Condividi tramite

Provider di identità per tenant esterni

  • Articolo

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant della forza lavoro Cerchio verde con un segno di spunta bianco. Tenant esterni (altre informazioni)

Suggerimento

Questo articolo si applica all'ID esterno nei tenant esterni. Per informazioni sui tenant della forza lavoro, vedere Provider di identità per ID esterno nei tenant della forza lavoro.

Con Microsoft Entra per ID esterno è possibile creare esperienze di accesso sicure e personalizzate per le app rivolte ai clienti consumer e aziendali. In un tenant esterno sono disponibili diversi modi per consentire agli utenti di iscriversi all'app. Possono creare un account usando il proprio indirizzo di posta elettronica e una password o un passcode monouso. In alternativa, se si abilita l'accesso con Facebook, Google, Apple o un provider di identità OIDC personalizzato, è possibile accedere con il proprio account.

Questo articolo descrive i provider di identità disponibili per l'autenticazione primaria durante l'iscrizione e l'accesso alle app nei tenant esterni. È anche possibile migliorare la sicurezza applicando un criterio di autenticazione a più fattori (MFA) che richiede una seconda forma di verifica ogni volta che un utente accede (altre informazioni).

Accesso tramite posta elettronica e password

L'iscrizione tramite posta elettronica è abilitata per impostazione predefinita nelle impostazioni del provider di identità dell'account locale. Con l'opzione di posta elettronica, i clienti possono iscriversi e accedere con il proprio indirizzo di posta elettronica e una password.

  • Iscrizione: ai clienti viene richiesto un indirizzo di posta elettronica, verificato al momento dell'iscrizione con un passcode monouso. Il cliente immette quindi tutte le altre informazioni richieste nella pagina di iscrizione, ad esempio nome visualizzato, nome specificato e cognome. Selezionare quindi Continua per creare un account.

  • Accedi: dopo l'iscrizione e la creazione di un account, il cliente può accedere immettendo l'indirizzo e-mail e la password.

  • Reimpostazione password: se si abilita l'accesso tramite posta elettronica e password, viene visualizzato un collegamento di reimpostazione della password nella pagina della password. Se il cliente dimentica la password, selezionando questo collegamento viene inviato un passcode monouso al proprio indirizzo di posta elettronica. Dopo la verifica, il cliente può scegliere una nuova password.

    Screenshot del messaggio di posta elettronica con schermate di accesso con password.

Quando si crea un flusso utente di iscrizione e accesso, la posta elettronica con password è l'opzione predefinita.

Indirizzo di posta elettronica con accesso con passcode monouso

La posta elettronica con passcode monouso è un'opzione nelle impostazioni del provider di identità dell'account locale. Con questa opzione, il cliente accede con un passcode temporaneo anziché una password archiviata ogni volta che accede.

  • Iscrizione: i clienti possono iscriversi con il proprio indirizzo di posta elettronica e richiedere un codice temporaneo, che viene inviato al proprio indirizzo di posta elettronica. Quindi immette tale codice per continuare ad accedere.

  • Accedi: dopo l'iscrizione e la creazione di un account da parte del cliente, ogni volta che accedono immetteranno l'indirizzo di posta elettronica e riceveranno un passcode temporaneo.

    Screenshot del messaggio di posta elettronica con schermate di accesso con passcode monouso.

È anche possibile configurare opzioni per visualizzare, nascondere o personalizzare il collegamento di reimpostazione della password self-service nella pagina di accesso (altre informazioni).

Quando si crea un flusso utente di iscrizione e accesso, l'indirizzo di posta elettronica con passcode monouso è una delle opzioni dell'account locale.

Provider di identità sociali: Facebook, Google e Apple

Per un'esperienza di accesso ottimale, eseguire la federazione con i provider di identità social quando possibile, in modo da offrire ai clienti un'esperienza di iscrizione e accesso senza problemi. In un tenant esterno è possibile consentire a un cliente di iscriversi e accedere usando il proprio account Facebook, Google o Apple. Quando un cliente si iscrive all'app usando il proprio account social, il provider di identità social crea, gestisce e gestisce le informazioni sull'identità fornendo al tempo stesso servizi di autenticazione alle applicazioni.

