Поделиться через

Планирование управления удостоверениями клиентов и доступом

  • Статья

Область применения: Белый круг с серым символом X. арендаторы рабочей силы Зеленый круг с символом Белой Галочки. внешние клиенты (узнать больше)

Внешняя идентификация Microsoft Entra — это настраиваемое расширяемое решение для добавления удостоверения клиента и управления доступом (CIAM) в приложение. Так как он основан на платформе Microsoft Entra, вы получаете выгоду от согласованности в интеграции приложений, управлении клиентами и операциях в рабочих и клиентских сценариях. При проектировании конфигурации важно понимать компоненты внешнего клиента и функции Microsoft Entra, доступные для сценариев клиента.

В этой статье представлена общая платформа для интеграции приложения и настройки внешнего идентификатора. Он раскрывает возможности, доступные во внешнем арендаторе, и описывает важные аспекты планирования для каждого шага интеграции.

Добавление безопасного входа в приложение и настройка управления удостоверениями клиентов и доступом включает четыре основных шага.

Схема, показывающая обзор шагов.

В этой статье описаны все эти шаги и описаны важные рекомендации по планированию. В следующей таблице выберите шаг для получения подробных сведений и рекомендаций по планированию или перейдите непосредственно к руководствам.

Этап Практические руководства
Шаг 1. Создание внешнего клиента Создание внешнего клиента
Или запуск бесплатной пробной версии
Шаг 2. Регистрация приложения Регистрация приложения
Шаг 3. Интеграция потока входа с приложением • Создание потока
Шаг 4. Настройка и защита входа Настройка брендинга
Добавление поставщиков идентификации
Сбор атрибутов при регистрации
Добавление атрибутов в токен
Добавление многофакторной аутентификации (MFA)

Шаг 1. Создание внешнего арендатора

Схема, показывающая шаг 1 в потоке установки.

Внешний клиент — это первый ресурс, который необходимо создать, чтобы приступить к работе с Microsoft Entra Внешний ID. Внешний арендатор — это то место, где вы регистрируете свое приложение. Он также содержит каталог, в котором вы управляете идентификацией клиентов и доступом, отдельно от вашей среды рабочего арендодателя.

При создании внешнего клиента можно задать правильное географическое расположение и доменное имя. Если вы используете Azure AD B2C, новая модель рабочей силы и внешнего клиента не влияет на существующие клиенты Azure AD B2C.

Учетные записи пользователей во внешнем клиенте

Каталог во внешнем клиенте содержит учетные записи администратора и пользовательские учетные записи клиентов. Вы можете создавать учетные записи администратора для внешнего клиента и управлять ими. Учетные записи клиентов обычно создаются с помощью самостоятельной регистрации, но вы можете создавать локальные учетные записи клиента и управлять ими.

Учетные записи клиентов имеют набор разрешений по умолчанию. Клиенты ограничены доступом к информации о других пользователях во внешнем клиенте. По умолчанию клиенты не могут получить доступ к информации о других пользователях, группах или устройствах.

Как создать внешнего арендатора

  • Создайте внешний клиент в Центре администрирования Microsoft Entra.

  • Если у вас еще нет арендатора Microsoft Entra и вы хотите попробовать External ID, мы рекомендуем использовать интерфейс начала работы, чтобы запустить бесплатную пробную версию.

  • Если вы используете Visual Studio Code, вы также можете использовать расширение Microsoft Entra External ID для Visual Studio Code, чтобы создать внешнего клиента непосредственно в Visual Studio Code (узнать больше).

Шаг 2. Регистрация приложения

Схема, на которой показан шаг 2 в потоке установки.

Прежде чем приложения смогут взаимодействовать с внешним идентификатором, необходимо зарегистрировать их во внешнем клиенте. Идентификатор Microsoft Entra выполняет управление удостоверениями и доступом только для зарегистрированных приложений. Регистрация приложения устанавливает отношение доверия и позволяет интегрировать приложение с внешним идентификатором.

Затем, чтобы завершить связь доверия между идентификатором Microsoft Entra и приложением, вы обновляете исходный код приложения со значениями, назначенными во время регистрации приложения, например идентификатор приложения (клиента), поддомен каталога (клиента) и секрет клиента.

Мы предоставляем примеры кода и подробные руководства по интеграции для нескольких типов приложений и языков. В зависимости от типа приложения, которое вы хотите зарегистрировать, вы можете найти рекомендации на странице " Примеры" по типу приложения и языку.

Как зарегистрировать ваше приложение

Шаг 3. Интеграция потока входа с приложением

Схема, показывающая шаг 3 в потоке установки.

