Planowanie zarządzania tożsamościami klientów i dostępem
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Tożsamość zewnętrzna Microsoft Entra to konfigurowalne, rozszerzalne rozwiązanie do dodawania tożsamości klienta i zarządzania dostępem (CIAM) do aplikacji. Ponieważ jest oparta na platformie Microsoft Entra, możesz korzystać ze spójności w zakresie integracji aplikacji, zarządzania dzierżawami i operacji w scenariuszach pracowników i klientów. Podczas projektowania konfiguracji ważne jest, aby zrozumieć składniki dzierżawy zewnętrznej i funkcji firmy Microsoft Entra, które są dostępne dla Twoich scenariuszy klienta.
Ten artykuł zawiera ogólną strukturę integrowania aplikacji i konfigurowania identyfikatora zewnętrznego. Opisuje ona możliwości dostępne w dzierżawie zewnętrznej i przedstawia ważne zagadnienia dotyczące planowania dla każdego kroku integracji.
Dodanie bezpiecznego logowania do aplikacji i skonfigurowanie tożsamości klienta i zarządzania dostępem obejmuje cztery główne kroki:
W tym artykule opisano każdy z tych kroków i opisano ważne zagadnienia dotyczące planowania. W poniższej tabeli wybierz krok, aby uzyskać szczegółowe informacje i zagadnienia dotyczące planowania, lub przejdź bezpośrednio do przewodników z instrukcjami.
Krok | Przewodniki z instrukcjami |
---|---|
Krok 1. Tworzenie dzierżawy zewnętrznej | • Tworzenie dzierżawy Lub rozpocznij bezpłatną wersję próbną |
Krok 2. Rejestrowanie aplikacji | • Rejestrowanie aplikacji |
Krok 3. Integrowanie przepływu logowania z aplikacją | • Tworzenie przepływu Dodawanie aplikacji do przepływu użytkownika |
Krok 4. Dostosowywanie i zabezpieczanie logowania | • Dostosowywanie znakowania • Dodawanie dostawców tożsamości• • Dodawanie atrybutów do tokenu • Dodawanie uwierzytelniania wieloskładnikowego (MFA) |
Krok 1. Tworzenie dzierżawy zewnętrznej
Dzierżawa zewnętrzna to pierwszy zasób, który należy utworzyć, aby rozpocząć pracę z Tożsamość zewnętrzna Microsoft Entra. Twoja dzierżawa zewnętrzna to miejsce, w którym rejestrujesz aplikację. Zawiera również katalog, w którym można zarządzać tożsamościami klientów i dostępem, niezależnie od dzierżawy pracowników.
Podczas tworzenia dzierżawy zewnętrznej można ustawić poprawną lokalizację geograficzną i nazwę domeny. Jeśli obecnie używasz usługi Azure AD B2C, nowi pracownicy i zewnętrzny model dzierżawy nie mają wpływu na istniejące dzierżawy usługi Azure AD B2C.
Konta użytkowników w dzierżawie zewnętrznej
Katalog w dzierżawie zewnętrznej zawiera konta administratorów i użytkowników klienta. Możesz tworzyć konta administratora dla dzierżawy zewnętrznej i zarządzać nimi. Konta klientów są zwykle tworzone za pomocą rejestracji samoobsługowej, ale można tworzyć konta lokalne klientów i zarządzać nimi.
Konta klientów mają domyślny zestaw uprawnień. Klienci nie mogą uzyskiwać dostępu do informacji o innych użytkownikach w dzierżawie zewnętrznej. Domyślnie klienci nie mogą uzyskiwać dostępu do informacji o innych użytkownikach, grupach ani urządzeniach.
Jak utworzyć dzierżawę zewnętrzną
Utwórz dzierżawę zewnętrzną w centrum administracyjnym firmy Microsoft Entra.
Jeśli nie masz jeszcze dzierżawy firmy Microsoft Entra i chcesz wypróbować identyfikator zewnętrzny, zalecamy użycie środowiska rozpoczynania pracy, aby rozpocząć korzystanie z bezpłatnej wersji próbnej.
Jeśli używasz programu Visual Studio Code, możesz również użyć rozszerzenia Tożsamość zewnętrzna Microsoft Entra dla programu Visual Studio Code, aby utworzyć dzierżawę zewnętrzną bezpośrednio w programie Visual Studio Code (dowiedz się więcej).