Quando si abilitano i provider di identità di social networking, i clienti possono selezionare le opzioni dei provider di identità di social networking disponibili nella pagina di iscrizione. Per configurare i provider di identità di social networking nel tenant esterno, creare un'applicazione nel provider di identità e configurare le credenziali. Si ottengono un ID client o app e un segreto client o app, che è quindi possibile aggiungere al tenant esterno.

Accesso a Google (anteprima)

Configurando la federazione con Google, è possibile consentire ai clienti di accedere alle applicazioni con i propri account Gmail. Dopo aver aggiunto Google come una delle opzioni di accesso dell'applicazione, nella pagina di accesso gli utenti possono accedere a Microsoft Entra per ID esterno con un account Google.

Gli screenshot seguenti mostrano l'esperienza di accesso con Google. Nella pagina di accesso gli utenti selezionano Accedi con Google. A questo punto, l'utente viene reindirizzato al provider di identità Google per completare l'accesso.

Screenshot delle schermate di accesso di Google.

Informazioni su come aggiungere Google come provider di identità.

Accesso a Facebook (anteprima)

Configurando la federazione con Facebook, è possibile consentire agli utenti invitati di accedere alle applicazioni con i propri account Facebook. Dopo aver aggiunto Facebook come una delle opzioni di accesso dell'applicazione, nella pagina di accesso gli utenti possono accedere a Microsoft Entra per ID esterno con un account Facebook.

Gli screenshot seguenti mostrano l'esperienza di accesso con Facebook. Nella pagina di accesso gli utenti selezionano Accedi con Facebook. L'utente viene quindi reindirizzato al provider di identità facebook per completare l'accesso.

Screenshot delle schermate di accesso di Facebook.

Scopri come aggiungere Facebook come provider di identità.

Accesso con Apple (anteprima)

Configurando la federazione con Apple, è possibile consentire agli utenti invitati di accedere alle applicazioni con i propri account Apple. Dopo aver aggiunto Apple come una delle opzioni di accesso dell'applicazione, nella pagina di accesso gli utenti possono accedere a Microsoft Entra External ID con un account Apple.

Gli screenshot seguenti mostrano l'esperienza di accesso con Apple. Nella pagina di accesso gli utenti selezionano Accedi con Apple. L'utente viene quindi reindirizzato al provider di identità Apple per completare l'accesso. Informazioni su come aggiungere Apple come provider di identità.

Provider di identità OIDC personalizzato (anteprima)

È possibile configurare un provider di identità OIDC (OpenID Connect) personalizzato per consentire ai clienti di iscriversi e accedere alle applicazioni con i propri account. Quando un cliente si iscrive all'app utilizzando il loro provider di identità OIDC personalizzato, il provider di identità crea, mantiene e gestisce le informazioni sull'identità, mentre fornisce servizi di autenticazione alle applicazioni.

È anche possibile federare i flussi di accesso e registrazione con un tenant di Azure AD B2C usando il protocollo OIDC.

Scopri come configurare un provider di identità OIDC personalizzato.

Aggiornamento dei metodi di accesso

In qualsiasi momento, è possibile aggiornare le opzioni di accesso per un'app. Ad esempio, è possibile aggiungere provider di identità di social networking o modificare il metodo di accesso dell'account locale.

Quando si modificano i metodi di accesso, la modifica influisce solo sui nuovi utenti. Gli utenti esistenti continuano ad accedere usando il metodo originale. Si supponga, ad esempio, di iniziare con il metodo di accesso tramite posta elettronica e password e quindi di passare alla posta elettronica con passcode monouso. I nuovi utenti accedono usando un passcode monouso, ma tutti gli utenti che hanno già effettuato l'iscrizione con un messaggio di posta elettronica e una password continuano a essere richiesti per la posta elettronica e la password.

API Microsoft Graph

Le seguenti operazioni dell'API Microsoft Graph sono supportate per la gestione dei provider di identità e dei metodi di autenticazione in Microsoft Entra per ID esterno:

  • Per identificare i provider di identità e i metodi di autenticazione supportati, chiamare l'API List availableProviderTypes .
  • Per identificare i provider di identità e i metodi di autenticazione già configurati e abilitati nel tenant, chiamare l'API List identityProviders .
  • Per abilitare un provider di identità o un metodo di autenticazione supportato, chiamare l'API Create identityProvider .

Contenuto correlato