Dostawcy tożsamości dla dzierżaw zewnętrznych
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Napiwek
Ten artykuł dotyczy identyfikatora zewnętrznego w dzierżawach zewnętrznych. Aby uzyskać informacje o dzierżawach pracowników, zobacz Dostawcy tożsamości dla identyfikatora zewnętrznego w dzierżawach pracowników.
Dzięki Tożsamość zewnętrzna Microsoft Entra możesz tworzyć bezpieczne, dostosowane środowiska logowania dla aplikacji przeznaczonych dla klientów i klientów biznesowych. W dzierżawie zewnętrznej istnieje kilka sposobów na zarejestrowanie się użytkowników w aplikacji. Mogą utworzyć konto przy użyciu poczty e-mail i hasła lub jednorazowego kodu dostępu. Lub jeśli włączysz logowanie za pomocą serwisu Facebook, Google, Apple lub niestandardowego dostawcy tożsamości OIDC, może zalogować się przy użyciu własnego konta.
W tym artykule opisano dostawców tożsamości, którzy są dostępni do uwierzytelniania podstawowego podczas rejestrowania się i logowania do aplikacji w dzierżawach zewnętrznych. Możesz również zwiększyć bezpieczeństwo, wymuszając zasady uwierzytelniania wieloskładnikowego (MFA), które wymagają drugiej formy weryfikacji za każdym razem, gdy użytkownik loguje się (dowiedz się więcej).
Logowanie za pomocą poczty e-mail i hasła
Rejestracja w wiadomości e-mail jest domyślnie włączona w ustawieniach lokalnego dostawcy tożsamości konta. Dzięki opcji poczty e-mail klienci mogą zarejestrować się i zalogować się przy użyciu swojego adresu e-mail i hasła.
Rejestracja: klienci są monitowani o podanie adresu e-mail, który jest weryfikowany podczas rejestracji przy użyciu jednorazowego kodu dostępu. Następnie klient wprowadza wszelkie inne informacje wymagane na stronie rejestracji, na przykład nazwę wyświetlaną, imię i nazwisko. Następnie wybierają pozycję Kontynuuj, aby utworzyć konto.
Logowanie: po zarejestrowaniu się i utworzeniu konta przez klienta może się zalogować, wprowadzając swój adres e-mail i hasło.
Resetowanie hasła: jeśli włączysz logowanie za pomocą poczty e-mail i hasła, na stronie hasła pojawi się link resetowania hasła. Jeśli klient zapomni hasła, wybranie tego linku spowoduje wysłanie jednorazowego kodu dostępu na adres e-mail. Po weryfikacji klient może wybrać nowe hasło.
Podczas tworzenia przepływu rejestracji i logowania użytkownika adres e-mail z hasłem jest opcją domyślną.
Poczta e-mail z jednorazowym logowaniem za pomocą kodu dostępu
Poczta e-mail z jednorazowym kodem dostępu jest opcją w ustawieniach lokalnego dostawcy tożsamości konta. W przypadku tej opcji klient loguje się przy użyciu tymczasowego kodu dostępu zamiast przechowywanego hasła za każdym razem, gdy się zaloguje.
Rejestracja: Klienci mogą zarejestrować się przy użyciu swojego adresu e-mail i zażądać tymczasowego kodu, który jest wysyłany na swój adres e-mail. Wprowadza ten kod i kontynuuje logowanie.
Logowanie: po zarejestrowaniu się klienta i utworzeniu konta za każdym razem, gdy zalogują się, wprowadźą swój adres e-mail i otrzymają tymczasowy kod dostępu.
Możesz również skonfigurować opcje wyświetlania, ukrywania lub dostosowywania linku samoobsługowego resetowania hasła na stronie logowania (dowiedz się więcej).
Podczas tworzenia przepływu rejestracji i logowania użytkownika jednorazowy kod dostępu e-mail jest jedną z opcji konta lokalnego.
Dostawcy tożsamości społecznościowych: Facebook, Google i Apple
Aby uzyskać optymalne środowisko logowania, sfederuj się z dostawcami tożsamości społecznościowych, gdy jest to możliwe, aby umożliwić klientom bezproblemowe tworzenie konta i logowanie. W dzierżawie zewnętrznej możesz zezwolić klientowi na zarejestrowanie się i zalogowanie się przy użyciu własnego konta Facebook, Google lub Apple. Gdy klient zarejestruje się w aplikacji przy użyciu konta społecznościowego, dostawca tożsamości społecznościowych tworzy, utrzymuje i zarządza informacjami o tożsamościach podczas udostępniania usług uwierzytelniania aplikacjom.
Po włączeniu dostawców tożsamości społecznościowych klienci mogą wybrać spośród opcji dostawców tożsamości społecznościowych udostępnianych na stronie rejestracji. Aby skonfigurować dostawców tożsamości społecznościowych w dzierżawie zewnętrznej, należy utworzyć aplikację u dostawcy tożsamości i skonfigurować poświadczenia. Uzyskujesz identyfikator klienta lub aplikacji oraz klucz tajny klienta lub aplikacji, który można następnie dodać do dzierżawy zewnętrznej.
