Omówienie: Zabezpiecz swoje aplikacje, używając Identyfikatora Zewnętrznego w zewnętrznym tenantcie

Dotyczy: Dzierżawcy siły roboczej dzierżawcy zewnętrzni (dowiedz się więcej)

Microsoft Entra External ID obejmuje rozwiązanie firmy Microsoft do zarządzania tożsamościami klientów i dostępem (CIAM). W przypadku organizacji i firm, które chcą udostępniać swoje aplikacje klientom i klientom biznesowym, identyfikator zewnętrzny ułatwia dodawanie funkcji CIAM, takich jak rejestracja samoobsługowa, spersonalizowane środowiska logowania i zarządzanie kontami klientów. Ponieważ te funkcje CIAM są wbudowane w usługę Microsoft Entra ID, możesz również korzystać z funkcji platformy, takich jak zwiększone zabezpieczenia, zgodność i skalowalność.

Utwórz dedykowaną dzierżawę zewnętrzną

Podczas rozpoczynania pracy z Identyfikatorem Zewnętrznym dla aplikacji przeznaczonych dla klientów indywidualnych i biznesowych należy najpierw utworzyć tenant dla aplikacji, zasobów i katalogu kont użytkowników.

Jeśli pracowałeś z Microsoft Entra ID, to już jesteś zaznajomiony z użyciem dzierżawy Microsoft Entra, która zawiera katalog pracowników, aplikacje wewnętrzne i inne zasoby organizacyjne. Za pomocą identyfikatora zewnętrznego tworzysz odrębnego dzierżawcę, który jest zgodny ze standardowym modelem dzierżawy Microsoft Entra, ale jest skonfigurowany dla scenariuszy zewnętrznych. Ten podmiot zewnętrzny zawiera:

• Katalog: katalog przechowuje poświadczenia klienta i dane profilu klienta. Gdy konsument lub klient biznesowy zarejestruje się w Twojej aplikacji, zostanie utworzone dla niego konto lokalne w Twoim zewnętrznym dzierżawcy.

• Rejestracje aplikacji: usługa Microsoft Entra ID zarządza tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z identyfikatorem Entra firmy Microsoft.

• Zewnętrzne przepływy użytkowników: Lokator zewnętrzny zawiera doświadczenia samoobsługowe związane z tworzeniem konta, logowaniem oraz resetowaniem haseł, które chcesz udostępnić swoim klientom.

• Rozszerzenia: jeśli musisz dodać atrybuty użytkownika i dane z systemów zewnętrznych, możesz utworzyć niestandardowe rozszerzenia uwierzytelniania dla przepływów użytkowników.

• metody logowania: Można włączyć różne opcje logowania się do aplikacji, w tym nazwę użytkownika i hasło, jednorazowy kod dostępu oraz tożsamości Google, Facebook, Apple lub niestandardowe OIDC.

• Klucze szyfrowania: dodaj klucze szyfrowania i zarządzaj nimi na potrzeby podpisywania i weryfikowania tokenów, wpisów tajnych klienta, certyfikatów i haseł.

Dowiedz się więcej na temat logowania hasłem i jednorazowym kodem dostępu oraz o Google, Facebook, Apple i federacji OIDC.

Istnieją dwa typy kont użytkowników, którymi można zarządzać w dzierżawie zewnętrznej:

• Konto klienta: konta reprezentujące klientów, którzy uzyskują dostęp do aplikacji.

• Konto administratora: Użytkownicy posiadający konta służbowe mogą zarządzać zasobami w dzierżawie, a jeśli mają rolę administratora, mogą także zarządzać samymi dzierżawami. Użytkownicy z kontami służbowymi mogą tworzyć nowe konta konsumentów, resetować hasła, blokować/odblokowywać konta oraz ustawiać uprawnienia lub przypisywać konto do grupy zabezpieczeń.

Dowiedz się więcej o zarządzaniu kontami klientów i kontami administratora w najemcy zewnętrznym.