После настройки внешнего клиента и регистрации приложения создайте поток регистрации и входа. Затем интегрируйте приложение с потоком пользователя, чтобы любой пользователь, который обращается к нему, прошел через интерфейс регистрации и входа, разработанный вами.

Чтобы интегрировать приложение с потоком пользователя, добавьте приложение в свойства потока пользователя и обновите код приложения с помощью сведений о клиенте и конечной точке авторизации.

Поток аутентификации

Когда клиент пытается войти в приложение, приложение отправляет запрос авторизации в конечную точку, указанную при сопоставлении приложения с потоком пользователя. Поток пользователя определяет и управляет интерфейсом входа клиента.

Если пользователь входит в систему впервые, ему предлагается процесс регистрации. Они вводят сведения на основе встроенных или пользовательских атрибутов, которые вы выбрали для сбора.

После завершения регистрации идентификатор Microsoft Entra создает токен и перенаправляет клиента в ваше приложение. Учетная запись клиента создается для клиента в каталоге.

Процесс регистрации и авторизации пользователей

При планировании регистрации и входа определите ваши требования:

  • Количество потоков пользователей. Каждое приложение может иметь только один поток регистрации и входа. Если у вас несколько приложений, для всех них можно использовать один поток пользователя. Кроме того, если требуется другой интерфейс для каждого приложения, можно создать несколько потоков пользователей. Максимальное число — 10 потоков пользователей на внешний клиент.

  • Настройки фирменной символики и языка компании. Хотя мы описываем настройку фирменной символики и языковых настроек компании позже на шаге 4, их можно настроить в любое время либо до, либо после интеграции приложения с потоком пользователя. Если вы настраиваете фирменную символику компании перед созданием потока пользователя, страницы входа отражают эту фирменную символику. В противном случае страницы входа отображают оформление по умолчанию, нейтральное брендовое оформление.

  • Атрибуты, которые нужно собрать. В параметрах пользовательского потока вы можете выбрать из набора встроенных атрибутов пользователя, которые вы хотите собирать у клиентов. Клиент вводит сведения на странице регистрации, и они сохраняются вместе с его профилем в вашем каталоге. Если вы хотите собрать дополнительные сведения, можно определить настраиваемые атрибуты и добавить их в поток пользователя.

  • Условия предоставления согласия. Пользовательские атрибуты пользователя можно использовать для запроса пользователей принять условия. Например, можно добавить флажки в форму регистрации и включить ссылки на условия использования и политики конфиденциальности.

  • Требования к утверждениям токена. Если приложению требуются определенные атрибуты пользователя, их можно включить в маркер, отправленный приложению.

  • поставщики удостоверений. Вы можете настроить поставщиков удостоверений социальных сетей, таких как Google, Facebook, Apple или настраиваемый поставщик удостоверений OpenID Connect (OIDC). Затем вы можете добавить их в поток пользователя в качестве параметров входа.

Интеграция потока пользователя с приложением

Шаг 4. Настройка и защита входа

Схема, на которой показан шаг 4 в потоке установки.

При планировании настройки фирменной символики компании, настройки языка и пользовательских расширений следует учитывать следующие моменты:

  • Фирменная символика компании. После создания нового внешнего арендатора вы можете настроить внешний вид веб-приложений для пользователей, которые входят или регистрируются, чтобы персонализировать их пользовательский опыт. В Microsoft Entra ID фирменная символика Майкрософт по умолчанию отображается на страницах входа до настройки параметров. Этот брендинг отражает глобальный вид и посыл, применяемые ко всем входам для вашего арендатора. Узнайте больше о настройке внешнего вида входа.

  • Расширение требований токена аутентификации. Внешний идентификатор предназначен для гибкости. Вы можете использовать настраиваемое расширение проверки подлинности для добавления утверждений из внешних систем в маркер приложения непосредственно перед выдачой маркера приложению. См. дополнительные сведения о добавлении собственной бизнес-логики с использованием настраиваемых расширений проверки подлинности.

  • Многофакторная проверка подлинности (MFA) Вы также можете включить безопасность доступа к приложениям, применяя MFA, который добавляет критически важный второй уровень безопасности для входа пользователей, требуя проверки через одноразовый секретный код электронной почты. Дополнительные сведения о доступных методах проверки подлинности MFA.

  • Встроенная аутентификация. Встроенная проверка подлинности позволяет размещать пользовательский интерфейс в клиентском приложении вместо делегирования проверки подлинности браузерам. Узнайте больше о встроенной аутентификации в разделе External ID.

  • Безопасность и управление. Узнайте о функциях безопасности и управления, доступных во внешнем клиенте, таких как Защита идентификации Microsoft Entra.

Настройка и защита входа

Следующие шаги