Logowanie google (wersja zapoznawcza)
Konfigurując federację z firmą Google, możesz zezwolić klientom na logowanie się do aplikacji przy użyciu własnych kont Gmail. Po dodaniu google jako jednej z opcji logowania aplikacji na stronie logowania użytkownicy mogą zalogować się do Tożsamość zewnętrzna Microsoft Entra przy użyciu konta Google.
Na poniższych zrzutach ekranu pokazano logowanie przy użyciu środowiska Google. Na stronie logowania użytkownicy wybierają pozycję Zaloguj się przy użyciu usługi Google. W tym momencie użytkownik jest przekierowywany do dostawcy tożsamości Google w celu ukończenia logowania.
Dowiedz się, jak dodać firmę Google jako dostawcę tożsamości.
Logowanie do serwisu Facebook (wersja zapoznawcza)
Konfigurując federację z usługą Facebook, możesz zezwolić zaproszonym użytkownikom na logowanie się do aplikacji przy użyciu własnych kont w serwisie Facebook. Po dodaniu serwisu Facebook jako jednej z opcji logowania aplikacji na stronie logowania użytkownicy mogą zalogować się, aby Tożsamość zewnętrzna Microsoft Entra przy użyciu konta w serwisie Facebook.
Na poniższych zrzutach ekranu przedstawiono logowanie się przy użyciu serwisu Facebook. Na stronie logowania użytkownicy wybierają pozycję Zaloguj się przy użyciu serwisu Facebook. Następnie użytkownik zostanie przekierowany do dostawcy tożsamości serwisu Facebook w celu ukończenia logowania.
Dowiedz się, jak dodać usługę Facebook jako dostawcę tożsamości.
Logowanie Apple (wersja zapoznawcza)
Konfigurując federację z firmą Apple, możesz zezwolić zaproszonym użytkownikom na logowanie się do aplikacji przy użyciu własnych kont Firmy Apple. Po dodaniu obsługi logowania za pomocą konta Apple jako jednej z opcji w aplikacji, na stronie logowania użytkownicy mogą logować się do Microsoft Entra External ID przy użyciu konta Apple.
Na poniższych zrzutach ekranu przedstawiono logowanie przy użyciu środowiska firmy Apple. Na stronie logowania użytkownicy wybierają pozycję Zaloguj się z Apple. Następnie użytkownik jest przekierowywany do dostawcy tożsamości firmy Apple w celu ukończenia logowania. Dowiedz się, jak dodać firmę Apple jako dostawcę tożsamości.
Niestandardowy dostawca tożsamości OIDC (wersja zapoznawcza)
Możesz skonfigurować niestandardowego dostawcę tożsamości OpenID Connect (OIDC), aby umożliwić klientom tworzenie kont i logowanie się do aplikacji przy użyciu własnych kont. Gdy klient zarejestruje się w aplikacji przy użyciu niestandardowego dostawcy tożsamości OIDC, dostawca tożsamości tworzy, utrzymuje i zarządza informacjami o tożsamościach podczas udostępniania usług uwierzytelniania aplikacjom.
Możesz również sfederować przepływy logowania i rejestracji za pomocą dzierżawy usługi Azure AD B2C przy użyciu protokołu OIDC.
Dowiedz się, jak skonfigurować dostawcę tożsamości OIDC według własnych potrzeb.
Aktualizowanie metod logowania
W dowolnym momencie możesz zaktualizować opcje logowania dla aplikacji. Możesz na przykład dodać dostawców tożsamości społecznościowych lub zmienić metodę logowania konta lokalnego.
Zmiana metod logowania wpływa tylko na nowych użytkowników. Istniejący użytkownicy nadal logują się przy użyciu oryginalnej metody. Załóżmy na przykład, że zaczynasz od metody logowania e-mail i hasła, a następnie zmieniasz się na adres e-mail przy użyciu jednorazowego kodu dostępu. Nowi użytkownicy logują się przy użyciu jednorazowego kodu dostępu, ale wszyscy użytkownicy, którzy już zarejestrowali się przy użyciu poczty e-mail i hasła, nadal będą monitowani o podanie swojego adresu e-mail i hasła.
Interfejsy API programu Microsoft Graph
Następujące operacje interfejsu API programu Microsoft Graph są obsługiwane w celu zarządzania dostawcami tożsamości i metodami uwierzytelniania w Tożsamość zewnętrzna Microsoft Entra:
- Aby zidentyfikować obsługiwanych dostawców tożsamości i metody uwierzytelniania, należy wywołać interfejs API List availableProviderTypes .
- Aby zidentyfikować dostawców tożsamości i metody uwierzytelniania, które zostały już skonfigurowane i włączone w dzierżawie, należy wywołać interfejs API List identityProviders .
- Aby włączyć obsługiwanego dostawcę tożsamości lub metodę uwierzytelniania, należy wywołać interfejs API Create identityProvider .