Planera för kundidentitet och åtkomsthantering

Gäller för: Personalklientorganisationer Externa klienter (läs mer)

Microsoft Entra External ID är en anpassningsbar, utökningsbar lösning för att lägga till kundidentitets- och åtkomsthantering (CIAM) i din app. Eftersom den bygger på Microsoft Entra-plattformen kan du dra nytta av konsekvens i appintegrering, klientorganisationshantering och drift i arbets- och kundscenarier. När du utformar konfigurationen är det viktigt att förstå komponenterna i en extern klientorganisation och de Microsoft Entra-funktioner som är tillgängliga för dina kundscenarier.

Den här artikeln innehåller ett allmänt ramverk för att integrera din app och konfigurera externt ID. Den beskriver de funktioner som är tillgängliga i en extern klientorganisation och beskriver viktiga planeringsöverväganden för varje steg i integreringen.

Att lägga till säker inloggning i din app och konfigurera en kundidentitets- och åtkomsthantering omfattar fyra huvudsteg:

Den här artikeln beskriver vart och ett av dessa steg och beskriver viktiga planeringsöverväganden. I följande tabell väljer du ett steg för information och planeringsöverväganden eller går direkt till instruktionsguiderna.

Steg 1: Skapa en extern klientorganisation

En extern klient är den första resursen som du behöver skapa för att komma igång med Microsoft Entra Externt ID. Din externa klientorganisation är där du registrerar ditt program. Den innehåller också en katalog där du hanterar kundidentiteter och åtkomst, separat från din personalklientorganisation.

När du skapar en extern klientorganisation kan du ange rätt geografisk plats och ditt domännamn. Om du för närvarande använder Azure AD B2C påverkar inte den nya arbetsstyrkan och den externa klientmodellen dina befintliga Azure AD B2C-klienter.

Användarkonton i en extern klientorganisation

Katalogen i en extern klient innehåller administratörs- och kundanvändarkonton. Du kan skapa och hantera administratörskonton för din externa klientorganisation. Kundkonton skapas vanligtvis via självbetjäningsregistrering, men du kan skapa och hantera lokala kundkonton.

Kundkonton har en standarduppsättning behörigheter. Kunder är begränsade från att komma åt information om andra användare i den externa klientorganisationen. Som standard kan kunderna inte komma åt information om andra användare, grupper eller enheter.

Så här skapar du en extern klientorganisation

• Skapa en extern klientorganisation i administrationscentret för Microsoft Entra.

• Om du inte redan har en Microsoft Entra-klientorganisation och vill prova externt ID rekommenderar vi att du använder kom igång-upplevelsen för att starta en kostnadsfri utvärderingsversion.

• Om du använder Visual Studio Code kan du också använda Microsoft Entra External ID-tillägget för Visual Studio Code för att skapa en extern klientorganisation direkt i Visual Studio Code (läs mer).

Steg 2: Registrera ditt program

Innan dina program kan interagera med externt ID måste du registrera dem i din externa klientorganisation. Microsoft Entra ID utför endast identitets- och åtkomsthantering för registrerade program. Genom att registrera din app upprättas en förtroenderelation och du kan integrera din app med externt ID.

För att slutföra förtroenderelationen mellan Microsoft Entra-ID och din app uppdaterar du sedan programkällans kod med de värden som tilldelades under appregistreringen, till exempel programmets (klient-) ID, underdomänen katalog (klientorganisation) och klienthemligheten.

Vi tillhandahåller kodexempelguider och djupgående integreringsguider för flera apptyper och språk. Beroende på vilken typ av app du vill registrera kan du få vägledning om våra exempel efter apptyp och språksida.

Så här registrerar du ditt program

• Hitta vägledning som är specifik för det program som du vill registrera på sidan Exempel efter apptyp och språk.

• Om vi inte har någon guide som är specifik för din plattform eller ditt språk kan du läsa de allmänna anvisningarna för att registrera ett program i en extern klientorganisation.

Steg 3: Integrera ett inloggningsflöde med din app

När du har konfigurerat den externa klientorganisationen och registrerat programmet skapar du ett användarflöde för registrering och inloggning. Integrera sedan ditt program med användarflödet så att alla som kommer åt det går igenom den registrerings- och inloggningsupplevelse som du har utformat.

Om du vill integrera ditt program med ett användarflöde lägger du till ditt program i användarflödesegenskaperna och uppdaterar programkoden med din klientinformation och auktoriseringsslutpunkt.

Autentiseringsflöde

När en kund försöker logga in på ditt program skickar programmet en auktoriseringsbegäran till slutpunkten som du angav när du kopplade appen till användarflödet. Användarflödet definierar och styr kundens inloggningsupplevelse.

