Identitetsleverantörer för externa hyresgäster

Gäller för: Externa klienter (läs mer)

Med Microsoft Entra External ID kan du skapa säkra, anpassade inloggningsupplevelser för dina konsument- och företagsappar. I en extern klientorganisation finns det flera sätt för användare att registrera sig för din app. De kan skapa ett konto med hjälp av sin e-post och antingen ett lösenord eller ett engångslösenord. Om du aktiverar inloggning med Facebook, Google, Apple, en Microsoft Entra ID-klientorganisation eller en anpassad OIDC- eller SAML/WS-Fed-identitetsleverantör (IdP) kan användarna logga in med sina autentiseringsuppgifter hos den externa identitetsleverantören. Ett användarobjekt skapas för dem i din katalog med den identitetsinformation som samlas in under registreringen.

Den här artikeln beskriver de identitetsprovidrar som är tillgängliga för primär autentisering när man registrerar sig och loggar in på appar hos externa hyrskal. Du kan också förbättra säkerheten genom att tillämpa en MFA-princip (multifaktorautentisering) som kräver en andra form av verifiering varje gång en användare loggar in (läs mer).

Inloggning med e-post och lösenord

E-postregistrering är aktiverat som standard i inställningarna för din lokala kontoidentitetsprovider. Med e-postalternativet kan användare registrera sig och logga in med sin e-postadress och ett lösenord.

• Registrerings-: Användare uppmanas att ange en e-postadress som verifieras vid registreringen med ett engångslösenord. Användaren anger sedan annan information som begärs på registreringssidan, till exempel visningsnamn, förnamn och efternamn. Sedan väljer de Fortsätt för att skapa ett konto.

• Inloggning: När användaren har registrerat sig och skapat ett konto kan de logga in genom att ange sin e-postadress och sitt lösenord.

• Lösenordsåterställning: Om du aktiverar e-post och lösenordsinloggning visas en länk för lösenordsåterställning på lösenordssidan. Om användaren glömmer sitt lösenord skickas ett engångslösenord till e-postadressen genom att välja den här länken. Efter verifieringen kan användaren välja ett nytt lösenord.

  

När du skapar ett användarflöde för registrering och inloggning är e-post med lösenord standardalternativet.

Inloggning med användarnamn eller alias (förhandsversion)

Du kan göra det möjligt för användare som loggar in med ett lokalt konto (e-post och lösenord) att logga in med ett alias eller användarnamn utöver sin e-postadress. Detta gör det möjligt för användare att autentisera med antingen sin e-postadress eller en alternativ identifierare eller båda. Alternatividentifieraren kan vara ett kund-ID, medlems-ID, försäkringsnummer, bonusprogramsnummer eller något liknande som du vill använda som användarnamn.

När du aktiverar inloggning med användarnamn kan användarna välja att logga in med antingen sin e-postadress eller sitt användarnamn. Om de väljer att logga in med sitt användarnamn uppmanas de att ange ett lösenord som liknar inloggning med e-post och lösenord. Om du aktiverar lösenordsåterställning kan användarna återställa sitt lösenord genom att välja länken för lösenordsåterställning på inloggningssidan.

E-post med engångslösenordsinloggning

E-post med engångslösenord är ett alternativ i inställningarna för din lokala kontoidentitetsprovider. Med det här alternativet loggar användaren in med ett tillfälligt lösenord i stället för ett lagrat lösenord varje gång de loggar in.

• Registrera dig: Användare kan registrera sig med sin e-postadress och begära en tillfällig kod som skickas till deras e-postadress. Sedan anger användaren den här koden för att fortsätta logga in.

• Inloggning: När användaren har registrerat sig och skapat ett konto anger de varje gång de loggar in sin e-postadress och får ett tillfälligt lösenord.

  

Du kan också ställa in alternativ för att visa, dölja eller anpassa länken för lösenordsåterställning via självbetjäning på inloggningssidan (läs mer).

När du skapar ett användarflöde för registrering och inloggning är E-post engångslösenord ett av alternativen för lokalt konto.

