Udostępnij za pośrednictwem


Omówienie: Zabezpieczanie aplikacji przy użyciu identyfikatora zewnętrznego w dzierżawie zewnętrznej

Dotyczy:Biały okrąg z szarym symbolem X.Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

Tożsamość zewnętrzna Microsoft Entra obejmuje rozwiązanie do zarządzania tożsamościami klientów i dostępem (CIAM) firmy Microsoft. W przypadku organizacji i firm, które chcą udostępniać swoje aplikacje klientom i klientom biznesowym, identyfikator zewnętrzny ułatwia dodawanie funkcji CIAM, takich jak rejestracja samoobsługowa, spersonalizowane środowiska logowania i zarządzanie kontami klientów. Ponieważ te funkcje CIAM są wbudowane w usługę Microsoft Entra ID, możesz również korzystać z funkcji platformy, takich jak zwiększone zabezpieczenia, zgodność i skalowalność.

Diagram przedstawiający przegląd tożsamości klienta i zarządzania dostępem.

Tworzenie dedykowanej dzierżawy zewnętrznej

Podczas rozpoczynania pracy z identyfikatorem zewnętrznym dla aplikacji klientów konsumenckich i biznesowych należy najpierw utworzyć dzierżawę dla aplikacji, zasobów i katalogu kont klientów.

Jeśli pracujesz z identyfikatorem Entra firmy Microsoft, znasz już dzierżawę firmy Microsoft Entra, która zawiera katalog pracowników, aplikacje wewnętrzne i inne zasoby organizacyjne. Za pomocą identyfikatora zewnętrznego tworzysz odrębną dzierżawę, która jest zgodna ze standardowym modelem dzierżawy firmy Microsoft Entra, ale jest skonfigurowana dla scenariuszy zewnętrznych. Ta zewnętrzna dzierżawa zawiera następujące elementy:

  • Katalog: katalog przechowuje poświadczenia klienta i dane profilu klienta. Gdy użytkownik lub klient biznesowy zarejestruje się w aplikacji, zostanie utworzone konto lokalne dla nich w dzierżawie zewnętrznej.

  • Rejestracje aplikacji: usługa Microsoft Entra ID zarządza tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z identyfikatorem Entra firmy Microsoft.

  • Przepływy użytkowników: dzierżawa zewnętrzna zawiera środowiska samoobsługowego tworzenia konta, logowania i resetowania haseł, które chcesz włączyć dla klientów.

  • Rozszerzenia: jeśli musisz dodać atrybuty użytkownika i dane z systemów zewnętrznych, możesz utworzyć niestandardowe rozszerzenia uwierzytelniania dla przepływów użytkowników.

  • metody logowania: Można włączyć różne opcje logowania się do aplikacji, w tym nazwę użytkownika i hasło, jednorazowy kod dostępu oraz tożsamości Google, Facebook, Apple lub niestandardowe OIDC.

  • Klucze szyfrowania: dodaj klucze szyfrowania i zarządzaj nimi na potrzeby podpisywania i weryfikowania tokenów, wpisów tajnych klienta, certyfikatów i haseł.

Dowiedz się więcej na temat hasła i jednorazowego kodu dostępu logowania oraz o google, facebook, apple i federacji OID C.

Istnieją dwa typy kont użytkowników, którymi można zarządzać w dzierżawie zewnętrznej:

  • Konto klienta: konta reprezentujące klientów, którzy uzyskują dostęp do aplikacji.

  • Konto administratora: użytkownicy z kontami służbowymi mogą zarządzać zasobami w dzierżawie, a z rolą administratora, mogą również zarządzać dzierżawami. Użytkownicy z kontami służbowymi mogą tworzyć nowe konta konsumentów, resetować hasła, blokować/odblokowywać konta oraz ustawiać uprawnienia lub przypisywać konto do grupy zabezpieczeń.

Dowiedz się więcej o zarządzaniu kontami klientów i kontami administratora w dzierżawie zewnętrznej.