Krok 2. Rejestrowanie aplikacji
Aby aplikacje mogły korzystać z identyfikatora zewnętrznego, należy je zarejestrować w dzierżawie zewnętrznej. Identyfikator Entra firmy Microsoft wykonuje zarządzanie tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z identyfikatorem zewnętrznym.
Następnie, aby ukończyć relację zaufania między identyfikatorem Entra firmy Microsoft i aplikacją, zaktualizuj kod źródłowy aplikacji przy użyciu wartości przypisanych podczas rejestracji aplikacji, takich jak identyfikator aplikacji (klienta), poddomena katalogu (dzierżawy) i klucz tajny klienta.
Udostępniamy przykładowe przewodniki kodu i szczegółowe przewodniki integracji dla kilku typów i języków aplikacji. W zależności od typu aplikacji, którą chcesz zarejestrować, możesz znaleźć wskazówki dotyczące naszych przykładów według typu aplikacji i strony języka.
Jak zarejestrować aplikację
Znajdź wskazówki specyficzne dla aplikacji, którą chcesz zarejestrować w naszych przykładach według typu aplikacji i strony języka.
Jeśli nie mamy przewodnika specyficznego dla Twojej platformy lub języka, zapoznaj się z ogólnymi instrukcjami dotyczącymi rejestrowania aplikacji w dzierżawie zewnętrznej.
Krok 3. Integrowanie przepływu logowania z aplikacją
Po skonfigurowaniu dzierżawy zewnętrznej i zarejestrowaniu aplikacji utwórz przepływ rejestracji i logowania użytkownika. Następnie zintegruj aplikację z przepływem użytkownika, aby każda osoba, która uzyskuje do niej dostęp, przechodzi przez utworzone środowisko rejestracji i logowania.
Aby zintegrować aplikację z przepływem użytkownika, należy dodać aplikację do właściwości przepływu użytkownika i zaktualizować kod aplikacji przy użyciu informacji o dzierżawie i punktu końcowego autoryzacji.
Przepływ uwierzytelniania
Gdy klient próbuje zalogować się do aplikacji, aplikacja wysyła żądanie autoryzacji do punktu końcowego podanego podczas skojarzenia aplikacji z przepływem użytkownika. Przepływ użytkownika definiuje i kontroluje środowisko logowania klienta.
Jeśli użytkownik loguje się po raz pierwszy, zostanie wyświetlony interfejs rejestracji. Wprowadzają informacje na podstawie wbudowanych lub niestandardowych atrybutów użytkownika, które zostały wybrane do zebrania.
Po zakończeniu tworzenia konta identyfikator Entra firmy Microsoft generuje token i przekierowuje klienta do aplikacji. Konto klienta jest tworzone dla klienta w katalogu.
Przepływ rejestracji i logowania użytkownika
Podczas planowania środowiska rejestracji i logowania określ wymagania:
Liczba przepływów użytkownika. Każda aplikacja może mieć tylko jeden przepływ rejestracji i logowania użytkownika. Jeśli masz kilka aplikacji, możesz użyć jednego przepływu użytkownika dla wszystkich z nich. Jeśli chcesz mieć inne środowisko dla każdej aplikacji, możesz utworzyć wiele przepływów użytkownika. Maksymalna wartość to 10 przepływów użytkowników na dzierżawę zewnętrzną.
Dostosowywanie znakowania i języka firmy. Mimo że w kroku 4 opisano konfigurowanie dostosowywania znakowania i języka firmy, można je skonfigurować w dowolnym momencie, przed lub po zintegrowaniu aplikacji z przepływem użytkownika. Jeśli skonfigurujesz znakowanie firmowe przed utworzeniem przepływu użytkownika, strony logowania odzwierciedlają to znakowanie. W przeciwnym razie strony logowania odzwierciedlają domyślne, neutralne znakowanie.
Atrybuty do zbierania. W ustawieniach przepływu użytkownika możesz wybrać spośród zestawu wbudowanych atrybutów użytkownika, które chcesz zbierać od klientów. Klient wprowadza informacje na stronie rejestracji, które są przechowywane wraz z profilem w Twoim katalogu. Jeśli chcesz zebrać więcej informacji, możesz zdefiniować atrybuty niestandardowe i dodać je do przepływu użytkownika.