Leverantörer av sociala identiteter: Facebook, Google och Apple

För en optimal inloggningsupplevelse kan du federera med sociala identitetsprovidrar när det är möjligt så att du kan ge användarna en sömlös registrerings- och inloggningsupplevelse. I en extern klientorganisation kan du tillåta att en användare registrerar sig och loggar in med sitt eget Facebook-, Google- eller Apple-konto.

När du aktiverar leverantörer av sociala identiteter kan användarna välja bland de alternativ för sociala identitetsprovidrar som du gör tillgängliga på registreringssidan. Om du vill konfigurera sociala identitetsprovidrar i din externa klientorganisation skapar du ett program hos identitetsprovidern och konfigurerar autentiseringsuppgifter. Du får ett klient- eller app-ID, en klient- eller apphemlighet eller ett certifikat som du sedan kan använda för att konfigurera din externa klientorganisation.

Google-inloggning

Genom att konfigurera federation med Google kan du tillåta användare att logga in på dina program med sina egna Gmail-konton. När du har lagt till Google som ett av programmets inloggningsalternativ kan användarna logga in på inloggningssidan för att Microsoft Entra External ID med ett Google-konto.

Följande skärmbilder visar inloggningen med Google-upplevelsen. På inloggningssidan väljer användarna Inloggning med Google. Då omdirigeras användaren till Googles identitetsprovider för att slutföra inloggningen.

Lär dig hur du lägger till Google som identitetsprovider.

Facebook-inloggning

Genom att konfigurera federation med Facebook kan du tillåta användare att logga in på dina program med sina egna Facebook-konton. När du har lagt till Facebook som ett av programmets inloggningsalternativ kan användarna logga in på inloggningssidan för att Microsoft Entra External ID med ett Facebook-konto.

Följande skärmbilder visar inloggningen med Facebook-upplevelsen. På inloggningssidan väljer användarna Inloggning med Facebook. Sedan omdirigeras användaren till Facebook-identitetsprovidern för att slutföra inloggningen.

Lär dig hur du lägger till Facebook som identitetsprovider.

Apple-inloggning

Genom att konfigurera federation med Apple kan du tillåta användare att logga in på dina program med sina egna Apple-konton. När du har lagt till Apple som ett av programmets inloggningsalternativ kan användarna logga in på inloggningssidan för att Microsoft Entra External ID med ett Apple-konto.

Följande skärmbilder visar inloggningen med Apple-upplevelsen. På inloggningssidan väljer användarna Inloggning med Apple. Sedan omdirigeras användaren till Apple-identitetsprovidern för att slutföra inloggningen. Lär dig hur du lägger till Apple som identitetstjänsteleverantör.

Microsoft Entra ID federation

Genom att konfigurera OpenID Connect-federation (OIDC) med en Microsoft Entra ID klientorganisation gör du det möjligt för användare från den klientorganisationen att registrera sig och logga in på dina program med sina befintliga organisationskonton. Den här metoden använder funktionen för anpassad OIDC-identitetsprovider för att federera med en Microsoft Entra ID klientorganisation.

Lär dig hur du lägger till en Microsoft Entra ID hyresgäst som OIDC-identitetsleverantör.

Anpassad OIDC-identitetsleverantör

Du kan konfigurera en anpassad OpenID Connect-identitetsprovider (OIDC) så att användare kan registrera sig och logga in på dina program med sina autentiseringsuppgifter i den externa identitetsprovidern. Du kan också federera dina inloggnings- och registreringsflöden med en Azure AD B2C-klientorganisation med hjälp av OIDC-protokollet. Om du planerar att migrera från Azure AD B2C i stället för federera kan du läsa Planera migreringen från Azure AD B2C till externt ID.

Lär dig hur du konfigurerar en anpassad OIDC-identitetsleverantör.

Anpassade SAML/WS-Fed identitetsleverantörer

Du kan konfigurera en SAML- eller WS-Fed identitetsprovider så att användarna kan registrera sig och logga in på dina program med sitt eget konto hos identitetsprovidern. Användaren kan registrera sig eller logga in genom att välja alternativet Registrera dig med eller Logga in med. De omdirigeras till identitetsprovidern och återgår sedan till Microsoft Entra när de har loggat in. För externa klienter behöver en användares inloggningsmeddelande inte matcha de fördefinierade domäner som konfigurerats under SAML-federationen. Det innebär att uppdatering av federationskonfigurationen genom att lägga till, ändra eller ta bort domäner inte påverkar upplevelsen för befintliga användare.

