Como planejar-se para o gerenciamento de identidades e acesso do cliente

Aplica-se a: Círculo branco com um símbolo X cinza. locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branco. locatários externos (saiba mais)

A ID externa do Microsoft Entra é uma solução personalizável e extensível para adicionar o CIAM (gerenciamento de identidades e acesso do cliente) ao aplicativo. Como ele se baseia na plataforma do Microsoft Entra, você usa a consistência na integração de aplicativos, no gerenciamento de locatários e nas operações nos cenários de força de trabalho e de cliente. Ao criar a configuração, é importante reconhecer os componentes de um locatário externo e os recursos do Microsoft Entra disponíveis para os cenários do cliente.

Esse artigo fornece uma estrutura geral para integrar o aplicativo e configurar a ID externa. Ele descreve as funcionalidades disponíveis em um locatário externo e define as considerações importantes de planejamento para cada etapa na sua integração.

Adicionar um início de sessão seguro ao aplicativo e configurar um gerenciamento de identidades e acesso do cliente envolve quatro etapas principais:

Diagrama mostrando uma visão geral das etapas de configuração.

Este artigo descreve cada uma dessas etapas e as considerações importantes de planejamento. Na tabela a seguir, selecione uma Etapa para obter detalhes e considerações de planejamento ou vá diretamente para os Guias de instruções.

Etapa Guias de instruções
Etapa 1: criar um locatário externo Criar um locatário externo
Ou iniciar uma avaliação gratuita
Etapa 2: registrar o aplicativo Registre o aplicativo
Etapa 3: integrar um fluxo de início de sessão ao aplicativo Criar um fluxo do usuário
Adicionar o aplicativo ao fluxo do usuário
Etapa 4: personalizar e proteger o início de sessão Personalizar identidade visual
Adicionar provedores de identidade
Coletar atributos durante a inscrição
Adicionar atributos ao token
Adicionar autenticação multifator (MFA)

Etapa 1: criar um locatário externo

Diagrama mostrando a etapa 1 no fluxo de configuração.

Um locatário externo é o primeiro recurso que você precisa criar para começar a usar a ID externa do Microsoft Entra. O locatário externo é onde você registra o aplicativo. Ele também contém um diretório em que você gerencia as identidades e o acesso do cliente, separados do locatário da força de trabalho.

Ao criar um locatário externo, você pode definir a localização geográfica correta e o nome de domínio. Se você usar o Azure AD B2C no momento, o novo modelo de força de trabalho e locatário externo não afetará os locatários existentes do Azure AD B2C.

Contas de usuário em um locatário externo

O diretório em um locatário externo contém as contas de usuário do administrador e do cliente. Você pode criar e gerenciar contas do administrador para seu locatário externo. As contas de cliente normalmente são criadas por meio de inscrição para autoatendimento, mas você pode criar e gerenciar contas locais do cliente.

As contas do cliente têm um conjunto padrão de permissões. Os clientes estão impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.

Como criar um locatário externo

Etapa 2: registrar o aplicativo

Diagrama mostrando a etapa 2 no fluxo de configuração.

Para que os aplicativos possam interagir com a ID externa, você precisa registrá-los no locatário externo. O Microsoft Entra ID executa o gerenciamento de identidades e acesso somente para os aplicativos registrados. Registrar o aplicativo estabelece uma relação de confiança e permite que você integre o aplicativo à ID externa.

Em seguida, para concluir a relação de confiança entre o Microsoft Entra ID e o aplicativo, atualize o código-fonte do aplicativo com os valores atribuídos durante o registro do aplicativo, como a ID do aplicativo (cliente), o subdomínio do diretório (locatário) e o segredo do cliente.

Fornecemos guias de amostras de código e guias de integração detalhados para vários tipos de aplicativos e idiomas. Dependendo do tipo de aplicativo que você deseja registrar, você pode encontrar diretrizes em nossas Amostras por tipo de aplicativo e página de idioma.

Como registrar o aplicativo

Etapa 3: integrar um fluxo de início de sessão ao aplicativo

Diagrama mostrando a etapa 3 no fluxo de configuração.

Depois de configurar o locatário externo e registrar o aplicativo, crie um fluxo do usuário de criação de conta e início de sessão. Em seguida, integre o aplicativo ao fluxo do usuário para que qualquer pessoa que o acesse passe pela experiência de criação de conta e início de sessão que você criou.

Para integrar o aplicativo a um fluxo do usuário, adicione o aplicativo às propriedades de fluxo do usuário e atualize o código do aplicativo com suas informações de locatário e o ponto de extremidade de autorização.

