cliente en lugar de delegar la autenticación en exploradores. Obtenga más información acerca de autenticación nativa en Id. externo.

  • Seguridad y gobernanza. Obtenga información sobre características de seguridad y gobernanza disponibles en el inquilino externo, como Protección de id. de Microsoft Entra.

Personalización y protección del inicio de sesión

Pasos siguientes