Dodawanie dostosowanego logowania

Identyfikator zewnętrzny jest przeznaczony dla firm, które chcą udostępniać aplikacje swoim klientom przy użyciu platformy Microsoft Entra na potrzeby tożsamości i dostępu.

  • Dodawanie stron rejestracji i logowania do aplikacji. Szybkie dodawanie intuicyjnych, przyjaznych dla użytkownika środowisk rejestracji w aplikacjach klientów. Za pomocą jednej tożsamości klient może bezpiecznie uzyskać dostęp do wszystkich aplikacji, z których chcesz, aby korzystał.

  • Dodawanie logowania jednokrotnego za pomocą tożsamości społecznościowych i tożsamości przedsiębiorstwa. Klienci mogą wybrać tożsamość społecznościową, przedsiębiorstwa lub zarządzaną, aby logować się za pomocą nazwy użytkownika i hasła, poczty e-mail lub jednorazowego kodu dostępu.

  • Dodawanie brandingu do strony rejestracji. Dostosuj wygląd i działanie środowisk rejestracji i logowania, w tym zarówno środowisko domyślne, jak i środowisko dla określonych języków przeglądarki.

  • Łatwe dostosowywanie i rozszerzanie przepływów rejestracji. Dostosuj przepływy użytkowników tożsamości do własnych potrzeb. Wybierz atrybuty, które chcesz zbierać od klienta podczas rejestracji, lub dodaj własne atrybuty niestandardowe. Jeśli informacje, których potrzebuje aplikacja, znajdują się w systemie zewnętrznym, utwórz niestandardowe rozszerzenia uwierzytelniania w celu zbierania i dodawania danych do tokenów uwierzytelniania.

  • Integrowanie wielu platform i języków aplikacji. Dzięki usłudze Microsoft Entra można szybko skonfigurować i dostarczać bezpieczne, brandowane przepływy uwierzytelniania dla wielu typów aplikacji, platform i języków.

  • Użyj uwierzytelniania natywnego dla aplikacji. Twórz bezproblemowe środowiska uwierzytelniania dla aplikacji mobilnych i klasycznych przy użyciu biblioteki Microsoft Authentication Library (MSAL) dla systemów iOS i Android.

  • Zapewnienie samoobsługowego zarządzania kontami. Klienci mogą samodzielnie rejestrować się w usługach online, zarządzać swoim profilem, usuwać swoje konto, rejestrować się w metodzie uwierzytelniania wieloskładnikowego (MFA) lub resetować hasło bez pomocy administratora lub pomocy technicznej.

  • Wyrażanie zgody na warunki użytkowania i zasady ochrony prywatności. Podczas rejestracji możesz monitować użytkowników o zaakceptowanie warunków i postanowień. Za pomocą atrybutów użytkownika klienta można dodawać pola wyboru do formularza rejestracji i dołączać linki do warunków użytkowania i zasad ochrony prywatności.

Dowiedz się więcej na temat dodawania logowania i rejestracji do aplikacji oraz dostosowywania wyglądu i działania logowania.

Projektowanie przepływów użytkowników na potrzeby rejestracji samoobsługowej

Możesz utworzyć proste środowisko rejestracji i logowania dla klientów, dodając przepływ użytkownika do aplikacji. Przepływ użytkownika definiuje serię kroków rejestracji, które klienci stosują, i metody logowania, których mogą używać (takich jak poczta e-mail i hasło, jednorazowe kody dostępu, konta społecznościowe z Google, Facebook lub Apple, a także niestandardowych dostawców tożsamości OIDC). Możesz również zbierać informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.

Kilka ustawień przepływu użytkownika pozwala kontrolować sposób, w jaki klient rejestruje się w aplikacji, w tym:

  • Metody logowania i zewnętrzni dostawcy tożsamości
  • Atrybuty zbierane od rejestrującego się klienta, takie jak imię, kod pocztowy lub kraj/region zamieszkania
  • Branding firmy i dostosowywanie języka

Aby uzyskać szczegółowe informacje na temat konfigurowania przepływu użytkownika, zobacz Tworzenie przepływu rejestracji i logowania dla klientów.