Zgoda na warunki i postanowienia. Możesz użyć niestandardowych atrybutów użytkownika, aby monitować użytkowników o zaakceptowanie warunków i postanowień. Możesz na przykład dodać pola wyboru do formularza rejestracji i dołączyć linki do warunków użytkowania i zasad ochrony prywatności.
Wymagania dotyczące oświadczeń tokenów. Jeśli aplikacja wymaga określonych atrybutów użytkownika, możesz dołączyć je do tokenu wysłanego do aplikacji.
dostawcy tożsamości. Możesz skonfigurować dostawców tożsamości społecznościowych, takich jak Google, Facebook, apple lub skonfigurowanym niestandardowym dostawcą tożsamości OpenID Connect (OIDC). Następnie możesz dodać je do przepływu użytkownika jako opcje logowania
Jak zintegrować przepływ użytkownika z aplikacją
Jeśli chcesz zbierać informacje od klientów poza wbudowanymi atrybutami użytkownika, zdefiniuj atrybuty niestandardowe, aby były dostępne podczas konfigurowania przepływu użytkownika.
Utwórz przepływ użytkownika rejestracji i logowania dla klientów.
Dodaj aplikację do przepływu użytkownika.
Krok 4. Dostosowywanie i zabezpieczanie logowania
Podczas planowania konfigurowania znakowania firmowego, dostosowań języka i rozszerzeń niestandardowych należy wziąć pod uwagę następujące kwestie:
Znakowanie firmowe. Po utworzeniu nowej dzierżawy zewnętrznej możesz dostosować wygląd aplikacji internetowych dla klientów, którzy logują się lub tworzą konto, aby spersonalizować środowisko użytkownika końcowego. W usłudze Microsoft Entra ID domyślne znakowanie firmy Microsoft jest wyświetlane na stronach logowania przed dostosowaniem wszystkich ustawień. To znakowanie reprezentuje globalne właściwości wyglądu i działania, które mają zastosowanie we wszystkich logowaniach do dzierżawy. Dowiedz się więcej na temat dostosowywania wyglądu i działania logowania.
Rozszerzanie oświadczeń tokenu uwierzytelniania. Identyfikator zewnętrzny został zaprojektowany pod kątem elastyczności. Możesz użyć niestandardowego rozszerzenia uwierzytelniania, aby dodać oświadczenia z systemów zewnętrznych do tokenu aplikacji tuż przed wystawieniem tokenu do aplikacji. Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.
Uwierzytelnianie wieloskładnikowe (MFA) Możesz również włączyć zabezpieczenia dostępu do aplikacji, wymuszając uwierzytelnianie wieloskładnikowe, co dodaje krytyczną drugą warstwę zabezpieczeń do logowania użytkowników, wymagając weryfikacji za pośrednictwem jednorazowego kodu dostępu poczty e-mail. Dowiedz się więcej o dostępnych metodach uwierzytelniania wieloskładnikowego.
Uwierzytelnianie natywne. Uwierzytelnianie natywne umożliwia hostowanie interfejsu użytkownika w aplikacji klienckiej zamiast delegowania uwierzytelniania do przeglądarek. Dowiedz się więcej o uwierzytelnianiu natywnym w identyfikatorze zewnętrznym.
Zabezpieczenia i nadzór. Dowiedz się więcej o funkcjach zabezpieczeń i ładu dostępnych w dzierżawie zewnętrznej, takich jak Ochrona tożsamości Microsoft Entra.
Jak dostosować i zabezpieczyć logowanie
- Dostosowywanie oznaczania marką firmy
- Dodawanie dostawców tożsamości
- Zbieranie atrybutów podczas rejestracji
- Dodawanie atrybutów do tokenu
- Dodawanie uwierzytelniania wieloskładnikowego
- Używanie niestandardowej domeny adresu URL
Następne kroki
- Rozpocznij bezpłatną wersję próbną lub utwórz dzierżawę zewnętrzną.
- Znajdź przykłady i wskazówki dotyczące integrowania aplikacji.
- Zobacz również centrum deweloperów Tożsamość zewnętrzna Microsoft Entra, aby uzyskać najnowszą zawartość i zasoby dla deweloperów.