Como planejar-se para o gerenciamento de identidade e acesso do cliente

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branca. Locatários externos (saiba mais)

A ID externa do Microsoft Entra é uma solução personalizável e extensível para adicionar o CIAM (gerenciamento de identidade e acesso do cliente) ao seu aplicativo. Como ele se baseia na plataforma do Microsoft Entra, você usa a consistência na integração de aplicativos, no gerenciamento de locatários e nas operações nos cenários de força de trabalho e de cliente. Ao criar a configuração, é importante entender os componentes de um locatário externo e os recursos do Microsoft Entra disponíveis para os cenários do cliente.

Esse artigo fornece uma estrutura geral para integrar seu aplicativo e configurar a ID externa. Ele descreve os recursos disponíveis em um locatário externo e define as considerações importantes de planejamento para cada etapa na sua integração.

Adicionar uma entrada segura ao seu aplicativo e configurar um gerenciamento de identidade e acesso do cliente envolve quatro etapas principais:

Diagrama mostrando uma visão geral das etapas de configuração.

Este artigo descreve cada uma dessas etapas e as considerações importantes de planejamento. Na tabela a seguir, selecione uma Etapa para obter detalhes e considerações de planejamento ou vá diretamente para os Guias de instrução.

Etapa Guias de instruções
Etapa 1: Criar um locatário externo Criar um locatário externo
Ou iniciar uma avaliação gratuita
Etapa 2: registrar seu aplicativo Registre seu aplicativo
Etapa 3: integrar um fluxo de entrada ao seu aplicativo Criar um fluxo de usuário
Adicionar seu aplicativo ao fluxo do usuário
Etapa 4: personalizar e proteger sua entrada Personalizar identidade visual
Adicionar provedores de identidade
Coletar atributos durante a inscrição
Adicionar atributos ao token
Adicionar autenticação multifator (MFA)

Etapa 1: Criar um locatário externo

Diagrama mostrando a etapa 1 no fluxo de configuração.

Um locatário externo é o primeiro recurso que você precisa criar para começar a usar a ID externa do Microsoft Entra. O locatário externo é onde você registra o aplicativo. Ele também contém um diretório em que você gerencia as identidades e o acesso do cliente, separados do locatário da força de trabalho.

Ao criar um locatário externo, você pode definir a localização geográfica correta e o nome de domínio. Se você usar o Azure AD B2C no momento, o novo modelo de força de trabalho e locatário externo não afetará os locatários existentes do Azure AD B2C.

Contas de usuário em um locatário externo

O diretório em um locatário externo contém as contas de usuário do administrador e do cliente. Você pode criar e gerenciar contas de administrador para seu locatário externo. As contas de cliente normalmente são criadas por meio de inscrição para autoatendimento, mas você pode criar e gerenciar contas locais do cliente.

As contas do cliente têm um conjunto padrão de permissões. Os clientes estão impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.

Como criar um locatário externo

Etapa 2: registrar seu aplicativo

Diagrama mostrando a etapa 2 no fluxo de configuração.

Para que seus aplicativos possam interagir com a ID externa, você precisa registrá-los no locatário externo. O Microsoft Entra ID executa o gerenciamento de identidade e acesso somente para os aplicativos registrados. Registrar seu aplicativo estabelece uma relação de confiança e permite que você integre seu aplicativo à ID externa.

Em seguida, para concluir a relação de confiança entre o Microsoft Entra ID e seu aplicativo, atualize o código-fonte do aplicativo com os valores atribuídos durante o registro do aplicativo, como a ID do aplicativo (cliente), o subdomínio do diretório (locatário) e o segredo do cliente.

Fornecemos guias de exemplo de código e guias de integração detalhados para vários tipos de aplicativos e idiomas. Dependendo do tipo de aplicativo que você deseja registrar, você pode encontrar diretrizes em nossos Exemplos por tipo de aplicativo e página de idioma.

Como registrar seu aplicativo

Etapa 3: integrar um fluxo de entrada ao seu aplicativo

Diagrama mostrando a etapa 3 no fluxo de configuração.

Depois de configurar o locatário externo e registrar seu aplicativo, crie um fluxo de usuário de inscrição e entrada. Em seguida, integre seu aplicativo ao fluxo de usuário para que qualquer pessoa que o acesse passe pela experiência de inscrição e entrada que você criou.

Para integrar seu aplicativo a um fluxo de usuário, adicione seu aplicativo às propriedades de fluxo do usuário e atualize o código do aplicativo com suas informações de locatário e o ponto de extremidade de autorização.