Fluxo de autenticação

Quando um cliente tenta iniciar a sessão no seu aplicativo, o aplicativo envia uma solicitação de autorização para o ponto de extremidade fornecido quando você associou o aplicativo ao fluxo do usuário. O fluxo do usuário define e controla a experiência de início de sessão do cliente.

Se o usuário estiver iniciando a sessão pela primeira vez, ele receberá a experiência de criação de conta. Ele inserirá as informações com base nos atributos de usuário internos ou personalizados que você escolheu coletar.

Quando a inscrição é concluída, o Microsoft Entra ID gera um token e redireciona o cliente para o aplicativo. Uma conta de cliente é criada para o cliente no diretório.

Fluxo do usuário de inscrição e início de sessão

Ao planejar a experiência de inscrição e início de sessão, determine os requisitos:

  • Número de fluxos dos usuários. Cada aplicativo pode ter apenas um fluxo do usuário de inscrição e início de sessão. Se você tiver vários aplicativos, poderá usar um único fluxo do usuário para todos eles. Ou, se você quiser uma experiência diferente para cada aplicativo, poderá criar vários fluxos dos usuários. O máximo é de 10 fluxos dos usuários por locatário externo.

  • Personalizações de identidade visual e idioma da empresa. Embora descrevamos a configuração da identidade visual da empresa e das personalizações de idioma posteriormente na Etapa 4, você pode configurá-las a qualquer momento, antes ou depois de integrar um aplicativo a um fluxo do usuário. Se você configurar a identidade visual da empresa antes de criar o fluxo do usuário, as páginas de entrada refletirão essa identidade visual. Caso contrário, as páginas de entrada refletirão a identidade visual neutra padrão.

  • Atributos a serem coletados. Nas configurações de fluxo do usuário, você pode selecionar um conjunto de atributos internos de usuário que deseja coletar dos clientes. O cliente insere as informações na página de inscrição e elas são armazenadas com o perfil dele no seu diretório. Se você quiser coletar mais informações, poderá definir atributos personalizados e adicioná-los ao fluxo do usuário.

  • Consentimento com termos e condições. É possível usar atributos de usuários personalizados para solicitar que os usuários aceitem seus termos e condições. Por exemplo, você pode adicionar caixas de seleção ao formulário de inscrição e incluir links para os termos de uso e políticas de privacidade.

  • Requisitos para declarações de token. Se o aplicativo exigir atributos de usuário específicos, você poderá incluí-los no token enviado ao aplicativo.

  • Provedores de identidade social. Você pode configurar os provedores de identidade social Google e Facebook e adicioná-los ao fluxo do usuário como opções de início de sessão.

Como integrar um fluxo do usuário ao aplicativo

Etapa 4: personalizar e proteger o início de sessão

Diagrama mostrando a etapa 4 no fluxo de configuração.

Ao planejar a configuração da identidade visual da empresa, personalizações de idioma e extensões personalizadas, considere os seguintes pontos:

  • Identidade visual da empresa. Depois de criar um locatário externo, você pode personalizar a aparência dos aplicativos baseados na Web para clientes que se inscrevem ou iniciam a sessão para personalizar a experiência do usuário final. No Microsoft Entra ID, a identidade visual da Microsoft aparece nas páginas de entrada antes de você personalizar qualquer configuração. Essa identidade visual representa a aparência global que se aplica a todos os inícios de sessão no locatário. Saiba mais sobre como personalizar o aspecto e usabilidade do criação do início de sessão.

  • Como estender as declarações de token de autenticação. A ID externa foi projetada para flexibilidade. Você pode usar uma extensão de autenticação personalizada para adicionar declarações de sistemas externos ao token de aplicativo, pouco antes de o token ser emitido para o aplicativo. Saiba mais sobre como adicionar sua própria lógica de negócios com extensões de autenticação personalizadas.

  • MFA (autenticação multifator). Você também pode habilitar a segurança de acesso do aplicativo impondo a MFA, que adiciona uma segunda camada crítica de segurança aos inícios de sessão do usuário, exigindo a verificação com senha de uso único por email. Saiba mais sobre os métodos de autenticação MFA disponíveis.

  • Autenticação nativa. A autenticação nativa permite hospedar a interface do usuário no aplicativo cliente em vez de delegar a autenticação para navegadores. Saiba mais sobre a autenticação nativa na ID externa.

  • Segurança e governança. Saiba mais sobre os recursos de segurança e governança disponíveis no locatário externo, como a Microsoft Entra ID Protection.

Como personalizar e proteger o início de sessão

Próximas etapas