Dodawanie własnej logiki biznesowej

Identyfikator zewnętrzny został zaprojektowany pod kątem elastyczności, umożliwiając definiowanie akcji w określonych punktach przepływu uwierzytelniania. Za pomocą niestandardowego rozszerzenia uwierzytelniania można dodawać oświadczenia z systemów zewnętrznych do tokenu tuż przed wystawieniem go do aplikacji.

Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.

Microsoft Entra — zabezpieczenia i niezawodność

Identyfikator zewnętrzny reprezentuje zbieżność funkcji typu "klient-klient" (B2C) na platformie Microsoft Entra. Możesz korzystać z funkcji platformy, takich jak większe bezpieczeństwo, zgodność z przepisami oraz możliwość skalowania procesów zarządzania tożsamościami i dostępem.

  • Microsoft Entra — zabezpieczenia. Uzyskaj wszystkie korzyści w zakresie bezpieczeństwa i prywatności danych, jakie zapewnia usługa Microsoft Entra, w tym dostęp warunkowy, uwierzytelnianie wieloskładnikowe i ład. Zapewnij ochronę dostępu do aplikacji przy użyciu silnych zasad uwierzytelniania i adaptacyjnych zasad dostępu opartych na ryzyku. Ponieważ klienci są zarządzani w oddzielnej dzierżawie, można dostosować zasady dostępu do użytkowników, którzy zazwyczaj korzystają z urządzeń osobistych i udostępnianych zamiast zarządzanych.

  • Microsoft Entra — niezawodność i skalowalność. Twórz wysoce dostosowane środowiska logowania i zarządzaj kontami klientów na dużą skalę. Zapewnij dobre środowisko klienta, korzystając z wydajności, odporności, ciągłości działania, małych opóźnień i wysokiej przepływności usługi Microsoft Entra.

Dowiedz się więcej o funkcjach zabezpieczeń i ładu , które są dostępne w dzierżawie zewnętrznej.

Analizowanie aktywności i zaangażowania użytkowników

Funkcja aktywności użytkownika aplikacji w obszarze Użycie i szczegółowe informacje udostępnia analizę danych na temat aktywności użytkownika i zaangażowania zarejestrowanych aplikacji w dzierżawie. Ta funkcja umożliwia wyświetlanie, wykonywanie zapytań i analizowanie danych aktywności użytkownika w centrum administracyjnym firmy Microsoft Entra. Może to pomóc w odkryciu cennych szczegółowych informacji, które mogą pomóc w podejmowaniu strategicznych decyzji i napędzać rozwój firmy.

Dowiedz się więcej na temat pulpitów nawigacyjnych działań użytkownika aplikacji, które są dostępne w dzierżawie zewnętrznej.

Informacje na temat usługi Azure AD B2C

Jeśli jesteś nowym klientem, możesz zastanawiać się, które rozwiązanie jest lepszym rozwiązaniem, usługą Azure AD B2C lub Tożsamość zewnętrzna Microsoft Entra. Wybierz bieżący produkt usługi Azure AD B2C, jeśli:

  • Masz natychmiastową potrzebę wdrożenia kompilacji gotowej do użycia w środowisku produkcyjnym.

    Uwaga

    Należy pamiętać, że platforma Tożsamość zewnętrzna Microsoft Entra nowej generacji reprezentuje przyszłość CIAM dla firmy Microsoft, a szybkie innowacje, nowe funkcje i możliwości będą skoncentrowane na tej platformie. Po wybraniu platformy nowej generacji od samego początku będziesz otrzymywać korzyści z szybkich innowacji i architektury sprawdzającej przyszłość.

Wybierz platformę Tożsamość zewnętrzna Microsoft Entra nowej generacji, jeśli:

  • Rozpoczynasz tworzenie nowych tożsamości w aplikacjach lub na wczesnym etapie odnajdywania produktów.
  • Korzyści wynikające z szybkich innowacji, nowych funkcji i dodanych możliwości są priorytetem.

Następne kroki