Fluxo de autenticação

Quando um cliente tenta entrar no seu aplicativo, o aplicativo envia uma solicitação de autorização para o ponto de extremidade fornecido quando você associou o aplicativo ao fluxo do usuário. O fluxo de usuário define e controla a experiência de entrada do cliente.

Se o usuário estiver entrando pela primeira vez, ele receberá a experiência de inscrição. Ele inserirá as informações com base nos atributos de usuário internos ou personalizados que você escolheu coletar.

Quando a inscrição é concluída, o Microsoft Entra ID gera um token e redireciona o cliente para o seu aplicativo. Uma conta de cliente é criada para o cliente no diretório.

Fluxo de usuário de inscrição e de entrada

Ao planejar a experiência de inscrição e entrada, determine os requisitos:

  • Número de fluxos de usuário. Cada aplicativo pode ter apenas um fluxo de usuário de inscrição e entrada. Se você tiver vários aplicativos, poderá usar um único fluxo de usuário para todos eles. Ou, se você quiser uma experiência diferente para cada aplicativo, poderá criar vários fluxos de usuário. O máximo é de 10 fluxos de usuário por locatário externo.

  • Personalizações de identidade visual e idioma da empresa. Embora descrevamos a configuração da identidade visual da empresa e das personalizações de idioma posteriormente na Etapa 4, você pode configurá-las a qualquer momento, antes ou depois de integrar um aplicativo a um fluxo de usuário. Se você configurar a identidade visual da empresa antes de criar o fluxo de usuário, as páginas de entrada refletirão essa identidade visual. Caso contrário, as páginas de entrada refletirão a identidade visual neutra padrão.

  • Atributos a serem coletados. Nas configurações de fluxo do usuário, você pode selecionar um conjunto de atributos internos de usuário que deseja coletar dos clientes. O cliente insere as informações na página de inscrição e elas são armazenadas com o perfil dele em seu diretório. Se você quiser coletar mais informações, poderá definir atributos personalizados e adicioná-los ao fluxo de usuário.

  • Consentimento com termos e condições. É possível usar atributos de usuários personalizados para solicitar que os usuários aceitem seus termos e condições. Por exemplo, você pode adicionar caixas de seleção ao formulário de inscrição e incluir links para os termos de uso e políticas de privacidade.

  • Requisitos para declarações de token. Se o aplicativo exigir atributos de usuário específicos, você poderá incluí-los no token enviado ao seu aplicativo.

  • Provedores de identidade social. Você pode configurar os provedores de identidade social Google e Facebook e adicioná-los ao fluxo de usuário como opções de entrada.

Como integrar um fluxo de usuário ao seu aplicativo

Etapa 4: personalizar e proteger sua entrada

Diagrama mostrando a etapa 4 no fluxo de configuração.

Ao planejar a configuração da identidade visual da empresa, personalizações de idioma e extensões personalizadas, considere os seguintes pontos:

  • Identidade visual da empresa. Depois de criar um locatário externo, você pode personalizar a aparência de seus aplicativos baseados na Web para clientes que se inscrevem ou entram para personalizar a experiência do usuário final. No Microsoft Entra ID, a identidade visual da Microsoft aparece nas páginas de entrada antes de você personalizar qualquer configuração. Essa identidade visual representa a aparência global que se aplica a todas as entradas no seu locatário. Saiba mais sobre como personalizar a aparência de entrada.

  • Como estender as declarações de token de autenticação. A ID externa foi projetada para flexibilidade. Você pode usar uma extensão de autenticação personalizada para adicionar declarações de sistemas externos ao token de aplicativo, pouco antes de o token ser emitido para o aplicativo. Saiba mais sobre como adicionar sua própria lógica de negócios com extensões de autenticação personalizadas.

  • MFA (autenticação multifator). Você também pode habilitar a segurança de acesso do aplicativo impondo a MFA, que adiciona uma segunda camada crítica de segurança às entradas do usuário, exigindo a verificação com senha de uso único por email. Saiba mais sobre os métodos de autenticação MFA disponíveis.

  • Autenticação nativa. A autenticação nativa permite hospedar a interface do usuário no aplicativo cliente em vez de delegar a autenticação para navegadores. Saiba mais sobre a autenticação nativa na ID externa.

  • Segurança e governança. Saiba mais sobre os recursos de segurança e governança disponíveis no locatário externo, como a Proteção de Identidade.

Como personalizar e proteger sua entrada

Próximas etapas