Dodawanie dostosowanego logowania

Identyfikator zewnętrzny jest przeznaczony dla firm, które chcą udostępniać aplikacje swoim klientom przy użyciu platformy Microsoft Entra na potrzeby tożsamości i dostępu.

• Dodawanie stron rejestracji i logowania do aplikacji. Szybkie dodawanie intuicyjnych, przyjaznych dla użytkownika środowisk rejestracji i logowania dla aplikacji klienta. Za pomocą jednej tożsamości klient może bezpiecznie uzyskać dostęp do wszystkich aplikacji, z których chcesz, aby korzystał.

• Dodawanie logowania jednokrotnego za pomocą tożsamości społecznościowych i tożsamości przedsiębiorstwa. Klienci mogą wybrać tożsamość społecznościową, przedsiębiorstwa lub zarządzaną, aby logować się za pomocą nazwy użytkownika i hasła, poczty e-mail lub jednorazowego kodu dostępu.

• Dodaj elementy identyfikacji wizualnej swojej firmy do strony rejestracji. Dostosuj wygląd i działanie środowisk rejestracji i logowania, w tym zarówno środowisko domyślne, jak i środowisko dla określonych języków przeglądarki.

• Łatwe dostosowywanie i rozszerzanie przepływów rejestracji. Dostosuj przepływy użytkowników związane z tożsamością do własnych potrzeb. Wybierz atrybuty, które chcesz zbierać od klienta podczas rejestracji, lub dodaj własne atrybuty niestandardowe. Jeśli informacje, których potrzebuje aplikacja, znajdują się w systemie zewnętrznym, utwórz niestandardowe rozszerzenia uwierzytelniania w celu zbierania i dodawania danych do tokenów uwierzytelniania.

• Integrowanie wielu platform i języków aplikacji. Dzięki usłudze Microsoft Entra można szybko skonfigurować i dostarczać bezpieczne, brandowane przepływy uwierzytelniania dla wielu typów aplikacji, platform i języków.

• Użyj uwierzytelniania natywnego dla aplikacji. Twórz bezproblemowe środowiska uwierzytelniania dla aplikacji mobilnych i stacjonarnych, korzystając z biblioteki Microsoft Authentication Library (MSAL) dla systemów iOS i Android.

• Zapewnienie samoobsługowego zarządzania kontami. Klienci mogą samodzielnie rejestrować się w usługach online, zarządzać swoim profilem, usuwać swoje konto, rejestrować się w metodzie uwierzytelniania wieloskładnikowego (MFA) lub resetować hasło bez pomocy administratora lub pomocy technicznej.

• Wyrażanie zgody na warunki użytkowania i zasady ochrony prywatności. Podczas rejestracji możesz monitować użytkowników o zaakceptowanie warunków i postanowień. Za pomocą atrybutów użytkownika klienta można dodawać pola wyboru do formularza rejestracji i dołączać linki do warunków użytkowania i zasad ochrony prywatności.

Dowiedz się więcej na temat dodawania logowania i rejestracji do aplikacji oraz dostosowywania wyglądu i działania logowania.

Projektowanie przepływów użytkowników na potrzeby rejestracji samoobsługowej

Możesz utworzyć proste środowisko rejestracji i logowania dla klientów, dodając przepływ użytkownika do aplikacji. Przepływ użytkownika definiuje serię kroków rejestracji, które klienci stosują, i metody logowania, których mogą używać (takich jak poczta e-mail i hasło, jednorazowe kody dostępu, konta społecznościowe z Google, Facebook lub Apple, a także niestandardowych dostawców tożsamości OIDC). Możesz również zbierać informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.