Om användaren loggar in för första gången visas registreringsupplevelsen. De anger information baserat på de inbyggda eller anpassade användarattribut som du har valt att samla in.

När registreringen är klar genererar Microsoft Entra-ID en token och omdirigerar kunden till ditt program. Ett kundkonto skapas för kunden i katalogen.

Användarflöde för registrering och inloggning

När du planerar din registrerings- och inloggningsupplevelse ska du fastställa dina krav:

• Antal användarflöden. Varje program kan bara ha ett användarflöde för registrering och inloggning. Om du har flera program kan du använda ett enda användarflöde för dem alla. Eller om du vill ha en annan upplevelse för varje program kan du skapa flera användarflöden. Maximalt är 10 användarflöden per extern klientorganisation.

• Anpassningar av företagsanpassningar och språk. Även om vi beskriver hur du konfigurerar företagsanpassningar och språkanpassningar senare i steg 4 kan du konfigurera dem när som helst, antingen före eller efter att du har integrerat en app med ett användarflöde. Om du konfigurerar företagsanpassning innan du skapar användarflödet återspeglar inloggningssidorna varumärkesanpassningen. Annars återspeglar inloggningssidorna standard, neutral varumärkesanpassning.

• Attribut att samla in. I användarflödesinställningarna kan du välja från en uppsättning inbyggda användarattribut som du vill samla in från kunder. Kunden anger informationen på registreringssidan och lagras med sin profil i din katalog. Om du vill samla in mer information kan du definiera anpassade attribut och lägga till dem i ditt användarflöde.

• Villkorsmedgivande. Du kan använda anpassade användarattribut för att uppmana användarna att godkänna dina villkor. Du kan till exempel lägga till kryssrutor i ditt registreringsformulär och inkludera länkar till dina användningsvillkor och sekretesspolicyer.

• Krav för tokenanspråk. Om programmet kräver specifika användarattribut kan du inkludera dem i den token som skickas till ditt program.

• Leverantörer av sociala identiteter. Du kan konfigurera sociala identitetsprovidrar Google och Facebook och sedan lägga till dem i ditt användarflöde som inloggningsalternativ.

Integrera ett användarflöde med din app

• Om du vill samla in information från kunder utöver de inbyggda användarattributen definierar du anpassade attribut så att de är tillgängliga när du konfigurerar för ditt användarflöde.

• Skapa ett användarflöde för registrering och inloggning för kunder.

• Lägg till ditt program i användarflödet.

Steg 4: Anpassa och skydda din inloggning

När du planerar att konfigurera företagsanpassning, språkanpassningar och anpassade tillägg bör du tänka på följande:

• Företagsanpassning. När du har skapat en ny extern klient kan du anpassa utseendet på dina webbaserade program för kunder som loggar in eller registrerar sig för att anpassa slutanvändarupplevelsen. I Microsoft Entra-ID visas microsofts standardanpassning på dina inloggningssidor innan du anpassar några inställningar. Den här varumärkesanpassningen representerar det globala utseende och den känsla som gäller för alla inloggningar för din klientorganisation. Läs mer om hur du anpassar inloggningens utseende och känsla.

• Utöka autentiseringstokens anspråk. Externt ID är utformat för flexibilitet. Du kan använda ett anpassat autentiseringstillägg för att lägga till anspråk från externa system till programtoken precis innan token utfärdas till programmet. Läs mer om att lägga till din egen affärslogik med anpassade autentiseringstillägg.

• Multifaktorautentisering (MFA). Du kan också aktivera säkerhet för programåtkomst genom att framtvinga MFA, vilket lägger till ett kritiskt andra säkerhetslager för användarinloggningar genom att kräva verifiering via engångslösenord via e-post. Läs mer om tillgängliga MFA-autentiseringsmetoder.

• Intern autentisering. Med intern autentisering kan du vara värd för användargränssnittet i klientprogrammet i stället för att delegera autentisering till webbläsare. Läs mer om intern autentisering i externt ID.

• Säkerhet och styrning. Lär dig mer om säkerhets- och styrningsfunktioner som är tillgängliga i din externa klientorganisation, till exempel Microsoft Entra ID Protection.

Anpassa och skydda din inloggning

• Anpassa varumärkesanpassning
• Lägga till identitetsprovidrar
• Samla in attribut under registreringen
• Lägga till attribut i token
• Lägga till multifaktorautentisering
• Använda en anpassad URL-domän

Nästa steg

• Starta en kostnadsfri utvärderingsversion eller skapa din externa klientorganisation.
• Hitta exempel och vägledning för att integrera din app.
• Se även Microsoft Entra External ID Developer Center för det senaste utvecklarinnehållet och resurserna.