En användare som anger en e-postadress på inloggningssidan som matchar en fördefinierad domän i någon av de externa identitetsprovidrar omdirigeras för att autentisera med den identitetsprovidern. Om de inte har något konto kan de uppmanas att ange ytterligare information och kontot skapas.

Mer information finns i SAML/WS-Fed identitetsleverantörer. Detaljerade konfigureringssteg finns i Lägg till federation med SAML/WS-Fed identitetsleverantörer.

Accelererad domänhantering

När du federerar med anpassade SAML/WS-Fed IP-adresser ser användarna vanligtvis Microsoft inloggningssidan först och väljer sedan sin identitetsprovider. Dessa IP-adresser kan associeras med en eller flera domäner. Om du inkluderar parametern domain_hint i inloggnings-URL:en kan användarna gå direkt till inloggningssidan för den identitetsprovider som är associerad med den angivna domänen.

För en anpassad SAML-identitetsprovider använder du domänen som anges i fältet Domännamn för federerande IdP i syntaxen domain_hint : domain_hint=<domain name of federating idp>

Utfärdarepåskyndning

När du federerar med andra externa identitetsprovidrar, till exempel Facebook, Google, Apple eller ett anpassat OpenID Connect-IdP, ser användarna vanligtvis Microsoft inloggningssida först och väljer sedan sin identitetsprovider. Om du inkluderar parametern domain_hint i inloggnings-URL:en kan användarna gå direkt till inloggningssidan för den identitetsprovider som är associerad med den angivna domänen.

Du kan använda följande domain_hint värden för att gå direkt till inloggningssidan för dessa identitetsprovidrar:

• Facebook: domain_hint=facebook.

• Google: domain_hint=google.

• Apple: domain_hint=apple.

• Anpassad OIDC: domain_hint=<issuer URI>. För en anpassad OIDC-identitetsprovider använder du domändelen av syntaxen Issuer URI i syntaxen domain_hint, till exempel "www.linkedin.com" för LinkedIn.

• Custom OIDC – Entra ID: För en anpassad OIDC Entra-identitetsprovider använder du domännamnet för tenant i Entra ID som domain_hint=contoso.onmicrosoft.com.

  

Uppdatera inloggningsmetoder

När som helst kan du uppdatera inloggningsalternativen för en app. Du kan till exempel lägga till sociala identitetsprovidrar eller ändra inloggningsmetoden för lokala konton.

När du ändrar inloggningsmetoder påverkar ändringen endast nya användare. Befintliga användare fortsätter att logga in med sin ursprungliga metod. Anta till exempel att du börjar med inloggningsmetoden för e-post och lösenord och sedan ändrar till e-post med engångslösenord. Nya användare loggar in med ett engångslösenord, men alla användare som redan har registrerat sig med ett e-postmeddelande och lösenord fortsätter att uppmanas att ange e-post och lösenord.

Microsoft Graph API:er

Följande Microsoft-Graph API åtgärder stöds för hantering av identitetsprovidrar och autentiseringsmetoder i Microsoft Entra External ID:

• Om du vill identifiera vilka identitetsprovidrar och autentiseringsmetoder som stöds anropar du API:et List availableProviderTypes .
• Om du vill identifiera identitetsprovidrar och autentiseringsmetoder som redan har konfigurerats och aktiverats i klientorganisationen anropar du API:et List identityProviders .
• Om du vill aktivera en identitetsprovider eller autentiseringsmetod som stöds anropar du API:et Skapa identitetProvider .

Relaterat innehåll

• Lägga till Facebook som identitetsprovider
• Lägga till Google som identitetsprovider
• Lägg till Apple som identitetsprovider
• Lägg till en Microsoft Entra ID-klientorganisation som en OIDC-identitetsleverantör
• Lägg till federation med SAML/WS-Fed identitetsprovidrar
• Lägg till OpenID Connect som en extern identitetsprovider