Kilka ustawień przepływu użytkownika pozwala kontrolować sposób, w jaki klient rejestruje się w aplikacji, w tym:

• Metody logowania i zewnętrzni dostawcy tożsamości
• Atrybuty zbierane od rejestrującego się klienta, takie jak imię, kod pocztowy lub kraj/region zamieszkania
• Branding firmy i dostosowywanie języka

Aby uzyskać szczegółowe informacje na temat konfigurowania przepływu użytkownika, zobacz Tworzenie przepływu rejestracji i logowania dla klientów.

Dodawanie własnej logiki biznesowej

Identyfikator zewnętrzny został zaprojektowany pod kątem elastyczności, umożliwiając definiowanie akcji w określonych punktach przepływu uwierzytelniania. Za pomocą niestandardowego rozszerzenia uwierzytelniania można dodawać oświadczenia z systemów zewnętrznych do tokenu tuż przed wystawieniem go do aplikacji.

Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.

Microsoft Entra — zabezpieczenia i niezawodność

Identyfikator zewnętrzny reprezentuje zbieżność funkcji typu "klient-klient" (B2C) na platformie Microsoft Entra. Możesz korzystać z funkcji platformy, takich jak większe bezpieczeństwo, zgodność z przepisami oraz możliwość skalowania procesów zarządzania tożsamościami i dostępem.

• Microsoft Entra — zabezpieczenie. Uzyskaj wszystkie korzyści w zakresie bezpieczeństwa i prywatności danych oferowane przez Microsoft Entra, w tym dostęp warunkowy, uwierzytelnianie wieloskładnikowe i zarządzanie. Zapewnij ochronę dostępu do aplikacji przy użyciu silnych zasad uwierzytelniania i adaptacyjnych zasad dostępu opartych na ryzyku. Ponieważ klienci są zarządzani w oddzielnej dzierżawie, można dostosować zasady dostępu do użytkowników, którzy zazwyczaj korzystają z urządzeń osobistych i udostępnianych zamiast zarządzanych.

• Microsoft Entra — niezawodność i skalowalność. Twórz wysoce dostosowane środowiska logowania i zarządzaj kontami klientów na dużą skalę. Zapewnij dobre środowisko klienta, korzystając z wydajności, odporności, ciągłości działania, małych opóźnień i wysokiej przepływności usługi Microsoft Entra.

Dowiedz się więcej o funkcjach zabezpieczeń i zarządzania, które są dostępne w zewnętrznej dzierżawie.

Analizowanie aktywności i zaangażowania użytkowników

Funkcja aktywności użytkowników aplikacji w obszarze Użytkowanie i wgląd udostępnia analizę danych na temat aktywności i zaangażowania użytkowników zarejestrowanych aplikacji w dzierżawie. Ta funkcja umożliwia wyświetlanie, wykonywanie zapytań i analizowanie danych aktywności użytkownika w centrum administracyjnym firmy Microsoft Entra. Może to pomóc w odkryciu cennych szczegółowych informacji, które mogą pomóc w podejmowaniu strategicznych decyzji i napędzać rozwój firmy.

Dowiedz się więcej o dashboardach aktywności użytkowników aplikacji, które są dostępne w zewnętrznej dzierżawie.

Informacje na temat usługi Azure AD B2C

Jeśli jesteś nowym klientem, możesz zastanawiać się, które rozwiązanie jest lepsze, Azure AD B2C lub Microsoft Entra External ID. Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów (dowiedz się więcej w często zadawanych pytań). Microsoft Entra External ID reprezentuje przyszłość CIAM dla firmy Microsoft, a nowe funkcje i możliwości będą skoncentrowane na tej platformie. Po wybraniu platformy nowej generacji od samego początku będziesz otrzymywać korzyści z szybkich innowacji i architektury przyszłościowej.

Następne kroki

• Zobacz nasze szkolenia, pokazy na żywo i filmy wideo.
• Dowiedz się więcej na temat planowania tożsamości zewnętrznej platformy Microsoft Entra.
• Zobacz również centrum dla deweloperów Microsoft Entra Tożsamość Zewnętrzna, aby uzyskać najnowszą zawartość i zasoby dla deweloperów.